Sé que es posible que una computadora se infecte con solo visitar un sitio web. También sé que los sitios web de HTTPS son seguros.
A mi entender, "seguro" aquí se refiere a "inmune a los ataques MITM", pero dado que tales sitios web tienen certificados, ¿es correcto asumir que son "limpios" y no maliciosos?
No, HTTPS no significa necesariamente que un sitio no sea malicioso. HTTPS significa muy poco en cuanto a la seguridad de un sitio. Está específicamente diseñado para mantener su comunicación con el sitio a salvo de intrusos y manipulaciones, pero no ofrece nada en cuanto a la seguridad del sitio en sí.
Sí, un sitio que sirve contenido a través de HTTPS tiene un certificado. Eso significa que la persona que solicitó el certificado de la CA tiene una dirección de correo electrónico asociada con el dominio. Excepto en el caso de los certificados de Validación extendida (los que ofrecen una barra de direcciones verde) esto es, literalmente, todo lo que significa. Nadie de la CA está validando que el sitio es seguro y no sirve malware. Cualquier sitio, con un certificado SSL o sin él, puede tener errores y vulnerabilidades que permiten a un atacante aprovecharlos para servir a un exploit. O un administrador o usuario que tiene la capacidad de hacer maliciosa o inconscientemente que el sitio sirva malware. Incluso si el sitio en sí no lo hace, si sirve anuncios publicitarios (o cualquier otro contenido, para el caso) de una red publicitaria u otro sitio, que podría ser vulnerable.
Por lo tanto, HTTPS significa que nadie debe poder ver o manipular su tráfico. Eso es todo lo que significa.
Nada de garantía. HTTPS significa que la página web tiene SSL, lo que simplemente significa que su conexión a la página está cifrada. El contenido de la página puede ser cualquier cosa que pueda publicarse en cualquier sitio web, ya sea encriptado por SSL o no.
En resumen: sí, ¡puede ser malicioso!
El acceso a un sitio a través de HTTPS significa que la conexión entre su computadora y el servidor del sitio web está encriptada y es segura.
Lo que hace HTTPS
Lo que HTTPS no hace
Por lo tanto, todavía es posible que los autores del sitio web (o alguien que haya obtenido acceso no autorizado al sitio web) hagan que el sitio web presente contenido malicioso en su navegador.
El seguro de https no está relacionado con el contenido de un sitio web / servicio.
Se llama 'seguro' porque, en teoría, los protocolos de seguridad (ssl / tsl y algunos otros) no permiten que la información que se intercambia sea fácil de entender (encripta el flujo de datos), por lo tanto, incluso si alguien atrapa sus paquetes , tendrían que descifrarlo para entender el mensaje.
Ahora esto es útil porque cierta información, como contraseñas, número de seguro social, número de tarjeta de crédito, etc. puede causar muchos problemas si son descubiertos por alguien con la intención de causar daños.
En este sentido, https nos ayuda a dificultar a un tercero saber qué información intercambiamos con un sitio web (y es por eso que la mayoría de los bancos utilizan al menos https en sus servicios), pero eso no detiene a un sitio web. o el servicio para infectarse con software malintencionado o un atacante que lo alcance indirectamente infectando un servidor.
Ahora, deduzco de su pregunta que cuando usó el término 'seguro' lo dijo de manera diferente (en el sentido de seguridad contra contenido malicioso), en este sentido, https no lo protege en absoluto porque no presta atención al contenido (lo que se transmite a través de la conexión) en sí mismo .
Sí, puede ser fácilmente: JavaScript malintencionado o virus pueden transferirse a través de HTTPS tan fácilmente como a través de HTTP, no hay problema. Puede ser algo menos probable ya que se conoce la fuente del mensaje HTTPS verificado válido.
Sin embargo, aún puede ocurrir si el sitio HTTPS ha tenido un agujero de seguridad, ha sido atacado, comprometido y se le ha instalado contenido malicioso. No será por mucho tiempo, pronto el administrador sabrá de una u otra forma y eliminará el malware. Sin embargo, preferiría evitar confiar en el contenido solo porque se entregó a través de HTTPS.
Agregue a la lista que la propia CA podría haber sido pirateada (por ejemplo, DigiNotar) y utilizada para emitir certificados falsos, o su navegador podría verse obligado a usar CA falsas específicamente para que su conexión pueda ser interceptada y manipulada, tal como está a veces se utiliza en redes corporativas.
Oh, también el certificado podría haber sido falsificado porque estaba usando MD5. Como ya se ha dicho, ese icono de candado en su navegador significa algo más de lo que usted cree que es :).
Además de los otros puntos planteados, vale la pena mencionar que incluso un sitio confiable (por ejemplo, su banco), aún podría estar infectado por un virus que lo haga comportarse maliciosamente. Así que incluso si confía en la organización, https no garantiza que el sitio web no haga cosas maliciosas.
Todo lo que hace una conexión HTTPS autenticada es validar que si se muestra https://www.example.com en la barra de direcciones, en realidad está conectado a www.example.com .
El certificado no certifica que www.example.com no es malicioso de ninguna manera. Un Certificado de Validación Extendida con un resaltado verde mostrado alrededor de la barra de direcciones le permitirá conocer la organización real detrás del sitio, por lo que Si confías en ellos puedes confiar en el sitio web. También hay certificados de Organización verificada, sin embargo, es difícil para los usuarios regulares distinguirlos de los Certificados de dominio verificado.
Los certificados DV son muy fáciles de conseguir, por lo tanto, a menos que sepa y confíe en el dominio del sitio, no debería confiar en el sitio solo porque usa https.
Se puede usar un ataque de Pharming para redirigir su tráfico a un servidor malicioso. Este servidor se conectará con el legítimo y se autenticará en él como si fuera usted. Luego le presentará la información o la página web del servidor legítimo. Para ti, aparecerá cuando estés conectado de forma segura al servidor legítimo, pero ahora hay un MITM que tiene acceso al canal y puede leer todo lo que hay en él. Este tipo de ataque es difícil de ejecutar pero puede inutilizar HTTPS ...
Para que la dosis del sitio no tenga que ser maliciosa, puede ser su banco. Pero, utilizando este enfoque, alguien puede obtener todos los datos de su cuenta, credenciales, etc., aunque el sitio sea HTTPS.
Una cosa a considerar muy cuidadosamente, es que ciertos antivirus funcionan al escanear el tráfico. Si el sitio utiliza HTTPS, un virus puede de hecho pasar inadvertido al radar.
Esto es especialmente importante si tiene un servicio antivirus proporcionado por su ISP, su empleador o su escuela, que se basa en un "Proxy". Esta es la razón por la que algunos proxies en realidad pretenden ser MITM como BlueCoat Proxy, y luego descomprimen el tráfico cifrado, lo leen y luego lo envían junto con un certificado falsificado (que todas las computadoras cliente detrás de este Proxy están configurados para aceptar, ya sea a través de un GPO o por un dispositivo NAC).
Por lo tanto, HTTPS es una espada de doble filo. Puede ser utilizado por los buenos para ocultar los buenos datos (números de tarjetas de crédito, contraseñas, etc.) de los malos (por ejemplo, estafadores, piratas informáticos). Pero también los malos pueden usarlo para ocultar información mala (por ejemplo, virus, archivos ilegales, etc.) de los buenos (escáneres de virus, aplicación de la ley, etc.).
Por lo tanto, en el "lenguaje de protección contra virus", debes EVITAR usando HTTPS.
Lea otras preguntas en las etiquetas tls certificates http social-engineering