Mentre guardavo HT RCS Galileo Presentation mi sono imbattuto in un termine o concetto che non ho familiarità con esso : " proxy di iniezione ".
Qualcuno potrebbe spiegare questo tipo di attacco?
Mentre guardavo HT RCS Galileo Presentation mi sono imbattuto in un termine o concetto che non ho familiarità con esso : " proxy di iniezione ".
Qualcuno potrebbe spiegare questo tipo di attacco?
Un proxy di iniezione è un'applicazione man-in-the-middle che monitora attivamente il traffico e inietta contenuti (dannosi) in base a regole predefinite.
Questo è approssimativamente lo scenario di attacco delineato nel video:
Sei un'entità governativa e accedi al traffico di un ISP che sai essere utilizzato da un sospetto criminale A. Desideri accedere al computer di A, ma hai solo il loro indirizzo e-mail. Quindi imposta una regola nell'interfaccia del tuo proxy di iniezione che inietta il malware (possibilmente trasmesso tramite un exploit del browser di 0 giorni) nel traffico gestito dall'ISP non appena l'indirizzo e-mail di A si verifica in una richiesta HTTP alla loro webmail fornitore. Cioè, non appena A accede alla loro webmail, il proxy di injection interviene e inietta contenuti dannosi nella risposta HTTP restituita che installa in modo invisibile una backdoor sul proprio computer. Questo ovviamente non funzionerà facilmente se A utilizza TLS durante la navigazione poiché non è possibile iniettare facilmente contenuti nel traffico HTTPS.
Un documento sui dettagli di "Injection Proxy Appliance" di HackingTeam può anche essere trovato su Wikileaks :
IPA (Injection proxy appliance) is a offensive security device developed by HT for performing remote installation of Remote Control System, by using man in the middle attack techniques and by using proprietary streamline injection mechanism.