HTTPS è in grado di prevenire l'attacco di veleno ARP in LAN?

4

Simulo un attacco velenoso ARP nella mia rete LAN. Nella rete ho 4 dispositivi: vittima, attaccante, router e un server web.

La vittima tenta di accedere al sito Web sul server Web e l'autore dell'attacco intercetta il canale tra la vittima e il router.

Potrei usare questo attacco MiTM con successo quando ho usato HTTP. Ho configurato il mio server web Apache e fornisce HTTPS, ma posso ancora intercettare il canale. Il lucchetto HTTPS è rosso, ovviamente a causa del certificato, ma dice che la connessione utilizza TLS 1.2. Quindi qualcuno può chiarirmi?

    
posta ampika 17.01.2016 - 12:55
fonte

2 risposte

3

Vorrei ricordarti che un attacco di avvelenamento ARP funziona a livello 2 OSI, mentre HTTPS funziona a livello 5.

Oppure, per porre meglio il problema, il tuo dubbio sembra essere che qualcuno che ascolta la conversazione o esegua un attacco MitM (man-in-the-middle) possa compromettere la sicurezza di una conversazione SSL senza che l'utente se ne accorga.

L'attacco di avvelenamento ARP altera solo la route predefinita dei pacchetti in uscita, poiché le macchine di attacco avvelenano le tabelle ARP delle vittime come post router.

Le tecnologie SSL complicano il proxy, ma l'impresa non è impossibile. In effetti, alcuni prodotti di sicurezza / firewall aziendali implementano una tecnologia che fondamentalmente sono gli attacchi MitM per poter ascoltare i dialoghi HTTPS e rilevare il malware.

Per stabilire un attacco / proxy MitM riuscito a una sessione protetta da X.509:

. l'utente deve essere poco istruito per accettare un certificato errato;
. oppure devi ingannare il browser dell'utente perché il certificato sia legittimo.

Per questo effetto si cerca la collisione di HASH nei protocolli più vecchi (ad esempio, i certificati SHA-1 vengono gradualmente eliminati) oppure si installa un certificato di root nel computer della vittima.

In un'impostazione aziendale, normalmente l'annuncio pubblicitario diffonde un certificato di origine per quell'effetto. Alcuni malware sono noti anche per l'utilizzo di queste tecniche, e almeno un fornitore di hardware e una società di AV sono stati cotti nell'opinione pubblica per fare ciò, il primo ad essere in grado di inserire annunci nelle proprie pagine, il secondo per la ricerca di virus sul SO livello senza utilizzare plug-in dedicati per il browser.

Il Kazakistan ha raggiunto un livello completamente nuovo e sta facendo attacchi MitM a livello di paese, tramite una CA radice obbligatoria che deve essere installata su qualsiasi dispositivo utilizzando una connessione nazionale per le telecomunicazioni:

link

link

Questa particolare tecnica genera al volo un certificato valido per le richieste HTTPS che intercetta e che ha come root la CA ROOT installata sulla vittima.

Hai un thread slashdot che parla della tecnica qui: link

Un articolo di Sophos che spiega come funziona l'attacco SuperFish nel malware di Lenovo:

link

Puoi anche farlo in un sistema Unix:

link

SSLsplit supports plain TCP, plain SSL, HTTP and HTTPS connections over both IPv4 and IPv6. For SSL and HTTPS connections, SSLsplit generates and signs forged X509v3 certificates on-the-fly, based on the original server certificate subject DN and subjectAltName extension.

Quindi evidentemente mentre HTTPS è meglio di niente, non è perfetto. È molto più sicuro utilizzare le VPN quando si utilizza Internet in ambienti più ostili e specialmente negli hotspot Wi-Fi gratuiti.

Come elemento interessante, le forze dell'ordine hanno stazioni di intercettazione obbligatorie nei principali ISP, con software / interfacce che implementano questi attacchi MitM e sono in grado di iniettare corrotti eseguibili / falsi aggiornamenti del SO per prendere il controllo di un computer vittima, come documentato dal manuali di amministrazione / sistema / operatori che sono trapelati da Snowden o Assange (non ricordo)

Collegamento all'articolo e perdita di manuali in formato PDF

link

Inoltre, una volta e l'altra, vedrai che ci sarà una puzza sui registrar che rilasciano certificati noti come google.com con "errore", "test tirocinanti" o perché sono violati. La polemica è che ciò mina ulteriormente la sicurezza e la fiducia di SSL, e non sarei sorpreso se alcuni di questi errori servissero ad aiutare le proprie forze di sicurezza / intelligence / forze dell'ordine a curiosare su qualcuno, ad esempio usando google.

    
risposta data 17.01.2016 - 13:56
fonte
1

Quando un utente (vittima) viene presentato con un avviso di certificato e questo utente accetta l'avviso del certificato, sarà effettivamente in grado di eseguire un attacco MiTM riuscito.

Quando l'utente (vittima) accetta il tuo certificato (attaccante), puoi farlo perché hai la chiave privata del certificato.

    
risposta data 17.01.2016 - 13:05
fonte

Leggi altre domande sui tag