I client di posta elettronica e altri software utilizzano ssl. Ma cosa succede se qualcuno sta facendo un mitm con sslstrip? come posso dire?
I client di posta elettronica e altri software utilizzano ssl. Ma cosa succede se qualcuno sta facendo un mitm con sslstrip? come posso dire?
sslstrip
funziona cambiando tutti i https
link a http
. È limitato a HTTP ma potrebbero esistere strumenti per altri protocolli o almeno sono facilmente realizzabili. Questo tipo di strumenti non interrompe la connessione TLS ma impone invece il downgrade a una connessione non crittografata non protetta.
L'efficacia di questo tipo di strumenti dipende molto dall'applicazione e dai protocolli utilizzati. Con IMAP, POP3, SMTP, FTP e probabilmente altri ci sono due modi per utilizzare TLS:
STARTTLS
o simile ( STLS
con POP3, AUTH TLS
con FTP). Se c'è un uomo nel mezzo (s) che potrebbe modificare la comunicazione in modo che il client presume, che TLS non è possibile. Il comportamento dipende quindi dal client e talvolta dalla sua configurazione: alcuni client useranno silenziosamente la connessione in testo normale mentre altri genereranno un errore perché si aspettavano di utilizzare una connessione crittografata. E anche se questo è al di fuori della tua domanda iniziale: se non è possibile eseguire il downgrade a una semplice comunicazione non criptata, l'hacker potrebbe provare a utilizzare strumenti come sslsplit per fare un attacco man-in-the-middle contro TLS stesso. Ci sono ancora molte applicazioni vulnerabili contro questo tipo di attacco (vedi VU # 582497 ) perché non riescono a convalidare i certificati TLS o omettere parti critiche della convalida, come controllare il nome host. Quindi in molti casi è possibile un attacco man-in-the-middle di TLS senza che l'utente lo rilevi.