Cómo un proveedor puede tocar una línea de Internet incluso para conexión cifrada SSL [duplicar]

Navega tus respuestas
3

Una vez escuché a alguien de mi confianza que el gobierno francés está a punto de comprar y certificar un software para poner en funcionamiento una línea de Internet incluso para la conexión HTTPS. Realmente no me importan los problemas legales que conlleva porque este producto se usará de todas formas por la ley, pero estoy bastante interesado en cómo es posible.

En el caso de HTTPS, por ejemplo, ¿cómo un software en el nivel del proveedor puede descifrar su conexión entre usted y un servidor sin romper la seguridad del protocolo HTTPS, como el hecho de que el certificado utilizado para esta conexión no es válido? O no tener más conexión HTTPS a ningún sitio web (algo que notaré con seguridad y cualquier persona cautelosa).

¿Alguna vez escuchó sobre un software o dispositivo de este tipo (no sé cómo funciona)? Y si lo haces, ¿sabes cómo funciona?

Edit 1 : Bueno, tal vez algunos de ustedes no entienden mi pregunta, no estoy preguntando si el MITM es posible con SSL o no porque sé que lo es, siempre y cuando maneje uno de los autoridad de confianza, que puede ser el caso en una empresa por varias razones (trabajo en eso una vez).
El punto aquí es poner la línea de Internet a su alcance y poder leer cualquier información que reciba. Esto no es un problema en http / ftp / y otro protocolo no cifrado

Pero mi pregunta es más sobre el protocolo cifrado con autoridad de confianza como SSL / TLS y el punto de vista del ISP, ¿es factible o no? Los ISP no poseen autoridad de confianza en la mayoría de los casos y no pueden falsificar todos los certificados sobre la marcha.

Según mi entendimiento del protocolo SSL, eso también significaría piratear la computadora seleccionada para agregarle una autoridad de confianza falsa, pero eso no suena legal ni realista con la multiplicación del dispositivo.
Nuevamente, la persona que me dijo eso es alguien en quien confío y tengo mucha curiosidad acerca de la verdad de esa afirmación.

Una idea, por ejemplo, :
el ISP establece un Envenenamiento de DNS en la línea de Internet para redirigir cualquier solicitud de autoridad de confianza a su propia autoridad, ¿le parece posible?

PS : no trabajo para nada. No soy compatible con este tipo de solución, pero tengo mucha curiosidad acerca de cómo es posible.

    
pregunta Kiwy 06.01.2014 - 17:06
fuente

2 respuestas

8

Hay organizaciones que tienen razones "legítimas" para acceder a sus comunicaciones cifradas. Su lugar de trabajo, por ejemplo, puede registrar su tráfico de Internet para asegurarse de que no esté usando las computadoras de la compañía para actividades ilegales. O pueden estar proporcionando servicios de filtrado de malware. Pueden aprovechar el tráfico https utilizando un proxy que se inyecta a sí mismo como un hombre en el medio. A las computadoras del lugar de trabajo primero se les entrega un certificado raíz de confianza emitido por el proxy (en una red de Windows, a menudo se envían a través de la Política de grupo). Cuando su navegador intenta conectarse a enlace , el proxy crea un nuevo certificado que autentica su conexión al proxy y lo envía de vuelta a su navegador. Debido a que está firmado por la raíz confiable, su navegador acepta la conexión. El proxy luego establece una conexión https con google en su nombre y envía las comunicaciones a través del proxy, registradas y filtradas según lo requiera la compañía.

BlueCoat (ahora propiedad de Symantec) elabora dicho producto, si está interesado.

Esto no funcionará simplemente si el cliente no confía en el proxy MITM. El cliente recibirá advertencias de "certificado no válido" sobre cada sitio cifrado al que intentan conectarse. Algunas personas simplemente marcarán la casilla y navegarán de todos modos, sin saber que han sido atacados.

También puedes probar esto por ti mismo usando BurpSuite (la edición gratuita puede hacer esto). Configura BurpSuite para sitios proxy https, utilízalo para generar tu propio certificado y luego configura tu navegador para que use Burp como tu proxy. Cuando visite un sitio https, verá los mensajes de advertencia de "certificado incorrecto". Si luego agrega el certificado generado al almacén de certificados de la raíz de confianza de su navegador, verá que las advertencias desaparecen, mientras aún intercepta todo el tráfico en Burp. Aquí hay un tutorial que puede seguir para hacer esto: enlace

La NSA utiliza otra forma de aprovechar una conexión cifrada. Tienen un sistema llamado QUANTUM que se encuentra en sitios clave en la red troncal y pueden responder más rápido a una solicitud que el sitio legítimo. Luego pueden redirigir el tráfico a un servidor FOXACID, que intentará explotar la computadora enviando la solicitud. Si pueden inyectar un certificado raíz (o si ya han comprometido un certificado raíz en el que su computadora ya confía), entonces pueden inyectar un proxy de hombre en el medio como el sistema BlueCoat anterior.

EDITAR: Ya que está preguntando sobre el ISP que realiza un ataque MITM, sepa que en el pasado algunos ISP han distribuido software a sus clientes en los "discos de configuración de instalación" que se incluyeron con el módem de alquiler. Si instala su disco, corre el riesgo de instalar su certificado en su máquina. No sé si los ISP de un país occidental lo han hecho (legalmente), pero no me sorprendería que ciertos países con comunicaciones estrechamente monitoreadas ya lo hagan.

    
respondido por el John Deters 06.01.2014 - 17:48
fuente
3

Su navegador no sabe qué aspecto debería tener el certificado para el servidor, de modo que cuando se conecta, simplemente mira el certificado proporcionado y verifica si está firmado por una autoridad de raíz confiable. Si el software del grifo tiene un certificado que tiene permiso para firmar certificados y está firmado por una raíz de confianza, entonces podría producir certificados sobre la marcha que afirmarían válidamente que son los sitios a los que se conecta. El proxy abriría otra conexión con el servidor real y luego estaría en el medio.

Una contramedida a esto es verificar si el certificado ha cambiado desde la última vez que visitó un sitio, pero la mayoría de los navegadores no lo comprueban e incluso si lo hicieran, los cambios legítimos ocasionales en el certificado en el servidor lo dificultarían. detectar. Sin embargo, aún requiere que el software que ejecuta el proxy de tapping tenga un certificado raíz de confianza y debe poder crear sus propios certificados para que correspondan a las URL a las que va a ir o, de lo contrario, no sería posible realizarlas.

    
respondido por el AJ Henderson 06.01.2014 - 19:39
fuente

Lea otras preguntas en las etiquetas

¿HTTPS todavía está protegido con un certificado de servidor conocido (clave privada)? ¿Por qué se considera XSS al gusano Samy?