Esto es un poco espeluznante.
Su módem de cable en realidad podría ser secuestrado en primer lugar. Ha habido muchas vulnerabilidades recientes contra al menos una marca importante de módem de cable que podría dar lugar a que los piratas informáticos obtengan privilegios de root en el enrutador. En ese momento, sería trivial configurar una anulación de DNS para dirigir consultas populares a un sitio de hackers dado. Por supuesto, el hecho de que reciba una advertencia de SSL significa que el pirateo sería relativamente poco sofisticado, ya que la verificación del certificado está haciendo su trabajo bastante bien en su situación.
Sin embargo, es aún más espeluznante porque también es teóricamente posible que su ISP esté filtrando su tráfico.
- ¿Qué hardware necesito para obtener 102.11ac además del módem / enrutador?
- ¿Puedo conectar 2 módems de Internet en un solo interruptor?
- ¿Por qué los fabricantes de computadoras portátiles no ofrecen módems integrados?
- Cómo conectar un módem a tu computadora
- Cómo restablecer mi contraseña de módem Teracom, que olvidé
Se ha discutido durante un tiempo entre los investigadores de seguridad, y sí, se temía, que los ISP puedan comenzar a usar proxies SSL para poder inspeccionar, registrar y transmitir el tráfico SSL de los clientes a terceros interesados (lea: el gobierno) . Hay dos formas en que un ISP podría lograr esto: obtener un certificado con privilegios de firma de una fuente confiable, o generar su propia autoridad de certificación y usarla para firmar certificados. El primero, probablemente más probable de lo que sucedería si tal espionaje se generalizara, pasaría por alto a casi todos, ya que la autoridad de firma del ISP está firmada por una autoridad de confianza. (Ejemplo: suponga que VeriSign produjo un certificado para Comcast que tenía privilegios de firma de certificados; Comcast podría presentar un certificado SSL válido y confiable para cualquier sitio web que visite cualquiera de sus usuarios).
La última opción ya se hace de manera algo común, generalmente en las empresas. En ese escenario, el ISP (o negocio, etc.) genera su propia autoridad de certificación autofirmada y la usa para firmar certificados para cada sitio que visitan sus usuarios. Sin embargo, para que esto sea “transparente” para los usuarios, los usuarios deben instalar la autoridad de certificación del ISP en su máquina como una CA raíz de confianza. En un entorno empresarial, esto puede automatizarse a través de cosas como la Política de grupo, pero las computadoras privadas aún no pueden ser obligadas a hacerlo fácilmente. Sin embargo, los investigadores de seguridad han temido el día en que los ISP hagan que la aceptación de su CA raíz sea una condición para tener servicio (algo que podrían cumplir fácilmente con sus términos de servicio, e incluso si elige no hacerlo, aún está siendo monitoreado, usted solo te avisan cada vez que vas a algún lado).
Lo único bueno es que Google, entre otros, ha utilizado la “fijación de certificados” para detectar incluso este comportamiento. Google conoce las huellas digitales de los certificados que generan para https://www.google.com, etc. Pueden incluir esas huellas digitales en Chrome y advertir al usuario siempre que esas huellas digitales no coincidan, incluso si el certificado presentado es válido. Es computacionalmente inviable obtener un certificado con una huella digital idéntica.
De todos modos, consejos prácticos: vería el certificado que obtienes cuando recibes una advertencia SSL. Busque cualquier middlebox obvio o entidades desconocidas. Use un sitio conocido como Google. Por ejemplo, el certificado de Google.com está firmado por la CA de Internet de Google, que a su vez está firmada por GeoTrust. Si ve algo más en la cadena de certificados, sabe que algo está pasando.
Otro buen recurso es SSL TLS HTTPS Web Server Certificate Fingerprints: esta es una lista de las huellas digitales para muchos sitios web comunes. También puede proporcionar cualquier URL que desee y le proporcionará la huella digital hexadecimal SSL, esto funciona porque el servidor de GRC.com está saliendo y haciendo la solicitud, no usted, cuando solicita una huella digital. La página también incluye mucha información sobre el problema e instrucciones para verificar sus certificados.
