¿Qué tan peligroso es traducir IP directamente a través de hosts en Windows?

Considere las siguientes declaraciones:

• TodoLas autoridades de certificación en las que confía su navegador web se niegan a emitir un certificado examplebank.comal atacante sin prueba de propiedad del dominio.

• Las claves de firma de todas las autoridades se almacenan de forma segura y una persona no autorizada no puede emitirse un certificado a sí misma. (Ver recienterobo de comodo.)

• Su navegador web verifica correctamente si el certificado SSL del servidor es emitido por una CA válida, no revocado, válido para uso de servidores y emitido para el examplebank.comdominio.

• No hay ningún malware activo ni ningún error del navegador que provoque que se omitan dichas comprobaciones.

• Siempre abres https://examplebank.comy solicitas SSL explícitamente en lugar de confiar en que el sitio web te redireccione.

• tu en realidadleerlos mensajes de error de SSL en lugar de hacer clic ciegamente Ignorecuando abre el sitio web.

Si todo lo anterior es cierto, HTTPSadvertirleque intentaste conectarte a un sitio web falso. Sin embargo, HTTPS no puede eludir las redirecciones de nivel inferior (como la suplantación de identidad examplebank.commediante DNS o /etc/hosts), por lo que si ignora las advertencias, sus datos irán al atacante, no al banco real.

Para concluir, sí, es peligroso.

En respuesta a la pregunta editada:

1. Si usas HTTP simple, estás jodido.

2. Si usa HTTPS, recibirá una gran advertencia roja (consulte la primera parte de la respuesta).

3. Cada "certificado" tiene un par de claves RSA (a veces DSA, ECDSA). La clave pública del par es parte del certificado, mientras que la clave privada está guardada en el servidor web y nunca se envía a través de la red. Ambas claves son necesarias para completar con éxito el protocolo de enlace TLS/SSL.

   Si el atacante presenta un certificado, pero no tiene la clave privada asociada, no podrá descifrar ningún tráfico que pase por TLS. Wikipedia tiene undescripción del protocolo de enlace TLS.

SSL (HTTPS) solo lo protegerá mientras su cliente no esté comprometido.

Si alguien logra modificar /etc/hosts, también puede modificar su navegador para que no realice la validación SSL del servidor al que se está conectando, o puede agregar el certificado falso de su servidor fraudulento a la base de datos de certificados confiables de su sistema.

Sin embargo, si su cliente no está comprometido y alguien logra redirigir su navegador a una dirección IP diferente (por ejemplo, algún tipo de pirateo relacionado con DNS o trampa para modificar /etc/hosts sin nada más), el navegador le advertirá que algo está sucediendo. Hay algún error con el certificado del servidor y, siempre que no ignore la advertencia y continúe, estará a salvo.

Sobre tu segunda pregunta:

Para el caso https, ¿es posible que el sitio web de phishing simplemente me pase un certificado de www.google.com para demostrar que es genuino?

No, eso no es posible, a menos que el atacante haya logrado obtener la información del servidor.llave privada(por ejemplo, pirateando el propio servidor). Incluso si un servidor fraudulento "transmitió" el certificado del servidor, no podrá demostrar su identidad al cliente si no posee esa clave privada. Si intentó hacer eso, fallará y el navegador mostrará una advertencia.

Dante, tus ediciones son bienvenidas. Pero la respuesta permanece. Si el archivo de hosts se ve comprometido, toda su seguridad puede verse comprometida en relación con aquellos dominios que han sido diseñados socialmente en ese archivo.

HTTPS es la excepción y ofrecerá alguna forma de protección debido al sistema de certificado que le permitirá saber que el sitio web que está viendo puede no ser lo que parece.