1

Сегодня я подключился к бесплатному прокси-серверу, проверил DNS и обнаружил, что имя сервера - prism1.nsa.gov! Мне было интересно, если это так, как NSA пытается выполнить Mitm-атаки на клиентов? Как большинство людей знают, что nsa успешно эксплуатирует пользователей, используя выходные узлы, используемые для доступа к прозрачным сетям ... но делают ли они такой же метод для пользователей socks? Они надеются, что какой-нибудь злонамеренный пользователь неосознанно подключится к своему серверу и совершит гнусные действия через свой сервер, и все будет зарегистрировано? Провокация? http://imgur.com/IVwswqt (снимок экрана с именем хоста nsa socks)

1 ответ1

0

Если они расположены как DNS-сервер, они могут регистрировать каждое имя хоста, к которому пытается подключиться клиент (потому что они являются ресурсом для разрешения имени хоста и IP-адреса).

Это означает, что они также могут изменить IP-адрес запрошенного имени хоста на любой сервер, который они хотят (один из своих). Оттуда они могут создать поддельную копию сайта, к которой жертва пытается получить доступ, и получить учетные данные для входа в систему, в то же время возвращая пользователю расплывчатое (вымышленное) сообщение об ошибке с чем-то вроде «Пожалуйста, обновите страницу».

Жертва обновит страницу, и к тому времени АНБ сменит IP-адрес хоста обратно на легитимный и будет удален с учетной записью жертвы.

В этом случае я считаю, что он нацелен на пользователей, которые не знакомы с тем, как что-то подобное работает. Вы поймали это хотя ...

Но опять же, это может быть твой прокси-сервер Хозяин prism1.nsa.gov будет болезненно очевидным из АНБ в использовании, даже для необразованного пользователя.

Вот фантастическая статья OccupyTheWeb на нулевом байте WonderHowTo о другом способе, который они делают, называемом Quantum Insert.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .