Il mio account al registrar del mio nome di dominio è stato violato e sto cercando di capire come gli hacker sono stati in grado di rubare le mie credenziali di accesso. Poiché il certificato radice nella catena di fiducia per il certificato ssl per il sito Web del registrar di dominio utilizza una chiave pubblica a 1024 bit, ciò potrebbe significare che le mie credenziali di accesso sono state rubate tramite qualche tipo di attacco Man-In-The-Middle?
Versione dettagliata del mio problema:
Sono un espatriato che vive in Cina. Qualcuno ha tentato di rubare un nome di dominio che ho registrato entrando nel mio account al registrar del dominio. Le persone responsabili per l'interruzione sono state in grado di entrare nel mio account due volte. Dopo il primo compromesso (ottobre 2014) ho fatto del mio meglio per proteggere l'account impostando password sicure e solide domande sulla sicurezza dell'account. Ho aggiornato regolarmente le mie password e le domande sulla sicurezza dell'account.
Non sono riuscito a identificare alcun malware sul PC (Linux OS) che stavo usando per accedere ai miei account online al momento del primo compromesso dell'account; tuttavia, nella speranza di ridurre al minimo la possibilità che il malware possa infettare il mio PC e rubare le credenziali di accesso in corso, ho iniziato a utilizzare un Chromebook.
Ho anche preso provvedimenti per proteggere la mia connessione Internet tramite proxy del traffico del mio Chromebook tramite una connessione SSH a un server cloud che ho configurato su Digital Ocean. (Ho usato l'estensione Secure Shell per Chrome per configurare la connessione ssh.) Dal momento che il Great Firewall of China controlla e reimposta le connessioni ssh ai server fuori dal paese, mi collego al mio server ssh attraverso una VPN fornita da un fornitore di servizi VPN commerciale. Nonostante tutto ciò, il mio account è stato nuovamente compromesso verso la fine di marzo 2015.
Dopo il secondo compromesso, ho iniziato a esaminare le informazioni sul certificato SSL che venivano visualizzate sul mio Chromebook per i siti web visitati e ho riscontrato alcuni problemi che mi hanno indotto a credere che le connessioni Internet del mio Chromebook fossero soggette a qualche tipo di Man-In -L'attacco centrale.
In primo luogo, per i siti Web che facevano uso di certificati SSL di convalida estesa, il mio Chromebook non visualizzava quasi mai la barra degli indirizzi verde (con l'icona del lucchetto). Vedrei solo un'icona verde a forma di lucchetto o un'icona a forma di lucchetto con triangolo giallo.
Inoltre, le informazioni sulla chiave pubblica per i certificati radice mostrate nella gerarchia di certificati attendibili per il registrar di domini, il mio provider di posta elettronica e molti altri siti online che ho visitato hanno mostrato frequentemente una dimensione della chiave di 1024 bit. Quando si visitavano gli stessi siti Web da altri PC, ho trovato i certificati radice utilizzati nella gerarchia dei certificati per avere una dimensione della chiave di 2048 bit.
Dal mio Chromebook, ho esportato il certificato ssl del mio registrar di domini utilizzando 'Base64 - ASCII codificato, catena di certificati'.
Le informazioni sulla catena di certificati sono qui per il tuo riferimento.
L'apertura di questo file in Ubuntu mostra i dettagli di ciascun certificato nella catena, incluso il certificato di root con la chiave pubblica a 1024 bit.
La catena di attendibilità del certificato mostra che i certificati intermedi nella catena di fiducia sono 2048-bit e il certificato ssl del registrar è 2048-bit. (Ho anche verificato che l'impronta digitale autentica del certificato ssl del registrar di dominio era corretta tramite il servizio di impronte digitali di Steve Gibson.)
Ho anche scoperto che la catena di fiducia utilizzata durante la connessione al mio servizio di posta elettronica (Fastmail) utilizzava un certificato GTE CyberTrust Global Root. Questo certificato di root sembra fuori posto, poiché ho scoperto che Fastmail utilizza un certificato radice EV di High Asurance DigiCert nella catena di certificati durante la connessione dai browser che mostravano correttamente la barra degli indirizzi verde completa con l'icona del lucchetto.
Il 'Base64 - ASCII codificato, catena di certificati' per la mia connessione Chromebook a Fastmail è qui per il tuo riferimento.