Nuevo plugin para FOCA: SCT Checker

lunes, 8 de mayo de 2017

Desde el punto de vista de un auditor o pentester, conocer si un certificado se encuentra en los logs de Certificate Transparency correspondientes, en cuáles y cuándo fue incluido, puede aportar cierta información interesante que más tarde puede complementar otras fases del proyecto. Con esto en mente, hemos creado un sencillo y nuevo plugin para FOCA, que permitirá consultar el SCT de un certificado incrustado y toda su información correspondiente.

Certificate Transparency será obligatorio en Chrome para los nuevos certificados a finales de 2017. Esto significa que se mostrará una alerta en las páginas protegidas por certificados que no estén presentes en los logs que Chrome comprueba para esa fecha. Hace unos meses presentamos el primer plugin para Firefox que añadía esta funcionalidad, y ahora hemos portado esa fórmula a FOCA, para que sus usuarios puedan consultar la información desde diferentes fuentes.

Certificate Transparency es una nueva capa de seguridad sobre el ecosistema TLS. Auspiciado por Google, básicamente hace que todos los certificados emitidos sean introducidos en unos servidores especiales llamados logs, para que en el caso de que un atacante cree un certificado falso, se enfrente a un dilema: si el certificado falso no se introduce en los logs, levantaría sospechas, pero si se registra, se detectará más rápido.


Un certificado se considera dado de alta en los logs si cuenta con un SCT (Signed Certificate Timestamp). Este SCT se le da al dueño del certificado original cuando se introduce en el log y el navegador debe verificar si es real y está al día. Ahora FOCA puede comprobar el SCT de los certificados gracias a este plugin. Igual que ocurría con el addon de Firefox, en un principio este plugin solo comprueba el SCT incrustado en el certificado.

En breve haremos público su código. Pero entre tanto, ya está disponible desde esta dirección para su descarga.

La instalación es muy sencilla. Simplemente se almacena la DLL en el directorio de plugins, y se carga desde la interfaz. Es importante recordar que la librería BouncyCastle.Crypto.dll debe copiarse al mismo directorio que el ejecutable de FOCA.

 Una vez copiado, añadirlo desde el menú de Plugins.


 Y lanzarlo.



Esperamos que os sea de utilidad.

Innovación y laboratorio
www.elevenpaths.com

No hay comentarios:

Publicar un comentario