¿Es HTTPS a través de wifi todavía seguro si un hacker puede configurar un servidor DHCP no autorizado?

Navega tus respuestas
0

Siempre escuché que el ingreso de contraseñas o cualquier información confidencial al usar un punto de acceso a internet público es seguro solo cuando se visita un sitio web HTTPS, que garantiza que el URI y el certificado son válidos.

Muchos puntos wifi en mi país (Francia) están mal administrados y casi no dudo de que estén configurados correctamente. Supongo que no será difícil configurar un DHCP fraudulento .

Imagine que un pirata informático que usa la máquina 192.168.1.50 configura un DHCP falso que especifica que el servidor DNS está ubicado en 192.168.1.50. Cuando pregunto al nuevo servidor DNS la IP de mail.google.com , en lugar de dar la IP real como 172.217.18.133 googlemail.l.google.com , da la incorrecta, 192.168.1.50 googlemail.l.google.com .

Dado que el pirata informático ahora controla cualquier comunicación entre la víctima y el mundo exterior, ahora podría reutilizar el certificado real emitido por GeoTrust Global CA para el dominio mail.google.com cuando accedo al servidor HTTP en 192.168.1.50. Dado que el certificado está vinculado al nombre del dominio, pero el nombre del dominio coincide, el navegador no debería poder darse cuenta de que algo está mal.

Me imagino que me estoy perdiendo algo; de lo contrario, muchos puntos de acceso wifi serían hackeados de esta manera y HTTPS a través de wifi no se considerará seguro por más tiempo.

¿Qué hay de malo en mi razonamiento?

    
pregunta Arseni Mourzenko 25.04.2016 - 09:54
fuente

3 respuestas

5
  

Dado que el pirata informático ahora controla cualquier comunicación entre la víctima y el mundo exterior, ahora podría reutilizar el certificado real emitido por GeoTrust Global CA para el dominio mail.google.com cuando accedo al servidor HTTP en 192.168.1.50.

No, él no puede. Para identificarse con un certificado (que debe hacerse para falsificar el servidor), debe tener acceso a la clave privada del certificado, que no está disponible por el atacante. Por lo tanto, HTTPS es seguro contra la falsificación de DNS.

Para obtener más detalles sobre por qué este es el caso, consulte ¿Cómo funciona SSL / TLS? .

    
respondido por el Steffen Ullrich 25.04.2016 - 10:05
fuente
1

Steffen tiene razón al decir que el pirata informático no puede falsificar el certificado del servidor remoto a través de HTTPS y, por lo tanto, no puede interceptar el intercambio de datos cifrados sin que el usuario reciba avisos de alertas de certificados no válidos. Sin embargo:

  1. Esto no evita los ataques de eliminación de SSL.

  2. Esto no evita los ataques de fijación de sesiones a través de HTTP (lo difícil es predecir el sitio al que el usuario accederá a través de HTTPS).

Ambos se pueden prevenir con HSTS (pero este último es el resultado de un error en la implementación del sitio también).

Surge otro signo de interrogación sobre la confianza depositada en las Autoridades de Certificación y, en particular, las que podrían estar presentes en el almacén de sistemas de certificados de raíz (como las que se encuentran recientemente en Dell y Lenovo ). Si bien esto no es específico del escenario de AP no autorizado, hay ubicaciones donde se conectarán altas concentraciones de usuarios a un sitio web conocido.

Sin embargo, tenga en cuenta que todos ellos aprovechan una falla de seguridad en otro lugar.

    
respondido por el symcbean 25.04.2016 - 12:28
fuente
0

El certificado puede ser falsificado, sin embargo, el navegador arrojará un error.

Sin embargo, supongamos que un enrutador / DNS malicioso o un atacante escuchan en http / DNS a google.com y lo redirigen a un sitio con un ligero error tipográfico.

Está hablando con un amigo o está chateando con el servidor, y solo se da cuenta demasiado tarde después de escribir la contraseña, que se trata de un sitio de phishing.

O la redirección de http simplemente instala malware o intenta explorar las vulnerabilidades del navegador.

Al navegar, también no solo usa sitios HTTP, sino que también está usando un servicio de DNS potencialmente hostil. El hecho, por ejemplo, de que haya codificado 8.8.8.8 (Google) u otros servidores DNS no lo ayudará mucho. De hecho, en nuestras VPN corporativas, intercepto solicitudes de DNS a través de iptables, y se realizan con mis DNS sin importar lo que el cliente haya configurado a mano. Un enrutador malicioso puede hacer eso y algunos ISPes más dudosos ya lo están haciendo.

También puede haber un actor potencialmente malo conectado al mismo AP que está realizando un ataque de suplantación ARP. Tener un AP comprometido es la menor de tus preocupaciones. O puedes conectarte a un AP falso. De hecho, un par de malware de Windows tenía el rasgo interesante de crear un AP falso con el SSID de "Wifi público gratuito" o algo similar.

Suceden cosas malas.

Como tal, se considera una práctica de seguridad estándar usar wifi pública con un firewall fuerte, un sistema operativo actualizado y una conexión VPN, que proporcionará una conexión virtual confiable al exterior y con servicios DNS .

Además, en OS / X y iPhone, también puede instalar un perfil VPN a pedido, que garantizará que nunca se establezca una conexión con el exterior sin que primero se active la VPN.

También te enlazaré con un tema relacionado:

Es HTTPS capaz de prevenir el veneno ARP atacar en LAN?

    
respondido por el Rui F Ribeiro 25.04.2016 - 12:27
fuente

Lea otras preguntas en las etiquetas

Avast intenta conectarse a Internet cuando intento descargar el correo electrónico [cerrado] ¿Puede seguir habiendo inyección SQL cuando se almacena la contraseña como un hash?