Sono un tester di penetrazione aziendale per la mia azienda, e irrompere nei sistemi è ciò che faccio ogni giorno. Condividerò alcune delle tecniche che uso per eseguire attacchi man-in-the-middle, per darti un'idea di cosa cercare (oltre a come difendermi). Se nessuno di questi scenari sembra qualcosa che hai riscontrato, allora c'è una significativa probabilità che la tua comunicazione crittografata non sia stata compromessa.
HTTPS è sicuro solo quanto le dipendenze su cui è stato costruito. In circostanze normali, HTTPS svolge bene il suo lavoro. Tuttavia, quando uno dei requisiti fondamentali non viene soddisfatto, è vulnerabile. Rompere solo uno dei collegamenti della catena può compromettere la comunicazione ritenuta crittografata.
L'attacco tramite strumenti come BEAST, CRIME e / o BREACH ci dice che conoscere un testo semplice nel messaggio che viene protetto consente di annullare / interrompere il tunnel crittografato.
Gli attacchi che coinvolgono la vulnerabilità Heartbleed sono un altro esempio di difetto del protocollo SSL che consente agli aggressori di recuperare i dati che avrebbero dovuto essere crittografati.
Gli attacchi che utilizzano un access point wireless rogue e uno strumento come SSLStrip ci mostrano che solo perché abbiamo digitato "HTTPS" non significa che sarà lì la prossima volta che guarderemo. Questo è uno scenario di attacco molto semplice da implementare che restituisce un alto grado di successo (di solito vedo una percentuale di successo del ~ 90% rispetto ai test di penetrazione che mi viene chiesto di eseguire).
Ancora un altro modo sarebbe per un hacker (leggi: non un tester di penetrazione rispettoso della legge) per irrompere in un'autorità di certificazione e generare certificati di lavoro per i siti per i quali desiderano intercettare le comunicazioni. Un hacker di alcuni anni che si è autodefinito "Comodohacker" ha compromesso più autorità di certificazione, ovvero le aziende / organizzazioni che rilasciano certificati SSL per i siti Web a cui ci connettiamo tramite HTTPS.
Infine, un attacco semplice ma incredibilmente efficace sarebbe quello di generare un certificato autofirmato. Il certificato sarà "tecnicamente" buono, ma la CA non sarà attendibile. Dal punto di vista dell'utente di un computer, tutto ciò che vedrai è un messaggio che dice che il Cert è buono e la CA è sconosciuta, con una casella sì / no che chiede "Vuoi procedere?". In uno scenario di attacco, dopo che l'utente ha fatto clic su Sì, vedrebbero che il canale di comunicazione è HTTPS, ma non sapranno che sono collegati a un proxy Internet canaglia che sta intercettando e decifrando il traffico. (Nota: questa tecnica viene comunemente utilizzata anche per scopi legittimi, ad esempio un proxy SSL aziendale che esegue la scansione di tutte le comunicazioni in uscita per IP dell'azienda e segreti commerciali. La differenza è che l'organizzazione in genere aggiunge l'autorità di firma a un elenco di autorità attendibili sui computer di proprietà dell'azienda per impedire che la finestra di messaggio venga visualizzata.)
Degli scenari sopra riportati, il compromesso CA è il peggiore in questo elenco a causa del fatto che non è rilevabile direttamente. Per questo motivo, e anche perché non è molto comune in ogni caso, non me ne preoccupo. Gli altri sono ciò che deve essere guardato fuori.
BESTIA e successori sono ora attacchi lato client. La maggior parte delle vulnerabilità che sfruttano può essere mitigata mantenendo il sistema operativo, il browser Internet e altri software aggiornati. Questo deve essere fatto su base regolare.
La vulnerabilità Heartbleed era più che semplice lato client. Le distribuzioni dei server di OpenSSL su tutti i siti Web popolari erano altrettanto vulnerabili. Se ti aggiusti regolarmente, non mi preoccuperei troppo di questo. Gli attacchi di maggior successo contro questa vulnerabilità sono stati fatti contro server di proprietà di siti Web (ad esempio, non possiamo fare altro che modificare le password).
L'ultimo scenario (il certificato autofirmato) è in genere la minaccia più pericolosa da tenere d'occhio in questo elenco. Mentre ci sono usi legittimi per la tecnica stessa, personalmente non mi interessa. Non faccio mai clic su Sì quando viene chiesto di considerare attendibile un'autorità di certificazione sconosciuta e consiglierei a tutti gli altri di fare lo stesso.
Una nota a margine nel caso sia pertinente - personalmente non utilizzerei il browser Internet Safari. Apple ha finalmente aggiornato il proprio browser nel novembre dello scorso anno per gli exploit BEAST, ma ci sono voluti più di 2 anni dopo che gli exploit BEAST sono stati rilasciati per farlo. Anche se Safari è attualmente corredato di patch, sono preoccupato per il loro approccio carente alla sicurezza IT.