Antes de entrar en los detalles de este detalle, voy a tocar la Criptografía de clave pública (PKI) para aquellos que no estén familiarizados con el concepto:
PKI permite a las personas comunicarse de forma segura mediante la autenticación de quién se encuentra al final de cada una de las comunicaciones. Para hacer esto, los algoritmos de criptografía de clave pública generan dos “claves” matemáticamente asimétricas, la clave pública y la clave privada .
Cuando vaya a descargar la extensión de Yahoo para Chrome, la extensión se firma con la clave privada de Yahoo. Yahoo mantiene este archivo en secreto (normalmente) para que solo pueda firmar sus extensiones. Para verificar que esta extensión es en realidad de Yahoo (y no un impostor), se compara con la clave pública fácilmente disponible de Yahoo . Matemáticamente, si las dos claves son legítimas, entonces coincidirán y sabrás que tu archivo es de Yahoo.
- ¿Hay alguna prueba de la participación del gobierno chino en los ataques cibernéticos contra redes y sitios web en los Estados Unidos?
- ¿Los hackers descubren vulnerabilidades por prueba y error? Si no, ¿cuál es un método sistemático para identificar vulnerabilidades?
- ¿Cómo suben los hackers shell en el sitio del cliente?
- ¿Cómo hacen los hackers páginas falsas para hackear correos electrónicos?
- En los años 90, los juegos de computadora parecían fácilmente pirateados / pirateados por adolescentes sin un conocimiento profundo de piratería. ¿Qué conocimiento se necesitaba para hacer eso? ¿Fue difícil de hacer?
Pero ahora, ¿qué significa esto específicamente para la situación actual de Yahoo?
Con acceso a la clave privada de Yahoo para axis, podría modificar el código fuente a Axis como quiera y luego firmarlo usando la clave privada de Yahoo. Un usuario normal no podría distinguir mi extensión Axis de la de Yahoo .
Sin embargo, para explotar activamente esto, se necesita otro paso. ¿Cómo, como atacante, coloco mi nueva extensión maliciosa de Axis en una computadora de destino? Para colocar la extensión en la computadora de destino, necesito DNS Spoof la url de actualización. De esta manera, cuando un objetivo llama a casa o a la última versión, les envío mi copia maliciosa.
Lo que podría funcionar es que obtengo acceso a un enrutador en la red del objetivo y redirijo la url ‘ axisupdate.yahoo.com ‘ (o lo que sea, realmente no lo sé) a la computadora ‘ mymaliciousserver.mydomain.com ‘.
Lo que se verá de principio a fin es:
- La computadora de destino solicita automáticamente una nueva actualización de ‘ axisupdate.yahoo.com ‘
- Mi ataque DNS Spoof redirige el objetivo a ‘ mymaliciousserver.mydomain.com ‘
- Después de conectarme a mi servidor malicioso, mi servidor les envía mi extensión de eje malicioso para descargar
- Al finalizar la descarga, la computadora de destino verifica que la extensión se haya firmado con la clave privada de Yahoo
- La computadora de destino lanza el ejecutable malicioso con mi código dentro
Como puede ver, este es un ataque bastante complicado que no es muy fácil de explotar. Sin duda, es un error de Yahoo, pero en última instancia, probablemente no será tan importante.