El gnome-software
procesa a los contactos 54.173.79.111
para fines de actualización, como se sugiere en este hilo del foro . No hay nada intrínsecamente dudoso acerca de estas IP, ambas pertenecen a la nube de AWS.
Dicho esto, no se puede garantizar que el tráfico sea legítimo con solo mirar las IP. Esto se debe a que solo indican que se está comunicando con el servicio alojado en la nube de Amazon (y aparentemente se está ejecutando en Red Hat OpenShift ).
$ dig +short -x 54.173.79.111
ec2-54-173-79-111.compute-1.amazonaws.com.
$ dig +short -x 54.231.40.234
s3-1.amazonaws.com.
(También hay una lista mantenida de AWS Rangos de IP donde puede buscar las direcciones.)
La razón por la que eso no verifica nada es que 54.173.79.111
está asociado con más de una instancia de EC2. Por ejemplo, hospitalpadreze.org.br
y subverticathegame.com
también se resuelven en esa misma dirección:
$ dig +short hospitalpadreze.org.br
54.173.79.111
$ dig +short subverticathegame.com 130
sub-renderedturkey.rhcloud.com.
ex-std-node683.prod.rhcloud.com.
ec2-54-173-79-111.compute-1.amazonaws.com.
54.173.79.111
La verificación del CN del certificado SSL en 54.173.79.111:443
, según lo propuesto por @ thel3l, tampoco es una técnica confiable. No sabemos si realmente se estaba conectando a través de SSL, sobre qué puertos y para qué nombre de host. Aquí hay una demostración de cómo se sirven los diferentes certificados en la misma IP:
$ openssl s_client -connect 54.173.79.111:443 -brief
CONNECTION ESTABLISHED
Protocol version: TLSv1.2
Ciphersuite: ECDHE-RSA-AES256-GCM-SHA384
Peer certificate: C = US, ST = North Carolina, L = Raleigh, O = Red Hat Inc., CN = *.rhcloud.com
Hash used: SHA512
Supported Elliptic Curve Point Formats: uncompressed:ansiX962_compressed_prime:ansiX962_compressed_char2
Server Temp Key: ECDH, P-256, 256 bits
El certificado es válido para *.rhcloud.com
. Ahora probemos con un nombre de host diferente:
$ openssl s_client-connect 54.173.79.111:443 -servername www.cristiansandu.ro -brief
CONNECTION ESTABLISHED
Protocol version: TLSv1.2
Ciphersuite: ECDHE-RSA-AES256-GCM-SHA384
Peer certificate: CN = www.cristiansandu.ro
Hash used: SHA512
Supported Elliptic Curve Point Formats: uncompressed:ansiX962_compressed_prime:ansiX962_compressed_char2
Server Temp Key: ECDH, P-256, 256 bits
En su lugar, estamos obteniendo un certificado para www.cristiansandu.ro
, aunque sigue siendo la misma IP. Con la indicación de nombre del servidor (SNI) se espera que el certificado presentado no se mantenga igual si especifica un -servername
diferente.