Come un provider può toccare una linea internet anche per la connessione crittografata SSL [duplicato]

2

Ho sentito una volta da qualcuno di cui mi fido, che il governo francese sta per acquistare e certificare un software per mettere a disposizione una linea internet anche per la connessione HTTPS. Non mi preoccupo veramente dei problemi legali che comporta perché questo prodotto sarà comunque utilizzato dalla legge, ma sono abbastanza interessato a come è possibile.

Ad esempio, nel caso di HTTPS, un software a livello di provider può decrittografare la connessione tra te e un server senza compromettere la sicurezza del protocollo HTTPS come il fatto che il certificato utilizzato per questa connessione non sia valido? O non avendo più la connessione HTTPS a qualsiasi sito web (qualcosa che noterò di sicuro e qualsiasi persona prudente vorrebbe farlo).

Hai mai sentito parlare di un tale software o appliance (non so come funziona affatto)? E se lo fai, sai come funziona?

Modifica 1 : forse alcuni di voi fraintendono la mia domanda, non sto chiedendo se il MITM è possibile con SSL o no perché so che lo è, purché gestiate uno dei l'autorità fiduciaria, che può essere il caso in un'azienda per diverse ragioni (ci lavoro una volta).
Il punto qui è di mettere la linea Internet a portata di mano e di essere in grado di leggere qualsiasi informazione ricevuta. Questo non è un problema su http / ftp / e altro protocollo non crittografato

Ma la mia domanda è più sul protocollo crittografato con autorità di fiducia come SSL / TLS e il punto di vista dell'ISP, è fattibile o no? L'ISP non possiede l'autorità di fiducia nella maggior parte dei casi e non è in grado di simulare tutti i certificati al volo.

Nella mia comprensione del protocollo SSL che significherebbe anche hackerare nel computer sfruttato per aggiungervi un'autorità di fiducia falsa, ma ciò non suona né legale né realistico con la moltiplicazione del dispositivo.
Di nuovo la persona che mi ha detto che è qualcuno di cui mi fido e sono davvero curioso della verità di questa affermazione.

Un'idea per esempio :
l'ISP che imposta un avvelenamento DNS sulla linea internet per reindirizzare qualsiasi richiesta dell'autorità di fiducia alla sua stessa autorità, ti sembra possibile?

PS : non sto lavorando per niente non supportano questo tipo di soluzione, ma sono davvero curioso di sapere come sia possibile.

    
posta Kiwy 06.01.2014 - 17:06
fonte

2 risposte

8

Esistono organizzazioni che hanno motivi "legittimi" per sfruttare le comunicazioni crittografate. Il tuo posto di lavoro, ad esempio, potrebbe registrare il tuo traffico internet per assicurarti di non utilizzare i computer dell'azienda per attività illegali. Oppure potrebbero fornire servizi di filtraggio del malware. Possono toccare il traffico https utilizzando un proxy che si inietta come un man-in-the-middle. I computer sul posto di lavoro ricevono per primi un certificato radice attendibile emesso dal proxy (su una rete Windows, questi vengono spesso inviati tramite Criteri di gruppo). Quando il browser tenta di connettersi a link , il proxy crea un nuovo certificato che autentica la connessione al proxy e lo invia di nuovo al browser. Poiché è firmato dalla radice attendibile, il tuo browser accetta la connessione. Il proxy stabilisce quindi una connessione https con google per tuo conto e invia le comunicazioni tramite il proxy, registrate e filtrate come richiesto dalla società.

BlueCoat (ora di proprietà di Symantec) produce un prodotto del genere, se sei interessato.

Questo non funzionerà semplicemente se il client non si fida del proxy MITM. Il client riceverà avvisi di "certificato non valido" su ogni sito crittografato a cui tenta di connettersi. Alcune persone semplicemente controllano la casella e navigano comunque, inconsapevoli di essere state attaccate.

Puoi anche testarlo tu stesso usando BurpSuite (la versione gratuita può farlo.) Configura BurpSuite per i siti proxy https, usalo per generare il tuo certificato e poi configura il tuo browser per usare Burp come proxy. Quando visiti un sito https, vedrai i messaggi di avviso "certificato errato". Se aggiungi il certificato generato all'archivio certificati Root attendibili del browser, vedrai che gli avvisi scompaiono, mentre continui a intercettare tutto il traffico in Burp. Ecco un tutorial che puoi seguire per farlo: link

Un altro modo per toccare una connessione crittografata viene utilizzato dalla NSA. Hanno un sistema chiamato QUANTUM che si trova in siti chiave nel backbone e può rispondere più velocemente a una richiesta rispetto al sito legittimo. Possono quindi reindirizzare il traffico verso un server FOXACID, che tenterà di sfruttare il computer che invia la richiesta. Se possono iniettare un certificato di root (o se hanno già compromesso un certificato di root già attendibile dal tuo computer), allora possono iniettare un proxy man-in-the-middle proprio come il sistema BlueCoat sopra.

EDIT: poiché stai chiedendo all'ISP di eseguire un attacco MITM, sappi che in passato alcuni ISP hanno distribuito software ai loro clienti su "dischi di installazione" che erano inclusi con il modem a noleggio. Se si installa il proprio disco, si corre il rischio di installare il proprio certificato nella macchina. Non so se gli ISP di qualsiasi paese occidentale lo abbiano (legalmente) fatto, ma non sarei sorpreso se alcuni paesi con comunicazioni strettamente monitorate lo fanno già.

    
risposta data 06.01.2014 - 17:48
fonte
3

Il tuo browser non sa come dovrebbe apparire il certificato per il server, quindi quando ti connetti, controlla semplicemente il certificato fornito e verifica se è firmato da un'autorità radice attendibile. Se il software del rubinetto ha un certificato che è autorizzato a firmare i certificati e che è firmato da una radice attendibile, allora potrebbe produrre certificati al volo che rivendicherebbero validamente i siti a cui ci si connette. Il proxy aprirà quindi un'altra connessione al server effettivo e quindi si troverà nel mezzo.

Una contromisura a questo è controllare se il certificato è cambiato dall'ultima volta che hai visitato un sito, ma la maggior parte dei browser non lo controlla e anche se lo facessero, occasionalmente modifiche legittime nel certificato sul server lo renderebbero difficile Rilevare. Richiede comunque che il software che esegue il proxy toccando abbia un certificato radice attendibile e deve essere in grado di creare i propri certificati per corrispondere agli URL che si stanno andando, altrimenti non sarebbe possibile effettuare il pull.

    
risposta data 06.01.2014 - 19:39
fonte

Leggi altre domande sui tag