[Linux-Biella] DigiNotar compromessa!!!
Cristiano Deana
cris a deana.it
Gio 8 Set 2011 09:20:55 CEST
2011/9/8 Daniele Segato <daniele.bilug a gmail.com>:
> Tu puoi anche generare un certificato falso per *.facebook.com ma far si
> che il TUO website risponda ad un DNS facebook.com č tutt'altra
> faccenda... dovresti penetrare e modificare i DNS pubblici
O fare MITM.
E comunque basta infettare prima il computer vittima. A quel punto gli
faccio usare i "miei" dns.
> č pių probabile che tu ti finga facebook.com su facedook.com, il
> certificato č attendibile e l'utente disattento / depistato dal phishing
> si fa fregare pių facilmente
Non ti serve il certificato falso a quel punto. Richiedi un legittimo
certificato per facedook.com
> non sono un esperto di sicurezza ma non mi viene in mente un modo per
> sfruttare un certificato facebook.com direttamente sul sito di
> facebook...
> anche riuscendo ad intercettare la comunicazione che passa se i dati
> sono criptati con un certificato di facebook (diginotar & Co lo firmano,
> non lo emettono) e quindi non leggibili.
Eehh?
No, fermo. Torniamo al punto originale, cosė si capisce meglio.
Tizio ha creato dei certificati per *.google.com, se fossi stato io li
avrei creati per *.facebook.com perche' sono un cazzone, ok?
Poi io li avrei piazzati su un server a casa mia, dove richiedevo la
login per fb. Nel frattempo, diciamo in un posto dove io amministro la
rete, faccio un DNS hijacking. E mando tutti quelli che vogliono
andare su fb a casa mia. E gli rubi le credenziali.
Ah, gia'... il punto di inizio... mettiamo che io non sia un cazzone
che gestisce 4 gatti, ma che sia un governo... diciamo iraniano.
Diciamo che mi compro quei certificati. Diciamo che vado dagli isp del
mio paese e gli dica: "ehi, fatemi giocare con i vostri bgpd". E in
quanto... uhm... una settimana hai tutta la mail della tua
popolazione, le loro ricerche, ecc. ecc.
True story, bro.
Maggiori informazioni sulla lista
Linux