web-dev-qa-db-fra.com

HTTPS est-il capable d'empêcher l'attaque de poison arp dans le réseau local?

Je simule une attaque de poison arp dans mon réseau LAN. Dans le réseau, j'ai 4 appareils: victime, attaquant, routeur et serveur Web.

La victime tente de vous connecter au site Web sur le serveur Web et l'attaquant écoutez la chaîne entre la victime et le routeur.

Je pourrais utiliser cette attaque MITM avec succès lorsque j'ai utilisé http. J'ai configuré mon serveur Web Apache et il fournit https, mais je peux toujours écouter dans le canal. Le cadenas HTTPS est rouge, bien sûr en raison du certificat, mais il dit que la connexion utilise TLS 1.2. Alors, quelqu'un peut-il préciser pour moi?

4
ampika

Je vous rappellerais une attaque d'empoisonnement ARP fonctionne à la couche 2 OSI, tandis que HTTPS fonctionne au calque 5.

Ou bien, pour mieux poser votre problème, votre doute semble être que quelqu'un à l'écoute de la conversation ou de l'exécution d'une attaque MITM (Man-in-the-Middle) peut compromettre la sécurité d'une conversation SSL sans l'utilisateur en notant.

L'attaque d'empoisonnement ARP n'allume que la voie des paquets sortants par défaut, car les machines d'attaque poisons les tables ARP des victimes à poser comme routeur.

Les technologies SSL compliquent le proxy, mais l'exploit n'est pas impossible. En fait, certains produits de sécurité/pare-feu d'entreprise mettent en œuvre la technologie qui sont essentiellement des attaques MITM pour pouvoir écouter des dialogues HTTPS et détecter les logiciels malveillants.

Pour établir une attaque/proxy mitm réussie à une session protégée par X.509:

. L'utilisateur doit être suffisamment imprécisé pour accepter un mauvais certificat;
. Ou vous devez tromper le navigateur de l'utilisateur que le certificat est légitime.

Pour cet effet, vous recherchez une collision de hachage dans des protocoles anciens (c'est-à-dire que les certificats SHA-1 sont des certificats SHA-1 sont supprimés), ou vous installez un certificat racine de votre choix dans l'ordinateur de la victime.

Dans une entreprise, normalement, l'annonce propage un certificat racine à cet effet. Certains logiciels malveillants sont également connus pour l'emploi de ces techniques, et au moins un fournisseur de matériel et une société AV ont été grillés dans l'opinion publique pour le faire, le premier à insérer des annonces dans vos pages, ce dernier pour la numérisation des virus au système d'exploitation niveau sans utiliser des plug-ins dédiés pour le navigateur.

Le Kazakhstan l'a fait à un nouveau niveau et fait des attaques de MITM au niveau des pays, via une autorité de racine obligatoire qui doit être installée dans n'importe quel appareil utilisant une connexion de télécommunication nationale:

http://thehackernews.com/2015/12/kazakhstan-internet-sping.html

http://www.theregisterve.co.uk/2015/12/03/kazakhstan_to_maninthemiddle_all_internet_traffic/

Cette technique particulière génère un certificat valide à la volée de la Demande HTTPS intercepte, ce qui a en tant que root l'autorité de certification racine installée sur la victime.

Vous avez un fil slashdot parlant de la technique ici: http://it.slashdot.org/story/14/03/05/1724237/ask-slashdot-does-Your-employer-perform-https-mitm -Attacks-on-employés

Un article de Sophos expliquant comment l'attaque des Superfish travaille dans un logiciel malveillant de Lenovo:

https://nakeecurity.sophos.com/2015/02/20/Le-lenovo-superfish-Controverse-Qu-you-need-a-know/

Vous pouvez également le faire dans un système UNIX:

https://www.roe.ch/sslsplit

SSLSplit prend en charge les connexions TCP, SSL unies, HTTP et HTTPS sur IPv4 et IPv6. Pour les connexions SSL et HTTPS, SSLSPLIT génère et signe des certificats X509V3 forgés à la volée, en fonction du sujet du certificat de serveur d'origine du sujet DN et du sujetTaltName Extension.

Donc, évidemment tandis que HTTPS est meilleur que rien, ce n'est pas parfait. Il est bien plus sûr d'utiliser des VPNS lors de l'utilisation d'Internet dans des environnements plus hostiles, et spécialement sur des hotspots gratuits WiFi.

En tant que tiditine intéressante, les forces de l'ordre ont des stations d'interception obligatoires dans les ISP importants, avec des logiciels/interfaces qui mettent en œuvre ces attaques de MITM et sont en mesure d'injecter des exécutables corrompu/de fausses mises à jour du système d'exploitation pour prendre le contrôle d'un ordinateur de victime, comme documenté par l'administration/système./Manuels des opérateurs qui ont été divulgués par Snowden ou Assange (ne me souviennent pas)

Lien vers l'article et la fuite des manuels dans PDF FORMAT

https://theintercept.com/2014/10/30/hacking-team/

Également une fois et un moment, vous verrez qu'il y aura une puanteur des bureaux d'enregistrement émettant des certificats connus comme Google.com par "erreur", "tests de stagiaires" ou parce qu'ils sont piratés. La controverse est que cela sape plus en détail la sécurité et la confiance de SSL, et je ne serais pas surpris que certaines des erreurs devaient aider leurs propres forces de sécurité/intelligence/application de la loi à snoop sur une personne, par exemple en utilisant Google.

4
Rui F Ribeiro

Lorsqu'un utilisateur (victime) est présenté avec un avertissement de certificat et cet utilisateur accepte le certificat Avertissement, vous pourrez en effet effectuer une attaque mitm réussie.

Lorsque l'utilisateur (victime) accepte votre certificat (attaquant), vous pouvez le faire car vous avez la clé privée du certificat.

1
Jeroen