Vorrei ricordarti che un attacco di avvelenamento ARP funziona a livello 2 OSI, mentre HTTPS funziona a livello 5.
Oppure, per porre meglio il problema, il tuo dubbio sembra essere che qualcuno che ascolta la conversazione o esegua un attacco MitM (man-in-the-middle) possa compromettere la sicurezza di una conversazione SSL senza che l'utente se ne accorga.
L'attacco di avvelenamento ARP altera solo la route predefinita dei pacchetti in uscita, poiché le macchine di attacco avvelenano le tabelle ARP delle vittime come post router.
Le tecnologie SSL complicano il proxy, ma l'impresa non è impossibile. In effetti, alcuni prodotti di sicurezza / firewall aziendali implementano una tecnologia che fondamentalmente sono gli attacchi MitM per poter ascoltare i dialoghi HTTPS e rilevare il malware.
Per stabilire un attacco / proxy MitM riuscito a una sessione protetta da X.509:
. l'utente deve essere poco istruito per accettare un certificato errato;
. oppure devi ingannare il browser dell'utente perché il certificato sia legittimo.
Per questo effetto si cerca la collisione di HASH nei protocolli più vecchi (ad esempio, i certificati SHA-1 vengono gradualmente eliminati) oppure si installa un certificato di root nel computer della vittima.
In un'impostazione aziendale, normalmente l'annuncio pubblicitario diffonde un certificato di origine per quell'effetto. Alcuni malware sono noti anche per l'utilizzo di queste tecniche, e almeno un fornitore di hardware e una società di AV sono stati cotti nell'opinione pubblica per fare ciò, il primo ad essere in grado di inserire annunci nelle proprie pagine, il secondo per la ricerca di virus sul SO livello senza utilizzare plug-in dedicati per il browser.
Il Kazakistan ha raggiunto un livello completamente nuovo e sta facendo attacchi MitM a livello di paese, tramite una CA radice obbligatoria che deve essere installata su qualsiasi dispositivo utilizzando una connessione nazionale per le telecomunicazioni:
link
link
Questa particolare tecnica genera al volo un certificato valido per le richieste HTTPS che intercetta e che ha come root la CA ROOT installata sulla vittima.
Hai un thread slashdot che parla della tecnica qui:
link
Un articolo di Sophos che spiega come funziona l'attacco SuperFish nel malware di Lenovo:
link
Puoi anche farlo in un sistema Unix:
link
SSLsplit supports plain TCP, plain SSL, HTTP and HTTPS connections
over both IPv4 and IPv6. For SSL and HTTPS connections, SSLsplit
generates and signs forged X509v3 certificates on-the-fly, based on
the original server certificate subject DN and subjectAltName
extension.
Quindi evidentemente mentre HTTPS è meglio di niente, non è perfetto.
È molto più sicuro utilizzare le VPN quando si utilizza Internet in ambienti più ostili e specialmente negli hotspot Wi-Fi gratuiti.
Come elemento interessante, le forze dell'ordine hanno stazioni di intercettazione obbligatorie nei principali ISP, con software / interfacce che implementano questi attacchi MitM e sono in grado di iniettare corrotti eseguibili / falsi aggiornamenti del SO per prendere il controllo di un computer vittima, come documentato dal manuali di amministrazione / sistema / operatori che sono trapelati da Snowden o Assange (non ricordo)
Collegamento all'articolo e perdita di manuali in formato PDF
link
Inoltre, una volta e l'altra, vedrai che ci sarà una puzza sui registrar che rilasciano certificati noti come google.com con "errore", "test tirocinanti" o perché sono violati. La polemica è che ciò mina ulteriormente la sicurezza e la fiducia di SSL, e non sarei sorpreso se alcuni di questi errori servissero ad aiutare le proprie forze di sicurezza / intelligence / forze dell'ordine a curiosare su qualcuno, ad esempio usando google.