Non sostituisce il certificato SSL su un server Unix ricostruito e precedentemente rootato

Naviga le tue risposte
1

Se un server è stato rootato, al punto che sappiamo che uno script Perl che crea una shell remota è stato posizionato sul filesystem in remoto, e il server è stato completamente ricostruito, rattoppando la vulnerabilità originale di Apache che permetteva quell'exploit, ma lo stesso Il certificato SSL è stato utilizzato per la nuova configurazione di Apache (so che è sciocco); Supponendo che il server Web rende solo alcuni file PDF disponibili su HTTPS, quali altri scenari oltre alla possibilità di decifrare il traffico HTTPS da quel server tramite MITM sono ora probabili (a causa del fatto che un intruso potrebbe avere la chiave privata, csr, ecc.)?

TL; DR Quanti danni possono essere fatti teoricamente su un server Linux ben riparato e ben firewall che serve documenti PDF su HTTPS se un utente malintenzionato ha la chiave privata utilizzata? Comprendo che possono eseguire MITM e decodificare il traffico SSL.

    
posta Gregg Leventhal 07.09.2014 - 00:54
fonte

3 risposte

2

Se l'utente malintenzionato ha la chiave privata, può imitarti completamente. Possono eseguire attacchi MitM sul tuo flusso di traffico, possono reindirizzare le richieste al tuo server in un modo non rilevabile dal client e così via.

    
risposta data 07.09.2014 - 02:29
fonte
0

Se hanno la tua chiave privata e non stai usando PFS, potrebbero iniettare contenuto dannoso nel traffico, rubare tutto ciò che accade in questo Connessione HTTPS, reindirizzare le persone che visitano il sito Web, ecc. Lo farebbe sii il migliore che revochi il tuo vecchio CERT!

Se vuoi ancora usare il tuo vecchio certificato allora:

Quando si configura il server HTTPS, utilizzare SOLO la segretezza inoltrata (ad es. ECDHE-RSA-AES128-GCM-SHA256 e consentire solo TLS 1.2):

Forward secrecy is designed to prevent the compromise of a long-term secret key from affecting the confidentiality of past conversations.

Con un semplice add-on di convalida SSL di Calomel per il test del server SSL o Qualys Labs SSL puoi verificare che PFS sia OK sul tuo server o meno.

È possibile assegnare la chiave privata a una password, ma sarà ancora in chiaro nella memoria.

Se il tuo server fornisce solo file PDF statici tramite HTTPS, perché non usi semplicemente OpenBSD?

Sai dove sono arrivati? Tu o qualcuno avete gestito questo server da un computer Windows? Forse dovresti pulire anche lì!

Usa solo PFS per evitare queste situazioni in futuro.

    
risposta data 07.09.2014 - 12:12
fonte
0

È "solo" il problema MITM, incluso l'attaccante che non inoltra la richiesta a te. Tuttavia, l'autore dell'attacco non può solo decrittografare il tuo traffico, ma può anche modificarlo. Ad esempio, potrebbe aggiungere un virus al pdf o aggiungere alcune pagine / modificare alcuni numeri.

Un csr non è qualcosa che deve essere tenuto segreto.

    
risposta data 07.09.2014 - 01:02
fonte

Leggi altre domande sui tag

Rubrica degli indirizzi e-mail rubata Sono sicuro di vedere una miniatura di un'immagine scaricata su Ubuntu 14.04?