La password può essere rubata quando si esegue il protocollo IMAP / SMTP protetto SSL / TLS nella rete pubblica

Naviga le tue risposte
0

La mia password e-mail è stata rubata molto probabilmente mentre ero in vacanza in un altro paese e stavo usando le reti WiFi dell'hotel (e forse altre, non ricordo) per leggere e facoltativamente inviare e-mail dal mio telefono Android.

I messaggi di spam rimbalzati hanno iniziato a inondare la mia casella postale pochi giorni dopo il mio arrivo. Il server di posta elettronica della nostra azienda implementa SSL su IMAP e TLS su SMTP e ha un certificato valido emesso dalla CA.

Si può teoricamente rubare credenziali che hanno il pieno controllo della loro rete? L'uomo nell'attacco centrale con una libertà illimitata - cambia i record DNS, ecc.? La mia visione è che anche se potesse modificare la voce DNS per il nostro server di posta e fornire l'IP del suo server - come potrebbe quindi sostituire il certificato che è valido per il nostro nome del server? Si può trovare CA che può emettere il certificato senza un controllo corretto se il server è effettivamente di proprietà del cliente? O può in qualche modo sostituire il nome simbolico del mio server mail.example.com con il suo server mail.intruder.com e ottenere il certificato per mail.intruder.com ?

Riesco a malapena a vedere come ciò può essere fatto con il DNS, altrimenti tutte le password del mondo verrebbero rubate. Ma forse mi manca qualcosa, come scenari che coinvolgono STARTTLS. Il mio telefono è configurato per non accettare certificati non attendibili.

    
posta DimaA6_ABC 18.07.2018 - 15:40
fonte

2 risposte

1

In primo luogo, i messaggi di spam rimbalzati che vedi possono accadere, indipendentemente dal fatto che le tue credenziali vengano rubate. Lo spoofing del mittente è in realtà molto comune quando si invia spam. È simile alla scrittura di un indirizzo diverso dal tuo come mittente sulla busta di una posta di lumaca: tutti possono farlo facilmente.

Per quanto riguarda la possibilità di rubare le tue credenziali: questo dipende dalla tua configurazione specifica. Se IMAP o SMTP sono configurati per non applicare TLS ma per utilizzare TLS solo quando disponibile (cioè facoltativo, non obbligatorio) l'attaccante può montare un uomo nell'attacco intermedio (spoofing ARP, spoofing DNS ecc.) E pretendere di essere un server di posta che non supporta TLS. Se il tuo client di posta utilizza solo TLS, opzionalmente continuerà con la connessione e l'accesso senza TLS, presentando quindi le credenziali all'autore dell'attacco.

Se invece IMAP e SMTP nel client sono configurati per TLS obbligatorio con piena convalida del certificato e rifiuto se il certificato non può essere completamente considerato attendibile, un attacco uomo in mezzo non è possibile senza apportare modifiche al sistema, a condizione che l'autore dell'attacco non abbia avuto accesso al certificato e alla chiave originali del server o sia riuscito a ottenere un certificato valido da una CA attendibile (entrambi improbabili).

    
risposta data 18.07.2018 - 17:08
fonte
0

Ok, il mistero è risolto. Il mio vecchio telefono era configurato per accettare tutti i certificati per ssl / tls. Forse anche gli androidi più vecchi potrebbero passare a non-tls se il server ha detto che non è in grado di farlo.

Sono abbastanza sicuro che la password sia stata rubata, perché il nostro amministratore ha esaminato il registro del server smtp e ha confermato che diversi IP sono stati autenticati con le mie credenziali. Ma quei ragazzi ci hanno messo un grosso sforzo, non sono sicuro che ne valesse la pena. Forse hanno usato un software di hacker pacchettizzato, non credo che qualcuno potrebbe hackerare i miei crediti su base ad hoc. Forse era una vulnerabilità ampiamente nota.

    
risposta data 18.07.2018 - 17:37
fonte

Leggi altre domande sui tag

Perché ho un percorso specifico per questo strano IP? Ricerca della lunghezza della chiave wpa2