Se puede robar la contraseña al hacer IMAP / SMTP protegido por SSL / TLS en una red pública

0

Probablemente me robaron la contraseña de mi correo electrónico mientras estaba de vacaciones en otro país y estaba usando las redes WiFi del hotel (y quizás otros, no recuerdo) para leer y, opcionalmente, enviar correos electrónicos desde mi teléfono con Android.

Los mensajes de spam rebotados comenzaron a inundar mi buzón pocos días después de que llegara allí. El servidor de correo electrónico de nuestra compañía implementa SSL en IMAP y TLS en SMTP, y tiene un certificado válido emitido por CA.

¿Se puede robar teóricamente las credenciales que tienen control total sobre su red? El hombre en el ataque central con libertad ilimitada: ¿cambiar los registros de DNS, etc.? Mi visión es que incluso si pudiera cambiar la entrada de DNS para nuestro servidor de correo y proporcionar la IP de su servidor, ¿cómo podría sustituir el certificado que es válido para el nombre de nuestro servidor? ¿Se puede encontrar una CA que pueda emitir el certificado sin verificar adecuadamente si el servidor es propiedad del cliente? ¿O puede de alguna manera reemplazar el nombre simbólico de mi servidor mail.example.com con su servidor mail.intruder.com y obtener el certificado para mail.intruder.com ?

Apenas puedo ver cómo se puede hacer esto con DNS, de lo contrario todas las contraseñas en el mundo serían robadas. Pero tal vez me esté perdiendo algo, como escenarios relacionados con STARTTLS. Mi teléfono está configurado para no aceptar certificados que no sean de confianza.

    
pregunta DimaA6_ABC 18.07.2018 - 15:40
fuente

2 respuestas

1

En primer lugar, los mensajes de spam rechazados que usted ve pueden suceder sin importar si sus credenciales fueron robadas. La falsificación de remitentes es en realidad muy común cuando se envía spam. Es similar a escribir una dirección diferente a la suya como remitente en el sobre de un correo postal: todos pueden hacerlo fácilmente.

En cuanto a la posibilidad de robar sus credenciales: esto depende de su configuración específica. Si IMAP o SMTP están configurados para no aplicar TLS pero para usar TLS solo cuando esté disponible (es decir, opcional, no obligatorio), el atacante podría montar un hombre en el ataque central (falsificación de ARP, falsificación de DNS, etc.) y afirmar que es un servidor de correo que no es compatible con TLS. Si su cliente de correo solo usa TLS opcionalmente, continuará con la conexión y el inicio de sesión sin TLS, por lo que presentará las credenciales al atacante.

Si, en cambio, tanto IMAP como SMTP en su cliente están configurados para el TLS obligatorio con la validación completa del certificado y el rechazo si el certificado no puede ser completamente confiable, entonces no es posible un hombre en el ataque central sin hacer cambios en su sistema, siempre que el atacante no haya tenido acceso al certificado original y la clave del servidor o haya logrado obtener un certificado válido de una CA de confianza (ambos poco probables).

    
respondido por el Steffen Ullrich 18.07.2018 - 17:08
fuente
0

Ok, el misterio está resuelto. Mi teléfono antiguo estaba configurado para aceptar todos los certificados para ssl / tls. Quizás los androides más viejos, además, puedan cambiar a no-tls si el servidor dice que no es capaz de hacerlo.

Estoy bastante seguro de que la contraseña fue robada, porque nuestro administrador revisó el registro del servidor smtp y confirmó que se estaban autenticando diferentes ips con mis credenciales. Pero esos muchachos han puesto un gran esfuerzo en eso, no estoy seguro si valió la pena. Tal vez usaron el software de algún hacker empaquetado, no creo que alguien esté hackeando mis credenciales ad hoc. Tal vez fue una vulnerabilidad ampliamente conocida.

    
respondido por el DimaA6_ABC 18.07.2018 - 17:37
fuente

Lea otras preguntas en las etiquetas