Sikkerhedsmanden Jason Reaves fra Fidelis Cybersecurity har løftet sløret for, hvordan data kan sendes i det skjulte via et X.509-certifikat. Det oplyser The Register.
Fidusen kan i princippet udnyttes til at sende data ind og ud af et netværk i det skjulte.
X.509 er en standard for certifikater til offentlige nøgler. Og X.509 danner grundlaget for en stor del af verdens krypterede trafik, blandt andet certifikaterne, som bliver sendt i starten af en TLS-session.
Reaves forklarede om teknikken tilbage i juli 2017 på Bsides-konferencen, og nu har han frigivet en proof-of-concept-kode (PoC). Den ligger her.
Der er mange felter i X.509-certifikater. Feltet som Reaves udnytter i sit PoC er:
class=wrap_text>SubjectKeyIdentifier
Det er som sådan kun hukommelsen på systemet, der begrænser mængden af data, der kan transmitteres via feltet, oplyser Reaves i en rapport om teknikken.
I Proof-of-Concept-koden bliver hacker/pentester-programmet Mimikatz sendt via feltet. Det skal simulerer en situation, hvor programmet bliver sendt ind på et kompromitteret netværk.
Reaves påpeger, at proof-of-concept-koden anvender et selvsigneret certifikat, og at en måde at dæmme op for problemstillingen på, derfor kan være helt at blokere for denne type certifikater.
