Как я могу подтвердить атаку Человека в середине с помощью этих подсказок?

#security #ssl #https #sha256 #man-in-the-middle

Вопрос:

1 На моем устройстве Android установлено приложение, которое показывает, был ли изменен отпечаток пальца SHA256. Это часто показывает, что он был изменен, когда я запускаю его YouTube.com , и он однажды показал Instagram.com . Я попытался использовать VPN, но после этого он не появился.

Приложение в основном говорит, что оно обнаруживает перехват SSL веб-трафика, который расшифрует зашифрованный сеанс. Тест выполняется путем сравнения отпечатка пальца сертификата HTTPS веб-сайта на вашем устройстве с отпечатком пальца, показанным на внешнем сервере. Мне любопытно, действительно ли это вызывает беспокойство, так как я часто делаю частные видеозвонки в Instagram. Они записываются или что-то еще без моего ведома?

PS: У меня нет никакого сомнительного приложения на моем устройстве.

Комментарии:

1. Кроме того, если моя сеть была взломана, какими способами я могу узнать об этом дальше?

Ответ №1:

Проверьте фактический сертификат, который возвращают сайты. Срок действия сертификатов истечет через некоторое время, что означает, что они будут заменены новыми версиями.

Кроме того, более крупные сайты с несколькими центрами обработки данных, такие как YouTube (Google) и Instagram (Facebook), могут даже использовать разные сертификаты для разных регионов. Это объясняет, почему он не отображается при использовании VPN. Также из-за IP-маршрутизации, специальных конфигураций серверов, … вы можете в конечном итоге подключаться к разным серверам/регионам (с разными сертификатами) изо дня в день или около того.

Предполагая, что сертификат правильно подписан, действителен и не отозван, вы должны быть в порядке, даже если отпечаток пальца изменится. Чтобы злоумышленники могли выполнить атаку «человек посередине» с помощью действительного SSL, им либо самим потребуется действительный сертификат (который будет отозван), доступ к серверам сайта (что является проигрышной причиной), либо добавить вредоносный корневой сертификат на ваше устройство (что является совершенно другой проблемой).

Тест выполняется путем сравнения отпечатка пальца сертификата HTTPS веб-сайта на вашем устройстве с отпечатком пальца, показанным на внешнем сервере.

Имейте в виду, что у этого внешнего сервера также может быть другой/устаревший отпечаток пальца по сравнению с вами по любой из вышеперечисленных или других причин.

Комментарии:

1. Спасибо. Я проверил это еще раз, и что происходит, так это то, что теперь всякий раз, когда я подключаюсь к VPN, он сразу не показывает никаких изменений в сертификате. через некоторое время он тоже начинает отображаться в VPN. Это серверная вещь, о которой вы говорите, или настоящий Mitm?

2. Еще одна вещь; я проверил, и отпечаток пальца, который он показывает, на самом деле отличается от отпечатка пальца сайта

3. правка: не каждый раз отпечаток пальца часто остается неизменным.

4. Пока ваш надежный браузер (например, Chrome) не жалуется на сертификат, все в порядке. Вы можете видеть здесь , например, что GTS CA 1C эмитент Google выдает несколько сертификатов в неделю. Как я уже сказал, изменение отпечатка пальца может быть индикатором MitM, но, скорее всего, является ложноотрицательным.

5. Хорошо, приятель. Большое спасибо