Saltar al contenido

Posibilidad de detectar tráfico HTTPS en dispositivos sin instalar un certificado

Este equipo de expertos pasados muchos días de investigación y de recopilar de información, dimos con la respuesta, deseamos que te sea de utilidad para tu proyecto.

Solución:

El objetivo de SSL es su resistencia a las escuchas por parte de ataques de intermediarios como el que está proponiendo. Si no puede hacer que el dispositivo cliente confíe en su certificado autofirmado, sus únicas opciones son:

  • Intercepte una solicitud HTTP inicial y nunca permita que la comunicación se actualice a HTTPS (pero esto no funcionará si el cliente va explícitamente a un https://... dirección URL)
  • Pretenda ser el servidor con su propio certificado autofirmado y espere que el sistema que realiza la solicitud acepte ingenuamente un certificado autofirmado (que es el equivalente a la toma de decisiones de un usuario que ignora las severas advertencias del navegador sobre un posible ataque MITM en curso)
  • Compruebe la susceptibilidad a ataques pasados ​​conocidos en SSL (Heartbleed, BEAST, etc.). Tenga en cuenta que es muy probable que esta opción sea ilegal, ya que puede requerir un ataque al servidor (que no es de su propiedad) en lugar de un ataque al cliente (que posiblemente sí posee)

Si tiene muchos billones de dólares disponibles, es posible que tenga algunas otras opciones:

  • Comprometer con éxito una autoridad de certificación de confianza mundial y utilizar su firma secreta key para producir certificados falsificados para su propio par de llaves
  • Compre o descubra una vulnerabilidad de seguridad de día cero en un cliente web, un servidor web o (lo más preferible) una biblioteca SSL/TLS utilizada por el cliente o el servidor.
  • Descubra una debilidad paralizante en alguna primitiva criptográfica subyacente utilizada por SSL (por ejemplo, romper completamente AES podría funcionar bien)
  • Gastar billones de dólares en hardware informático para realizar ataques de fuerza bruta en comunicaciones cifradas interceptadas

Si tiene acceso físico ilimitado al dispositivo, es casi seguro que un ataque al almacén de certificados de confianza del propio dispositivo sería más fácil que un ataque a SSL (aunque también puede no ser nada fácil).

¿Alguna sugerencia? ¿Es factible?

Debe poseer un certificado de confianza del dispositivo para interceptar el tráfico. Cómo se puede lograr esto depende de qué tan adecuada y abierta sea la validación del certificado en el dispositivo.

  • El dispositivo puede tener una validación de certificados con errores o inexistente. esto es típicamente
    • Sin validación en absoluto, en cuyo caso podría usar cualquier certificado.
    • Solo valida la cadena de confianza, pero no el nombre dentro del certificado. En este caso, podría usar cualquier certificado firmado por una CA en la que confíe el dispositivo.
  • El dispositivo tiene una verificación de certificados adecuada, pero permite la instalación de anclas de confianza personalizadas. En este caso, podría crear sus propios certificados e importarlos como de confianza.
  • El dispositivo tiene una verificación de certificado adecuada, pero está cerrado contra la adición de nuevas anclas de confianza. Esto es malo para usted a menos que obtenga una de las CA de confianza para firmar un nuevo certificado que sea aceptable para el dispositivo. Probablemente ninguna CA hará esto.

Si esto no ayuda, puede haber otros errores. Mire los problemas de SSL de los últimos años y vea si podría emplear alguno de estos errores. También puede intentar usar errores que no sean SSL para piratear el dispositivo y cambiar el comportamiento del software.

No, la naturaleza misma de HTTPS es que se requiere el certificado para descifrarlo. Podría olfatear el tráfico, pero estaría encriptado y sería inútil para usted.

Si guardas algún recelo o disposición de reformar nuestro sección te recomendamos ejecutar una explicación y con deseo lo estudiaremos.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada.