SuperfishがどうやってTCPレベルのインターセプトをしてるか。(SSL的な部分以外)

kyab @kyab212

CERTに掲載されたSuperfishの件：kb.cert.org/vuls/id/529496

kyab @kyab212

どうやって通信をinterceptしてるのかな。#superfish

kyab @kyab212

仕組みの解説はこの辺かな。Komodia's SSL Decoder/Digesterが本丸で、Superfishはこのライブラリを使ってるだけぽい #superfish

kyab @kyab212

途中リンク忘れてたな。ここからたどらせてもらった。borncity.com/win/2015/02/20… #Superfish

kyab @kyab212

Superfish検証サイト:filippo.io/Badfish/ #superfish

kyab @kyab212

こいつか。Komodia's Redirector : The platform intercepts traffic (using LSP/WFP) on the local machine...web.archive.org/web/2014070608… #superfish

kyab @kyab212

Komodia's RedirectorはLSP/WFP(調べ中)を使ってTCP/IP通信をフック。Redirectorと強調して動作するKomodia's SSL Decoder/Digesterの組み合わせでさらにSSL/TLS通信までMITM。#superfish

kyab @kyab212

WFP=Windows Filtering Platform msdn.microsoft.com/ja-jp/library/… #Superfish

kyab @kyab212

LSP = Layerd Service Provider. Winsock2関連のモジュールか。en.wikipedia.org/wiki/Layered_S… #Superfish

kyab @kyab212

Komodia's RedirectorがTCP/IPをインターセプトするために使っているLSP/WFPはWindowsの拡張で、ファイアウォールとか（あとマルウェアが）使う機能の様子。まぁそれ自体はよくあるタイプか。#Superfish

kyab @kyab212

WiresharkがWindows上で使っているWinpcapはもう一段下のレイヤのドライバレベルっぽいな。