Quanto sono sicuri i siti Web crittografati?

1

Ero in un bar e dovevo (dovevo dire) controllare qualcosa sul mio conto bancario e su un altro account. Ho pensato che i due siti Web che stavo visualizzando erano crittografati e poiché il mio computer (io sono su un Mac) ha un firewall e io non condivido attraverso un cloud o altro, che le mie informazioni siano al sicuro. Google viene crittografato dal momento in cui si effettua una ricerca e io mi sono collegato al wifi effettivo del coffee shop (ho dovuto accettare le loro condizioni per farlo).

Quindi stavo usando HTTPS per tutto il tempo. Ho contattato il supporto tecnico della banca e hanno confermato che il loro intero sito Web è completamente crittografato. Lo stesso con l'altro account. Ero al sicuro? C'era una persona vicina che sembrava che stesse facendo qualcosa di sospetto sul suo computer per quanto riguarda l'hacking / networking.

    
posta Marrakesh 27.05.2014 - 05:59
fonte

3 risposte

9

Sono un tester di penetrazione aziendale per la mia azienda, e irrompere nei sistemi è ciò che faccio ogni giorno. Condividerò alcune delle tecniche che uso per eseguire attacchi man-in-the-middle, per darti un'idea di cosa cercare (oltre a come difendermi). Se nessuno di questi scenari sembra qualcosa che hai riscontrato, allora c'è una significativa probabilità che la tua comunicazione crittografata non sia stata compromessa.

HTTPS è sicuro solo quanto le dipendenze su cui è stato costruito. In circostanze normali, HTTPS svolge bene il suo lavoro. Tuttavia, quando uno dei requisiti fondamentali non viene soddisfatto, è vulnerabile. Rompere solo uno dei collegamenti della catena può compromettere la comunicazione ritenuta crittografata.

L'attacco tramite strumenti come BEAST, CRIME e / o BREACH ci dice che conoscere un testo semplice nel messaggio che viene protetto consente di annullare / interrompere il tunnel crittografato.

Gli attacchi che coinvolgono la vulnerabilità Heartbleed sono un altro esempio di difetto del protocollo SSL che consente agli aggressori di recuperare i dati che avrebbero dovuto essere crittografati.

Gli attacchi che utilizzano un access point wireless rogue e uno strumento come SSLStrip ci mostrano che solo perché abbiamo digitato "HTTPS" non significa che sarà lì la prossima volta che guarderemo. Questo è uno scenario di attacco molto semplice da implementare che restituisce un alto grado di successo (di solito vedo una percentuale di successo del ~ 90% rispetto ai test di penetrazione che mi viene chiesto di eseguire).

Ancora un altro modo sarebbe per un hacker (leggi: non un tester di penetrazione rispettoso della legge) per irrompere in un'autorità di certificazione e generare certificati di lavoro per i siti per i quali desiderano intercettare le comunicazioni. Un hacker di alcuni anni che si è autodefinito "Comodohacker" ha compromesso più autorità di certificazione, ovvero le aziende / organizzazioni che rilasciano certificati SSL per i siti Web a cui ci connettiamo tramite HTTPS.

Infine, un attacco semplice ma incredibilmente efficace sarebbe quello di generare un certificato autofirmato. Il certificato sarà "tecnicamente" buono, ma la CA non sarà attendibile. Dal punto di vista dell'utente di un computer, tutto ciò che vedrai è un messaggio che dice che il Cert è buono e la CA è sconosciuta, con una casella sì / no che chiede "Vuoi procedere?". In uno scenario di attacco, dopo che l'utente ha fatto clic su Sì, vedrebbero che il canale di comunicazione è HTTPS, ma non sapranno che sono collegati a un proxy Internet canaglia che sta intercettando e decifrando il traffico. (Nota: questa tecnica viene comunemente utilizzata anche per scopi legittimi, ad esempio un proxy SSL aziendale che esegue la scansione di tutte le comunicazioni in uscita per IP dell'azienda e segreti commerciali. La differenza è che l'organizzazione in genere aggiunge l'autorità di firma a un elenco di autorità attendibili sui computer di proprietà dell'azienda per impedire che la finestra di messaggio venga visualizzata.)

Degli scenari sopra riportati, il compromesso CA è il peggiore in questo elenco a causa del fatto che non è rilevabile direttamente. Per questo motivo, e anche perché non è molto comune in ogni caso, non me ne preoccupo. Gli altri sono ciò che deve essere guardato fuori.

BESTIA e successori sono ora attacchi lato client. La maggior parte delle vulnerabilità che sfruttano può essere mitigata mantenendo il sistema operativo, il browser Internet e altri software aggiornati. Questo deve essere fatto su base regolare.

La vulnerabilità Heartbleed era più che semplice lato client. Le distribuzioni dei server di OpenSSL su tutti i siti Web popolari erano altrettanto vulnerabili. Se ti aggiusti regolarmente, non mi preoccuperei troppo di questo. Gli attacchi di maggior successo contro questa vulnerabilità sono stati fatti contro server di proprietà di siti Web (ad esempio, non possiamo fare altro che modificare le password).

L'ultimo scenario (il certificato autofirmato) è in genere la minaccia più pericolosa da tenere d'occhio in questo elenco. Mentre ci sono usi legittimi per la tecnica stessa, personalmente non mi interessa. Non faccio mai clic su Sì quando viene chiesto di considerare attendibile un'autorità di certificazione sconosciuta e consiglierei a tutti gli altri di fare lo stesso.

Una nota a margine nel caso sia pertinente - personalmente non utilizzerei il browser Internet Safari. Apple ha finalmente aggiornato il proprio browser nel novembre dello scorso anno per gli exploit BEAST, ma ci sono voluti più di 2 anni dopo che gli exploit BEAST sono stati rilasciati per farlo. Anche se Safari è attualmente corredato di patch, sono preoccupato per il loro approccio carente alla sicurezza IT.

    
risposta data 27.05.2014 - 08:14
fonte
3

Non è il sito web che è crittografato (non avrebbe molto senso), ma la connessione tra il suo server web e il tuo computer.

Questo è ciò che HTTPS significa: HTTP protetto, ovvero HTTP su una connessione crittografata, fornito dal Protocollo SSL / TLS .

Quindi, per rispondere alla tua domanda: se la connessione era su HTTPS e hai controllato che il sito web della banca fosse quello giusto, allora eri al sicuro. Devi solo controllare anche il dominio: la maggior parte dei certificati bancari sono certificati Extended Validation (EV) che la maggior parte dei browser mostra in modo diverso.

    
risposta data 27.05.2014 - 06:35
fonte
0

Per farla breve: la sicurezza fisica e del sistema operativo del tuo computer, l'utilizzo del computer e il comportamento di navigazione, chi ti fidi di usare il tuo computer in modo sicuro, l'uso delle password e se sei seduto vicino a una superficie riflettente sono molto più importanti problemi qui, rispetto alla crittografia del sito web. Generalmente il comportamento degli utenti e gli attacchi social sono il più grande rischio per la sicurezza.

    
risposta data 29.05.2014 - 23:41
fonte

Leggi altre domande sui tag