Qual è la gravità di un certificato falso?

4

Non sono uno specialista della sicurezza, quindi sto leggendo questo post sul blog di Google su un certificato *.google.com falso, solleva molte preoccupazioni, se qualcuno può impersonare un sito web, in particolare un sito web di google, la mia ingenua comprensione è che questo può essere utilizzato in modo massivo per gli attacchi di phishing e le frodi relative al furto di identità.

Quello che vorrei chiedere, e per favore perdonare la mia ignoranza, è come un certificato falso utile in questo modo, se digito X.google.com , andrà comunque a un sottodominio Google (ad esempio, il truffatore dovrà anche hackerare alcuni DNS / host per essere in grado di reindirizzare al proprio sito dannoso, è corretto?)

La mia domanda è questa, un certificato falso è utile solo in combinazione con un dirottamento DNS (o qualsiasi altro metodo che punterà il dominio target del falso cert su un IP fraudolento, ad esempio modificando il file hosts ecc.)? Suppongo che non sia utile se l'utente fa clic su un link a la givemeyourlogindetails.google.somehoaxdomain.com e è tentato di pensare che sia "reale" solo perché il lucchetto è verde (e presumo che non sarà comunque verde in quanto il dominio non corrisponde)

Sono sicuro che mi manca un po 'di sicurezza 101, ma non potrei essere sicuro di comprendere appieno la grande immagine qui.

    
posta Eran Medan 03.01.2013 - 22:36
fonte

2 risposte

5

Is a fake certificate only useful in combination of a DNS hijack (or any other method that will point the fake cert's target domain to a fraudulent IP, e.g. modifying hosts file etc?)

... o man-in-the-middle per mezzo di modifiche alla tabella di routing da parte di un ISP. In ogni caso, deve verificarsi anche qualche reindirizzamento indesiderato per l'utente finale.

L'area di interesse è che il browser si fida dell'autorità di emissione e l'autorità di emissione ha inviato un certificato a qualcuno che non è il controllore del dominio. In particolare con alcuni governi, questo può essere molto preoccupante in quanto possono in silenzio reindirizzare chiunque nel loro paese torcendo il braccio di un ISP.

È per questo motivo che sostengo che DNSSEC debba essere usato come un altro canale di autenticazione per i certificati per dimostrare che qualsiasi cosa sia stata emessa è anche accettata per essere pubblicata dal proprietario del dominio.

    
risposta data 03.01.2013 - 22:45
fonte
2

Ciò accade di tanto in tanto ed è il motivo per cui gli elenchi di revoche e l'aggiornamento periodico dei browser sono importanti. Quello che succede è che un'autorità di certificazione fidata viene compromessa e quindi le persone sono in grado di produrre certificati che sembrano validi. Il browser controlla il certificato e vede che è firmato dalla CA e ne consente l'utilizzo. Non appena una CA viene rilevata come compromessa, vengono rilasciati patch per tutti i principali browser e SO che rimuovono il certificato della CA dalle CA radice attendibili, a quel punto tutti i certificati emessi sotto il certificato di origine della CA non saranno validi, compresi quelli malintenzionati rilasciato.

È una sfortunata realtà che molte CAs ombreggiate non proteggano la loro infrastruttura abbastanza bene, ma il problema è generalmente risolto rapidamente quando si verifica, quindi la probabilità di danno è in genere abbastanza minima per ogni utente particolare poiché dovrebbero anche essere in grado di reindirizzare il traffico.

In altre parole, il possesso di un certificato falso firmato da una CA compromessa non consente loro di interrompere le connessioni stabilite con il certificato originale, ma se riescono a mettersi tra il sito di destinazione e un utente, potrebbero quindi impersona il sito come un intermediario fino a quando il certificato di root della CA viene revocato.

    
risposta data 03.01.2013 - 23:12
fonte

Leggi altre domande sui tag