Catena di causalità nella violazione di Equifax (certificati scaduti che disabilitano le funzionalità IPS)

1

Sto studiando la violazione di Equifax descritta qui: link

Apparentemente l'attacco non è stato rilevato per un lungo periodo di tempo e la motivazione principale è certificata scaduta: a causa dei certificati scaduti, Equifax IPS non è stato in grado di ispezionare il traffico crittografato e rilevare la violazione nel tempo.

- Modifica, in base alla risposta di Steffen Ulrich sotto -

La pagina 34 del rapporto fornisce ulteriori dettagli:

The expired SSL certificate was installed on a traffic monitoring device called an SSL Visibility (SSLV) appliance.195 This device allowed Equifax to inspect encrypted traffic flowing to and from the ACIS platform by decrypting the traffic for analysis prior to sending it through to the ACIS servers.196 Both the intrusion detection system and the intrusion prevention system were behind this monitoring device.

E più avanti nella stessa pagina:

The default setting for this device allowed web traffic to continue through to the ACIS system, even when the SSL certificate was expired. When this occurs, traffic flowing to and from the internet is not analyzed by the intrusion detection or prevention systems because these security tools cannot analyze encrypted traffic. According to documents obtained, the SSL certificate installed on the SSLV device monitoring the ACIS domain ai.equifax.com expired on January 31, 2016. As a result, Equifax did not have visibility into the network traffic in the ACIS environment for nineteen months

- fine modifica -

Secondo la mia ricerca dovrebbe essere ancora possibile decifrare i dati, anche con un certificato scaduto. Prendi ad esempio questo post qui: link

Non sono così familiare con i prodotti IPS e le rispettive possibilità di configurazione, quindi sono un po 'confuso: qual è esattamente il problema con il certificato scaduto? L'IPS verifica la validità e nel caso il certificato. è scaduto si rifiuta semplicemente di decifrare il traffico? Se così sembra, dovrebbe esserci almeno un'opzione per decrittografare e inviare un avvertimento a chiunque stia eseguendo l'IPS. C'è una cosa del genere?

Grazie per la tua visione e il tuo tifo

    
posta Mischa Obrecht 18.12.2018 - 07:59
fonte

1 risposta

1

Ho il sospetto che il rapporto sia fuorviante nel rivendicare il certificato scaduto come problema. Non è possibile utilizzare un certificato per decrittografare il traffico, ma è necessaria la chiave privata corrispondente al certificato. Questo è almeno vero per lo scambio di chiavi RSA (obsoleto) che presumo sia stato usato qui - per l'ispezione con lo scambio di chiavi DH si avrebbe invece bisogno del segreto pre-master di ogni connessione TLS e nessun certificato o chiave privata sarebbe utilizzabile.

Quindi il problema probabilmente non è il certificato scaduto, ma invece che la chiave privata installata sul dispositivo corrispondeva alla chiave pubblica nel certificato scaduto ma non a quella del nuovo certificato. Ciò è probabilmente dovuto al fatto che il nuovo certificato non ha riutilizzato la chiave dal vecchio certificato ma invece è stata creata una nuova coppia di chiavi. Per un'ispezione riuscita, la nuova chiave privata corrispondente alla nuova chiave pubblica nel nuovo certificato doveva essere installata sul dispositivo di ispezione.

    
risposta data 18.12.2018 - 08:14
fonte

Leggi altre domande sui tag