Sustitución del certificado por antivirus [duplicado]

Question

Sustitución del certificado por antivirus [duplicado]

#1 de DrDamnit (1 votos)

0

Instalé un antivirus y noté que todos los sitios https que estoy visitando usan el certificado del fabricante del antivirus. Parece un ataque de hombre en el medio y entiendo por qué lo hace el fabricante del antivirus: es la única forma de verificar https de tráfico y encontrar amenazas.

Pero mi conocimiento no es suficiente para responder a las siguientes dos preguntas:

¿Qué es el nuevo certificado? ¿Es el certificado que se generó en mi computadora cuando estaba instalando el antivirus? ¿O es el único certificado para todos los usuarios de este antivirus?
¿Cuáles son los nuevos vectores de ataque con este certificado sustituido?

cryptography tls certificates antivirus

pregunta demas 07.08.2017 - 22:37

fuente

1 respuesta

Lea otras preguntas en las etiquetas cryptography tls certificates antivirus

¿Cómo determinar el tráfico de salida de malware? ¿Cómo bloquear la ip local con el Firewall de Windows?

score 1 · Accepted Answer

¿Qué es el nuevo certificado?

Esto depende de su fabricante de AV. debería ser un certificado generado completamente nuevo que se firma (o autofirma) en el momento de la instalación, que luego se coloca en su tienda raíz de confianza. De esta manera, el certificado se desacopla del proveedor de seguridad y la clave privada es ... bueno ... privada y única para su computadora. Sin embargo, eso puede o no puede suceder. El proveedor de AV podría usar un único certificado que generaron e incluyeron con el instalador. En este último caso, si el proveedor de seguridad pierde el control del certificado o las claves de firma, deja a los consumidores vulnerables.

¿Cuáles son los nuevos vectores de ataque

Los vectores de ataque incluyen:

Actores malos que reemplazan el certificado con su propio tráfico de rastreo.
El proveedor de seguridad está haciendo algo estúpido con el certificado como incluida la clave privada para que los atacantes puedan copiar sus propios certificados desde esa clave y espiar su tráfico.
Alterar, cambiar e inyectar contenido en las páginas que visita.
Proveedor de seguridad que usa seguridad débil en los certificados, que es fácil de romper para los malos actores y, por lo tanto, pueden utilizar el certificado instalado en su máquina.

Hay muchos otros ejemplos de fallas resultantes de malas implementaciones, que resaltan las complejidades y complejidades de tratar de hacer esto correctamente. En mi opinión, no es necesario que un proveedor de seguridad haga esto. Los proveedores afirman que lo protegerá de los peligros de la web, pero este supuesto aumento de seguridad (modesto en el mejor de los casos) lo abre al eslabón más débil de toda la cadena del proveedor. (Más humanos, más problemas.)