Come può un utente malintenzionato utilizzare una chiave privata trapelata?

26

Ammetto che mentre sono un programmatore, la mia conoscenza crittografica / di sicurezza è piuttosto semplice. Capisco che il potenziale di far fuoriuscire le chiavi private SSL sia citato come uno degli effetti più gravi del bug di Heartbleed. La mia domanda è: come può un utente malintenzionato utilizzare effettivamente la chiave privata?

Heartbleed.com afferma che:

These are the crown jewels, the encryption keys themselves. Leaked secret keys allows the attacker to decrypt any past and future traffic to the protected services and to impersonate the service at will.

"Decifrare il traffico passato e futuro" mi è chiaro, supponendo che l'autore dell'attacco abbia (o abbia avuto) mezzi per sniffare il traffico crittografato. Ma non riesco a capire come possano "impersonare il servizio a volontà. "

Per come l'ho capito, per impersonare il servizio, l'aggressore avrebbe bisogno di un modo per deviare il traffico verso il proprio sito o di porsi come un uomo nel mezzo. E credo che entrambi siano abbastanza difficili da realizzare (almeno quando non è coinvolta una rete non sicura come il Wi-Fi pubblico). È corretto o mi sto perdendo qualcosa?

Quindi, forse un modo diverso di esprimerla: se io, come utente finale, digito https://someorotherdomain.tld nella barra degli indirizzi del browser (e non c'è alcun problema con i certificati), quanto sono probabile che stia parlando con qualcun altro a causa alla chiave privata di someorotherdomain dopo essere stata confusa?

    
posta Angew 11.04.2014 - 13:48
fonte

3 risposte

10

So, perhaps a different way to phrase it: if I, as an end user, type in https://someorotherdomain.tld into a browser's address bar (and there's no certificate problem), how likely am I to be talking to someone else due to someorotherdomain's private key having been heartbled?

Giustamente chiedi a quanto probabile , che non richiede una risposta chiara ma piuttosto una probabilità . Quali fattori influenzano la probabilità?

  • Quanti gateway ci sono tra te e la destinazione;
  • Quanti di questi possono controllare anche le tue query DNS
  • Qual è la taglia? Oppure, visto il costo del montaggio di un attacco MITM, quali sono i possibili premi? Quale è collegato a:
  • Quanto è succoso l'obiettivo? (ad esempio spoofing di gmail.com in un servizio pubblico wi-fi in un aeroporto)
  • In quale paese sei? Forse il governo vuole sapere se hai intenzione di rovesciarli. Oppure spiano tutti, sempre, per impostazione predefinita.

Questi dovrebbero darti un rapido back-of-the-envelope calcoli sulla probabilità che questo accada a te personalmente.

    
risposta data 11.04.2014 - 14:05
fonte
21

Ecco un esempio: mio padre ha iniziato a ricevere avvisi sui certificati del browser quando è andato a Gmail. Ho esaminato il suo file host (C: \ Windows \ System32 \ drivers \ etc \ hosts) e alcuni malware l'hanno modificato per reindirizzare le richieste a gmail e un gruppo di altri siti a indirizzi IP errati che presumo siano controllati dall'attaccante. Il suo browser lo avvertì perché quei cattivi indirizzi IP non avevano la chiave privata corretta del certificato. Ora, se avessero usato un attacco di tipo heartbleed per afferrare quelle chiavi private, avrebbero potuto impersonare meglio i siti e mio padre non avrebbe mai visto un avvertimento.

    
risposta data 11.04.2014 - 14:03
fonte
2

All'interno di un ambiente cooperativo, l'autore dell'attacco potrebbe aver sniffato da uno switch di rete, tuttavia quella rete potrebbe utilizzare lo spoofing anti-arp per impedire che l'hacker utilizzi strumenti come la striscia SSL. Tuttavia ora l'attaccante ha le chiavi di crittografia che sarebbe in grado per decifrare tutto il traffico che aveva raccolto in precedenza.

    
risposta data 11.04.2014 - 14:03
fonte

Leggi altre domande sui tag