¿Cómo puedo saber que los certificados de CA en mi computadora no se han falsificado?

6

Por lo que sé, el navegador contiene los certificados de varias CA. Cuando accedo a enlace , el sitio dice que es Gmail, expone un certificado firmado por uno de los CA que tengo en mi computadora, de esa manera sabe que el sitio es quien pretende ser desde que un CA respaldó esta afirmación.

Pero, ¿qué pasa si en la computadora de mi oficina, mi empleador establece su propio certificado de CA en las máquinas y hace un ataque Man-in-the-Middle?

  1. Mi empleador almacena un certificado de CA falso en todas las máquinas como Googlee Corp. (observe el error tipográfico)
  2. Accedo a enlace
  3. Un proxy captura la solicitud, envía la respuesta por proxy.
  4. El proxy devuelve un certificado personalizado firmado por Googlee Corp.
  5. Mi computadora asume que el certificado es válido, porque un certificado de CA instalado en mi computadora respalda la reclamación.
  6. El navegador muestra que estoy a través de una conexión segura a Gmail.

Gracias.

    
pregunta vtortola 21.08.2013 - 13:53
fuente

6 respuestas

8

Una vez, puede comprobar sus certificados raíz contra un libro de papel: enlace

En estos días, intente verificar tantas fuentes independientes como sea posible, por ejemplo, instale diferentes navegadores en diferentes sistemas operativos en máquinas virtuales y vea si coinciden entre sí.

Si le preocupa específicamente su empleador, imprima una lista de las CA raíz en el trabajo y llévela a su casa y compárela con la máquina de su casa. (O viceversa, traiga una copia impresa de su casa). Si trabaja en algún lugar que no está permitido, me sorprende que no se le haya dicho simplemente que acepte un nuevo certificado y que de todos modos lo supervisarán.

Si cree que la NSA ha comprometido tanto su trabajo como su hogar, y cualquier persona a quien le pida que grabe un CD-ROM para una instalación limpia también podría ser una planta de la NSA, tiene más problemas. (Y si tienes razón para pensar eso, incluso mayores problemas que eso.)

Editar: Algo que olvidé: fijación de certificados (proyecto de norma) . Esto le avisará si el certificado utilizado por ej. enlace cambia de manera inesperada, por lo que puede alertarlo sobre un ataque MITM. Una explicación de cómo funciona para Google: enlace

Y DANE . Eso no es realmente algo que puedas hacer, pero es algo que puede alertarte sobre ese tipo de ataque si se adopta. Consulte también enlace

    
respondido por el armb 21.08.2013 - 16:15
fuente
6

Si alguien (alguien) tiene acceso de administrador / administrador a su máquina, ya no es su máquina: usted, en el mejor de los casos, la comparte con ellos. Técnicamente hablando, son libres de reemplazar cualquiera (o todos) sus certificados raíz con copias exactas que solo tengan una clave pública diferente.

La única forma en que puede detectar la falsificación es verificar la huella digital de CADA certificado raíz contra una versión válida conocida (tal vez tomada de otra computadora confiable).

Además, a menos que verifique toda la cadena de confianza manualmente cada vez que se conecte a un sitio web, deberá verificar TODO el certificado en su tienda raíz de confianza. De lo contrario, se puede usar una sola raíz para firmar certificados intermedios y de hoja que no tienen nada que ver con el nombre de la CA (por ejemplo, puede usar una raíz etiquetada como "CA raíz de Microsoft" para firmar un certificado de CA intermedio que dice ser de Thawte). y utilice ese certificado intermedio para validar un certificado de servidor web para www.gmail.com).

    
respondido por el Stephane 21.08.2013 - 14:29
fuente
4

Una cosa a mencionar es que Google Chrome espera que todos los sitios propiedad de Google (GMail, YouTube, Google+ y todos los sitios de búsqueda) presenten un certificado muy específico. No solo uno de confianza, sino el que Google conoce que proporciona con estos sitios. Si has sido MITMed, los certificados no coincidirán y Chrome te avisará. Esta práctica se denomina "fijación de certificados", y no es infrecuente (aunque un software diferente fijará certificados diferentes, por supuesto). También puede hacerlo usted mismo, ingresando a su almacén de certificados e instalando un certificado que sepa que es de GMail, y luego especifique que no aceptará ningún otro certificado para el dominio listado hasta que diga lo contrario.

