SSL interrotto su ogni sito web [duplicato]

16

Uno dei miei amici mi ha chiamato dicendo che ogni sito web a cui va incontro la famiglia ha certificati SSL non attendibili. Da qualsiasi computer di casa sua, HTTPS è rotto e Firefox o Chrome chiede di aggiungere un'eccezione per il sito che sta tentando di essere visitato.

Sospetto che il "IT" che ha creato la sua rete, abbia anche installato MITM. Una volta che vado a casa sua, questa settimana, posso fare altre indagini.

La mia domanda è questa come sarò in grado di rilevare il MITM? La mia ipotesi sarebbe quella di confrontare i certificati su una macchina che può connettersi allo stesso sito tramite una rete diversa.

    
posta Nitrous 22.11.2015 - 20:01
fonte

4 risposte

12

Il primo controllo che vorrei fare in questa circostanza è vedere perché il browser pensa che il certificato non sia attendibile.

Il caso più probabile (dato che si tratta di ogni sito che si sta utilizzando) è che i certificati presentati nel browser vengono emessi da un'autorità di certificazione non attendibile.

Se fai clic sul messaggio di errore, dovrebbe essere possibile vedere chi è la CA di emissione. Ad esempio sul cert sotto l'emittente è Comodo

Questo dovrebbe darti un buon indizio su cosa sta succedendo. Se si presenta come un noto fornitore di antivirus, è possibile come dice @vilican, che è solo un software mal configurato e non qualcosa di malevolo.

Dopo aver verificato che, supponendo che non l'hai risolto, la mia prossima fermata sarebbero le impostazioni del proxy per il browser e / o il sistema operativo. Se è impostato un proxy qui, disinserirlo, controlla se questo influisce sul problema.

Supponendo di superare questi due senza una risoluzione, il prossimo passo sarebbe considerare la possibilità che il router / firewall sulla rete stia intercettando il traffico SSL. È possibile verificarlo aggiungendo una nuova macchina alla rete (che si sa che non ha il problema) e vedere se si inizia a ricevere avvisi di certificati SSL. Se questo risulta essere il problema, dovrai parlare con chiunque abbia l'accesso per configurare il router. Anche in questo caso potrebbe trattarsi di una funzione di sicurezza che esegue questa operazione e non è effettivamente dannosa ...

    
risposta data 22.11.2015 - 21:07
fonte
9

Mi sono imbattuto in un problema simile una volta. La data sul computer è stata impostata in modo errato - un anno dopo l'anno in corso e ha causato l'invio di tali messaggi a tutti i certificati.

Una cosa semplice e facile da controllare prima.

    
risposta data 22.11.2015 - 23:46
fonte
6

My question is this how will I be able to detect MITM?

Il modo più semplice è di interrogare il resolver DNS per l'IP di qualche sito dalla rete e quindi scrivere l'IP effettivo da qualche parte. Quindi fai la stessa query sulla rete del tuo amico. Se gli IP sono diversi, è tempo di vedere quale resolver ricorsivo usa il tuo amico. Un buon inizio per questo è la ricerca nel router (server DHCP), che accanto all'assegnazione degli IP comunica ai computer i server DNS. Il secondo punto è su ogni computer in rete - server DNS statico nelle interfacce.

Se sono uguali, controlla il software antivirus del tuo amico. So che Avast ha la funzione di scansionare i web HTTPS. Il punto è che sostituisce i certificati HTTPS con il proprio, e se non si installa la radice come attendibile, tutte le connessioni HTTPS non saranno attendibili.

    
risposta data 22.11.2015 - 20:45
fonte
1

Rory ha la risposta giusta qui , ma volevo aggiungere altro. Ho provato a inserirlo in un commento, ma è troppo grande per questo, quindi sto postando una risposta.

Controllare l'emittente è il modo più semplice per identificare un MITM, anche se, come notato anche da Rory, il MITM potrebbe non essere un uomo malvagio nel mezzo, il software di sicurezza può farlo.

Per quanto riguarda il controllo dell'emittente, utilizzerei Firefox per ottenere le informazioni sul certificato. Se Firefox non accetta la CA emittente e la CA è installata sul computer locale, direi che è MITM ed elimina il certificato dall'archivio certificati OS. Firefox incorpora il proprio archivio di CA affidabili e non si fida degli archivi del sistema operativo. Tuttavia, è tristemente banale modificare in modo trasparente anche l'archivio CA di fiducia di Firefox, quindi non è un modo garantito per controllare.

Su Windows con cose come WFP un MITM può essere impostato senza modificare nessuna delle impostazioni del sistema operativo, rendendo molto difficile per un utente identificare chiaramente il software sorgente dietro la deviazione. WinDivert è un esempio di tale libreria, rende banale la configurazione di qualcosa come un MITM senza modificare alcun valore di configurazione osservabile. Tuttavia, il collegamento al WFP richiede la creazione di un driver firmato.

Quindi, per rilevare anche questi attacchi, puoi verificare i servizi e i driver installati / in esecuzione da una console con diritti di amministratore con due query:

Per ottenere servizi installati / in esecuzione:

sc query

Per ottenere driver installati / in esecuzione:

driverquery

Nota che questo aiuterà a decidere chiaramente se qualcosa sta intercettando il traffico HTTPS localmente. Identificare e ripulire tutto ciò che è responsabile è completamente diverso.

    
risposta data 23.11.2015 - 04:00
fonte

Leggi altre domande sui tag