如果我们使用像gtalk这样的加密服务，聊天监视器是如何工作的？

Question

我听说像这个http://formessengers.com/mdetect.htm这样的软件可以监视聊天和查看聊天日志，但是如果我们使用的是像gtalk这样的服务，那么这些软件是如何工作的呢?我认为这些服务是使用HTTPS的。

真的有可能通过SSL解密通信吗。

Gmail中的网络聊天是通过https进行的吗？

Answer 1

链接到的软件(信使检测)不像广告中所宣传的那样工作。

设置

我将它安装在一个受控环境(VM“农场”)中，安装了一个Snort，并将其配置为检测几个MiTM攻击。

测试用例1

我在两个VM上推出了和ICQ，其中一个VM上有Messenger检测。

• 我没能看到任何聊天日志。
• Snort没有抱怨。
• 使用在Messenger检测VM上运行的Wireshark看不到任何可疑的东西。

注意:在本例中，我试图侦听gTalk流量，但没有检测到任何流量。

测试用例2

与测试用例1相同，但我在这两个VM中的一个上安装了Messenger installed。

• 我看到了聊天日志(至少是来自Yahoo Messenger )。
• Snort没有抱怨。
• 使用在Messenger检测VM上运行的Wireshark看不到任何可疑的东西。

测试用例3

但是现在似乎没有任何迹象表明Messenger检测使用了任何MiTM攻击。这一次，我用两台连接到普通集线器的PC进行了测试。

• 我看到了聊天日志。
• Snort没有抱怨。
• 使用在Messenger检测VM上运行的Wireshark看不到任何可疑的东西。

结论

似乎信使检测到了被动倾听的流量，并计算出聊天日志。没有迹象表明它正在进行任何类型的解密或MiTM攻击。

Answer 2

如果正确使用，SSL无法解密。我试着阅读那个声称能帮助阅读聊天日志的软件，但还不清楚它们是如何工作的。

一种可能是部署一些代理服务器，然后允许所有连接，尽管您的客户端实际上将连接到代理，而代理将连接到公共的server.So (在这种情况下)，来自您计算机的任何东西都可以由部署在代理服务器上的软件读取。