¿Qué impide que un pirata informático instale su propio certificado de CA?

Navega tus respuestas
5

Echa un vistazo a este (ahora bastante antiguo) artículo sobre el generados certificados falsos de DigiNotar, indica lo siguiente:

  

... Tal es el caso de esa pequeña empresa en los Países Bajos,   DigiNotar. Los informes de varios sitios indican que los hackers   comprometió los servidores de la empresa y generó certificados deshonestos. Con   un certificado falso en su lugar, un pirata informático puede hacer que su sistema piense que es   utilizando un certificado legítimo y de confianza de empresas conocidas como   como Google y Yahoo. El hacker puede entonces interceptar su Internet.   conexión con el sitio que pretendía utilizar y redirigirlo a una   sitio falso, donde se te engaña para que ingreses información personal   como su nombre de usuario y contraseña. Tu computadora todavía piensa que es   conectado a un sitio de confianza ...

Esto es lo que no entiendo: en lugar de piratear los servidores de CA, ¿no sería más fácil para un pirata informático implementar un troyano que instala su propio certificado en el almacén de las autoridades de certificación de raíz confiables en la computadora de los usuarios ( y luego usar algún tipo de piratería de DNS para redireccionar el navegador de los usuarios a un servidor desde el pirata informático) y, de esa manera, ¿lograr el mismo objetivo básicamente?

Quiero decir, es bastante fácil implementar un certificado en la raíz 'autoridades de certificación de raíz de confianza' a través de un script por lotes, y con esto en su lugar, el navegador no levantará ninguna bandera porque el certificado fraudulento de los hackers es 'confiable' .

¿Por qué pasar por todos los problemas de hackear la Autoridad de Certificación? ¿Qué me estoy perdiendo aquí?

    
pregunta Jete 27.10.2013 - 18:42
fuente

3 respuestas

5

Está asumiendo que la implementación de troyanos siempre es posible. Supongamos que no lo es, pero que hay otros métodos a disposición para ejecutar a un hombre en el ataque central. Por ejemplo, un pirata informático tiene acceso al enrutador víctima y puede redirigir el tráfico DNS a su propia computadora. O un pirata informático obtuvo acceso a un servidor DNS ISP específico y luego puede falsificar respuestas para consultas como www.gmail.com y luego proporcionar un sitio https válido firmado con un certificado aparentemente válido.

También si un pirata informático puede implementar un troyano, ¿por qué incluso intentaría implementar la falsificación de sitios en la computadora de las víctimas cuando puede obtener, por ejemplo, las credenciales para algo simplemente haciendo el registro de claves?

    
respondido por el Ivan Kovacevic 27.10.2013 - 19:12
fuente
5

La instalación de una "raíz confiable" en la computadora de la víctima requiere derechos administrativos locales. Si el atacante puede hacer eso, entonces ya ha ganado.

El pirateo en el servidor de la CA para obtener un certificado falso es una forma en la que el atacante puede hacerse pasar por varios servidores y emisores "confiables" (por ejemplo, para realizar actualizaciones falsas del sistema operativo "firmadas"), para poder ingresar al usuario computadoras que no son fácilmente accesibles de otra manera (los troyanos funcionan para algunos usuarios, no para todos). Todo es cuestión de escalada . Un servidor de CA es muy sensible porque piratearlo da (más o menos) entrada automática a millones de otras computadoras.

    
respondido por el Thomas Pornin 28.10.2013 - 16:31
fuente
2

Al usar certificados falsos, no es necesario ingresar a ninguna computadora aparte de las CA. Sus certificados serán automáticamente considerados legítimos por todos los navegadores. Si el CA no está asegurado adecuadamente, este enfoque es seguramente más fácil que dividirse en muchas computadoras e instalar troyanos en todas ellas.

Para resumir: Va a llegar a mucha más gente al ingresar a una CA. E incluso si te estás dirigiendo a ciertas personas (que pueden ser muy conscientes de la seguridad), no tienen forma de decir que están tratando con certificados falsos.

    
respondido por el ln e 27.10.2013 - 19:22
fuente

Lea otras preguntas en las etiquetas

¿Cómo se reúnen Tor, Privoxy, Vidalia y Polipo? ¿Qué se puede hacer para salvar la brecha de aire, excepto la ejecución automática?