Problema con los certificados de seguridad en el WiFi de los padres

4

Fui a la casa de mis padres para Pascua y mi primo me preguntó por qué comenzó a recibir errores de certificado en su iPhone. No pensé mucho en eso hasta que fui a mostrar a mi familia una aplicación de Android en la que he estado trabajando y de repente me encontré con problemas similares.

Algunosantecedentes:

LaaplicaciónestáusandoAuth0paramanejareliniciodesesióndeOAuthyestoyusandomicuentadeGoogleparainiciarsesión.Alintentariniciarsesión,recibolaadvertenciaanteriorconelerror:

  

Hayproblemasconloscertificadosdeseguridaddeestesitio.

CuandohiceclicenVercertificado,obtengolosiguienteparaitunes.apple.com:

YcuandohagoclicenVerinformacióndelapágina,puedesverquelapáginaesdefinitivamenteaccounts.google.com:

Cuandoejecutolaaplicación,noensuWiFi,funcionabien(sinerroresdecertificado)yverifiquéquemiprimotambiéndejóderecibirloserroresdecertificación.

¿Quéestápasandoaquí?¿Algunaideasobrecómosolucionaresteproblemaaúnmás?SuenrutadoresunantiguoLinksysWRT160Nquenohatenidoactualizacionesdefirmwaredesde2009,¿asíquetalvezfuehackeado?

Actualizarparaincluirnslookup:

    
pregunta Kit Menke 02.04.2018 - 22:50
fuente

3 respuestas

5

Ese enrutador en particular se encontró vulnerable en 2014 para el MoonWorm. Es posible que haya sido víctima de alguien que está intentando falsificar credenciales o información de tarjetas de crédito desde su casa.

Recomiendo verificar sus detalles de pago, cambiar contraseñas y reemplazar el enrutador.

    
respondido por el Lucas Kauffman 03.04.2018 - 04:59
fuente
1

Estos síntomas sugieren un ataque de hombre en medio. Una pieza de malware que se ejecuta en el enrutador puede generar certificados falsos sobre la marcha: es fácil de completar todos los campos, pero si el atacante no tiene acceso a la clave privada de un certificado raíz confiable, no puede firmarlo correctamente. , interceptando el tráfico HTTPS, y pretendiendo ser servidores web misceláneos. Debido a que su tráfico fluye a través de su enrutador WiFi cuando está conectado a él, este tipo de ataque no necesariamente tiene que aparecer en los registros DNS; un enrutador directamente en la ruta desde usted al servidor web tiene el poder de actuar como si fuera un punto final de TCP. Si, por una razón u otra, el usuario se equivoca y elige aceptar el certificado falso como válido, el malware que se ejecuta en el enrutador puede escuchar y manipular el tráfico de este usuario a este servidor, y utilizar este poder como un trampolín para avanzar. ataques, cuyos objetivos pueden incluir uno o ambos del hardware o la identidad legal del usuario.

Es posible que pueda diagnosticar esta clase de problemas al intentar las conexiones TCP a los servidores HTTPS lejanos pero al establecer el valor TTL en valores bajos. ( hping3 es una herramienta útil para este tipo de experimentos). Normalmente, en cada salto en la ruta de un paquete IP, los enrutadores disminuyen el campo del encabezado TTL del paquete IP en uno, y cuando TTL llega a cero, el paquete no será reenviado en su lugar, los enrutadores corteses enviarán de vuelta una respuesta ICMP TTL caducado . Esta estrategia ayuda a protegerse contra los paquetes inmortales que viajan eternamente a los bucles de enrutamiento accidentales, desperdiciando recursos. También es útil para herramientas de diagnóstico como traceroute .

Supongamos que estás a un salto del enrutador WiFi y, por ejemplo, accounts.google.com está a diez pasos. Si envía a accounts.google.com:443 un paquete TCP con su conjunto de indicadores SYN, lo que indica que está intentando abrir una conexión HTTPS, pero su TTL tiene un valor de, digamos, cinco, el paquete nunca debería poder para llegar a accounts.google.com, así:

$ sudo hping3 -c 3 -p 443 -S -t 5 accounts.google.com
HPING accounts.google.com (en1 216.58.209.141): S set, 40 headers + 0 data bytes
TTL 0 during transit from ip=62.115.61.30 name=google-ic-314684-s-b5.c.telia.net

(Sin embargo, tenga en cuenta que la respuesta ICMP puede, en estos días, no entregarse o perderse en el tráfico, por lo que el criterio de diagnóstico es la falta de una respuesta TCP SYN + ACK en lugar de la llegada de una respuesta ICMP caducada TTL).

Sin embargo, si obtienes una respuesta de SYN ACK, como esta:

len=44 ip=216.58.209.141 ttl=59 id=23005 sport=443 flags=SA seq=0 win=42780 rtt=8.1 ms

significa que alguien dentro de cinco saltos tuyos, lo cual, si estás a diez saltos de una cuenta genuina.google.com, es casi un impostor infame - está respondiendo al tráfico destinado a accounts.google.com. y puede estar seguro de que algo está mal dentro de estos cinco saltos en la ruta IP.

Sin embargo, tenga en cuenta que el malware inteligente puede ser inteligente para este truco, por lo que es concluyente en una sola dirección. Si, de hecho, no puede llegar a los servidores lejanos con paquetes de bajo TTL, insinúa, pero no hay pruebas sólidas contra, la presencia de malware MiTM en el enrutador WiFi. También tenga en cuenta que es bastante posible estar más cerca de diez saltos de accounts.google.com, por lo que es posible que desee jugar un poco con el valor TTL (opción -t a hping3 ).

    
respondido por el dig 05.04.2018 - 00:57
fuente
0

Creo que Dig lo dijo mejor aquí, pero parece un hombre en el ataque central. Parece increíblemente similar y se comporta como un proxy transparente en este sentido. Creo que el enrutador está comprometido. Comprar uno nuevo sería su mejor opción, una prueba divertida podría consistir en actualizar el último firmware y probar de nuevo con algo que no pasa información personal. Si sucede después de la sustitución del enrutador, estaría llamando al ISP.

Una segunda prueba puede valer la pena probar si el hecho de enchufarlo directamente al módem sigue dando los mismos resultados. Si puedes en este caso.

    
respondido por el Stlprice 07.04.2018 - 18:55
fuente

Lea otras preguntas en las etiquetas