Come fanno le app a sapere se c'è un problema con ssl?

0

I client di posta elettronica e altri software utilizzano ssl. Ma cosa succede se qualcuno sta facendo un mitm con sslstrip? come posso dire?

    
posta 14.03.2015 - 16:01
fonte

1 risposta

1

sslstrip funziona cambiando tutti i https link a http . È limitato a HTTP ma potrebbero esistere strumenti per altri protocolli o almeno sono facilmente realizzabili. Questo tipo di strumenti non interrompe la connessione TLS ma impone invece il downgrade a una connessione non crittografata non protetta.

L'efficacia di questo tipo di strumenti dipende molto dall'applicazione e dai protocolli utilizzati. Con IMAP, POP3, SMTP, FTP e probabilmente altri ci sono due modi per utilizzare TLS:

  • TLS implicito: in questa modalità il client si connette tramite TCP e quindi aggiorna immediatamente la connessione a TLS. Questo viene fatto su porte diverse (vale a dire 993 anziché 143 per IMAP) e su queste porte è previsto solo TLS. Quindi non c'è modo per un uomo nel mezzo di privare l'uso di TLS, tutto ciò che può fare è negare l'utilizzo di queste porte che potrebbero causare il downgrade di alcune applicazioni a TLS esplicito.
  • TLS esplicito: in questa modalità il client si connette tramite TCP e dopo alcune comunicazioni in testo semplice aggiorna la connessione esistente a TLS emettendo un comando STARTTLS o simile ( STLS con POP3, AUTH TLS con FTP). Se c'è un uomo nel mezzo (s) che potrebbe modificare la comunicazione in modo che il client presume, che TLS non è possibile. Il comportamento dipende quindi dal client e talvolta dalla sua configurazione: alcuni client useranno silenziosamente la connessione in testo normale mentre altri genereranno un errore perché si aspettavano di utilizzare una connessione crittografata.

E anche se questo è al di fuori della tua domanda iniziale: se non è possibile eseguire il downgrade a una semplice comunicazione non criptata, l'hacker potrebbe provare a utilizzare strumenti come sslsplit per fare un attacco man-in-the-middle contro TLS stesso. Ci sono ancora molte applicazioni vulnerabili contro questo tipo di attacco (vedi VU # 582497 ) perché non riescono a convalidare i certificati TLS o omettere parti critiche della convalida, come controllare il nome host. Quindi in molti casi è possibile un attacco man-in-the-middle di TLS senza che l'utente lo rilevi.

    
risposta data 14.03.2015 - 20:46
fonte

Leggi altre domande sui tag