Dado que la computadora, en este caso, pertenece a su empleador, es relativamente fácil para su empleador trabajar alrededor de ella; simplemente pueden tomar medidas para imponer una oficina solo para IE. La Política de grupo también permite que un controlador de dominio de Windows envíe los certificados que deseen (y que rescindan o revoquen a otros). En resumen, si se trata de la red de su empleador y la computadora de su empleador, es muy poco lo que su empleador no puede hacer con respecto a sus expectativas de privacidad en el trabajo,

    
respondido por el KeithS 21.08.2013 - 16:44
fuente
2

La confianza tiene que comenzar en alguna parte. Los certificados Root CA en su sistema son el comienzo de esa confianza. No hay forma de validarlos. Puede intentar obtenerlos de varias ubicaciones para asegurarse de que pertenezcan a la empresa que dicen ser, pero en última instancia, instalarlos es una declaración de que confía en ellos para decir en quién debe confiar y que es un acto de fe.

    
respondido por el AJ Henderson 21.08.2013 - 15:42
fuente
2

Si un tipo malo controla una CA en la que su computadora confía (por ejemplo, porque se instaló como una CA raíz en su máquina), entonces ese atacante no necesita confiar en nada tan crudo como un nombre tipográficamente similar; puede hacer un certificado falso que dice "gmail.com" en todos sus detalles, y reclamar estar certificado por VeriSign, la Administración de Alimentos y Drogas y el Papa. Se dice que los certificados raíz son "raíz" porque realmente están en la raíz de su confianza.

Usted podría intentar obtener una validación externa; por ejemplo, puede intentar llamar a la sede de Google, pedir hablar con un administrador de sistemas y ver si puede explicarle, por teléfono, la "huella digital" del certificado. Entonces podrías compararlo con lo que ves a tu lado; Esto detectaría juego sucio. Sin embargo, esto supone que el teléfono es "intrínsecamente seguro" (una aseveración bastante dudosa en el mejor de los casos), y también que encontrará en Google un administrador de sistemas con suficiente tiempo libre y humor para responder a esa solicitud. p>

Un problema más fundamental es que si algún atacante podría plantar una CA deshonesta en su computadora, entonces hay pocas razones para creer que se detuvo allí. La manipulación de la tienda de confianza requiere derechos administrativos; el mismo atacante podría haber instalado un registrador de claves u otro tipo de malware. Incluso podría hacerlo luego porque las actualizaciones de software normales están firmadas: con su CA deshonesta, el atacante podría firmar falsamente algunas actualizaciones falsas llenas de código desagradable.

Por lo tanto, la sabiduría habitual es que si sospecha que su CA raíz ha sido manipulada, entonces realmente no puede salvar su máquina, excepto con un formato completo y reinstalación del sistema operativo (y, aun así, esto limpia la máquina solo si no se ha instalado ningún virus en las partes que se pueden flashear (como el BIOS y el firmware de algunos periféricos).

    
respondido por el Tom Leek 21.08.2013 - 17:42
fuente
0

Tarde a la fiesta ... Puedes usar esta herramienta de huella digital:

enlace

Vaya allí, escriba cualquier sitio web (URL) que le interese y compare la huella digital que se muestra con la que muestra su navegador.

Si las huellas digitales no coinciden, el proxy de su empleador intercepta su conexión.

Lo más probable es que esto funcione, cuando la organización que ejecuta el proxy es en sí misma una Autoridad de Certificación confiable o los certificados raíz de su máquina han sido manipulados, porque el certificado, aunque se emitió con el nombre correspondiente del sitio web, no tendrá la misma huella .

Para solucionar esto, el empleador tendría que manipular el navegador para mostrar una huella digital diferente a la que realmente tiene el certificado en uso, lo que considero poco probable. Puede probar incluso este caso con una máquina con un sistema operativo "limpio" / en vivo en la red del empleador y comparar los certificados mostrados.

    
respondido por el Marcel 20.10.2014 - 15:52
fuente

Lea otras preguntas en las etiquetas