Mi cuenta en el registrador de mi nombre de dominio fue pirateada y estoy tratando de entender cómo los hackers pudieron robar mis credenciales de inicio de sesión. Debido a que el certificado raíz en la cadena de confianza para el certificado ssl para el sitio web del registrador de dominios usa una clave pública de 1024 bits, ¿podría esto significar que mis credenciales de inicio de sesión fueron robadas a través de algún tipo de ataque Man-In-The-Middle?
Versión detallada de mi problema:
Soy un expatriado que vive en China. Alguien intentó robar un nombre de dominio que he registrado al ingresar a mi cuenta en el registro del dominio. Los individuos responsables de la interrupción pudieron ingresar a mi cuenta dos veces. Después del primer compromiso (octubre de 2014) hice mi mejor esfuerzo para proteger la cuenta al establecer contraseñas seguras y preguntas de seguridad de la cuenta. Actualicé mis contraseñas y preguntas de seguridad de la cuenta con regularidad.
No pude identificar ningún malware en la PC (SO Linux) que estaba usando para acceder a mis cuentas en línea en el momento del primer compromiso de la cuenta; Sin embargo, con la esperanza de minimizar cualquier posibilidad de que el malware pueda infectar mi PC y robar las credenciales de inicio de sesión, comencé a usar un Chromebook.
También tomé medidas para asegurar mi conexión a Internet a través de un proxy del tráfico de mi Chromebook a través de una conexión ssh a un servidor en la nube que configuré en Digital Ocean. (Utilicé la extensión Secure Shell para Chrome para configurar la conexión ssh). Dado que el Gran Firewall de China acelera y restablece las conexiones ssh a servidores fuera del país, me conecté a mi servidor ssh a través de una VPN provista por un proveedor de servicios VPN comercial. A pesar de todo esto, mi cuenta se vio comprometida nuevamente a fines de marzo de 2015.
Después del segundo compromiso, comencé a examinar la información del certificado ssl que se muestra en mi Chromebook para los sitios web que visité y encontré algunos problemas que me llevan a creer que las conexiones de Internet de mi Chromebook estaban siendo sometidas a algún tipo de entrada manual. -El ataque del medio.
En primer lugar, para los sitios web que utilizaron certificados de validación ampliada ssl, mi Chromebook casi nunca mostraría la barra de direcciones verde (con el icono de candado). Solo vería un icono de candado verde o un icono de candado con un triángulo de advertencia amarillo.
Además, la información de la clave pública para los certificados raíz mostrada en la jerarquía de confianza del certificado para el registrador de dominios, mi proveedor de correo electrónico y muchos otros sitios en línea que visité con frecuencia mostró un tamaño de clave de 1024 bits. Al visitar los mismos sitios web desde otras PC, encontré que los certificados raíz utilizados en la jerarquía de certificados tienen un tamaño de clave de 2048 bits.
Desde mi Chromebook, exporté el certificado ssl de mi registrador de dominios utilizando el 'ASCII codificado en Base64, cadena de certificados'.
La información de la cadena de certificados está aquí para su referencia.
Al abrir este archivo en Ubuntu se muestran los detalles de cada certificado de la cadena, incluido el certificado raíz con la clave pública de 1024 bits.
La cadena de confianza del certificado muestra que los certificados intermedios en la cadena de confianza son 2048 bits y el certificado ssl del registrador es 2048 bits. (También verifiqué que la huella digital auténtica del certificado ssl del registrador de dominio era correcta a través del servicio de huellas digitales de Steve Gibson).
También encontré que la cadena de confianza utilizada al conectarse a mi servicio de correo electrónico (Fastmail) estaba usando un certificado GTE CyberTrust Global Root. Este certificado raíz parece estar apagado ya que descubrí que Fastmail utiliza un certificado de raíz EV DigiCert High Asurance en la cadena de certificados al conectarse desde navegadores que mostraban correctamente la barra de direcciones verde completa con el icono de candado.
La 'Cadena de certificados ASCII codificada en Base64' para la conexión de mis Chromebooks a Fastmail está aquí para su referencia.