Cadena de causalidad en la violación de Equifax (certificados caducados que deshabilitan las capacidades de IPS)

1

Estoy investigando la violación de Equifax descrita aquí: enlace

Al parecer, el ataque no se detectó durante un largo período de tiempo y la razón principal que lo explica son los certificados caducados: debido a los certificados caducados, el IPS de Equifax no pudo inspeccionar el tráfico cifrado y detectar el incumplimiento a tiempo.

- Edite, según la respuesta de Steffen Ulrich a continuación -

La página 34 del informe proporciona algunos detalles más:

  

El SSL expirado   El certificado se instaló en un dispositivo de monitoreo de tráfico llamado SSL   Dispositivo de visibilidad (SSLV ).195 Este dispositivo permitió a Equifax inspeccionar   El tráfico cifrado fluye hacia y desde la plataforma ACIS mediante el descifrado   El tráfico para su análisis antes de enviarlo al ACIS.   Servidores.196 Tanto el sistema de detección de intrusos como el intruso.   El sistema de prevención estaba detrás de este dispositivo de monitoreo.

Y más abajo en la misma página:

  

La configuración predeterminada para este dispositivo permite web   tráfico para continuar a través del sistema ACIS, incluso cuando el SSL   el certificado ha caducado. Cuando esto ocurre, el tráfico que fluye hacia y desde   Internet no es analizado por la detección o prevención de intrusos.   sistemas porque estas herramientas de seguridad no pueden analizar el tráfico cifrado.   Según los documentos obtenidos, el certificado SSL instalado en el   El dispositivo SSLV que supervisa el dominio ACIS ai.equifax.com expiró el   31 de enero de 2016. Como resultado, Equifax no tuvo visibilidad en   el tráfico de red en el entorno ACIS durante diecinueve meses

- final de edición -

Según mi investigación, aún debería ser posible descifrar datos, incluso con un certificado caducado. Considere, por ejemplo, esta publicación aquí: enlace

No estoy familiarizado con los productos IPS y las respectivas posibilidades de configuración, por lo que estoy un poco confundido: ¿Cuál es exactamente el problema con el certificado caducado? ¿El IPS está comprobando la validez y en caso del certificado? ¿Está vencido solo se niega a descifrar el tráfico? Si es así, parece que debería haber al menos una opción para descifrar de todos modos y emitir una advertencia a quien esté ejecutando el IPS. ¿Hay tal cosa?

Gracias por su perspicacia y saludos

    
pregunta Mischa Obrecht 18.12.2018 - 07:59
fuente

1 respuesta

1

Sospecho que el informe es un tanto engañoso al reclamar el certificado caducado como el problema. No se puede utilizar un certificado para descifrar el tráfico, sino que se necesita la clave privada que coincida con el certificado. Esto es al menos cierto para el intercambio de claves RSA (obsoleto) que supongo que se usó aquí: para la inspección con el intercambio de claves DH, uno necesitaría el secreto pre-maestro de cada conexión TLS y no se podría utilizar ni el certificado ni la clave privada.

Por lo tanto, es probable que el problema no sea el certificado caducado, sino que la clave privada instalada en el dispositivo coincidiera con la clave pública del certificado caducado, pero no con la del certificado nuevo. Esto es probable porque el nuevo certificado no reutilizó la clave del certificado anterior, sino que se creó un nuevo par de claves. Para una inspección exitosa, la nueva clave privada que coincide con la nueva clave pública en el nuevo certificado tuvo que estar instalada en el dispositivo de inspección.

    
respondido por el Steffen Ullrich 18.12.2018 - 08:14
fuente

Lea otras preguntas en las etiquetas