¿Hay algún motivo malicioso para bloquear las CRL?

5

Me he dado cuenta de que para descifrar "ilegalmente" ciertas aplicaciones, es necesario parchear el archivo host para detener la comunicación con los servidores de activación.

He encontrado que con varias aplicaciones hay entradas que no coinciden con el resto. Estas entradas parecen parchear las listas de revocación de certificados (CRL) para Verisign, lo cual encuentro bastante sospechoso.

La entrada en cuestión es:

  

127.0.0.1 crl.versign.net

Obviamente, las CRL no tienen nada que ver con el proceso de craqueo de aplicaciones (por lo que puedo decir). ¿Hay alguna razón maliciosa para hacer esto?

    
pregunta NULLZ 28.04.2013 - 15:02
fuente

2 respuestas

3

Algunos sistemas operativos, incluido Windows, desean imponer verificaciones de firmas de DLL. La verificación implica validar la firma con la clave pública del firmante, que se encuentra en el certificado del firmante, que a su vez debe validarse. La validación del certificado incluye la verificación del estado de revocación.

En la práctica, un sistema operativo Windows que valida un certificado descargará la CRL para asegurarse de que el certificado no esté revocado. Sin embargo, si el mismo sistema operativo no puede descargar la CRL, entonces asumirá que el certificado probablemente no se haya revocado. De acuerdo con el modelo X.509 normal, cuando no se puede obtener el estado de revocación, el certificado debe ser rechazado. Sin embargo, esto significa que la aplicación no se inicia y que el consumidor no estará satisfecho (es decir, mucho más infeliz de lo que ya implica el uso de Windows); y significaría que la máquina no puede funcionar sin una conexión a Internet que funcione, lo que implicaría algunos problemas interesantes con el huevo y la gallina.

Por lo tanto, agregar una entrada que impida las conexiones al servidor de descarga de CRL de Verisign puede tener un motivo malicioso: esto permite al atacante firmar su código infame con un certificado revocado (por ejemplo, un certificado cuya clave privada ha sido robado por el atacante hace algún tiempo), mientras se mantiene una conexión a Internet en funcionamiento para dicha máquina.

    
respondido por el Thomas Pornin 28.04.2013 - 15:18
fuente
0

crl.versign.net

ortografía de la nota

Señalando que la persona que hizo ese archivo de hosts contiene la lista de Verisign. El host que aparece en la lista no parece existir y Adobe no hará referencia a él.

Quitaría esa línea del archivo de hosts o la corregiría, pero parece ser un error tipográfico. Estoy planeando eliminar esa línea porque otras aplicaciones o sitios web podrían necesitar acceder a crl.verisign.net.

    
respondido por el user72794 20.04.2015 - 02:55
fuente

Lea otras preguntas en las etiquetas