¿Cómo permite Blucoat Proxy a los gobiernos descifrar SSL?

Blue Coat Proxy SG es solo un proxy. No incluye malware.

Lo que hace Blue Coat's Proxy SG y otras soluciones similares es un ataque MITM al tráfico encriptado. Descifra el tráfico entrante, hace lo que está configurado para hacer con la información descifrada y luego cifra los datos nuevamente antes de reenviarlos. Esto es bastante simple. (Lo sé, yo con otros escribí un proxy MITM hace unos diez años).

Una vez que tenga el proxy MITM, debe colocarse en la ubicación correcta. Hay evidencia de productos de Blue Coat en redes públicas: enlace

Una vez que tenga el proxy MITM en el lugar correcto, lo que se requiere para realizar un ataque MITM es un certificado confiable. Los navegadores confían en un gran número de certificados raíz. También confían en los certificados de CA intermedios firmados por estos certificados raíz. Por lo tanto, esto es una cuestión de adquirir dicho certificado y cargarlo en un dispositivo de monitoreo. Cualquier certificado de CA que sea de confianza para los navegadores hará. Cuanto mayor sea el número de CA confiables para el navegador, menor será la seguridad. (El hecho de que Blue Coat venda o no el dispositivo de monitoreo es irrelevante aquí).

Se pueden comprar certificados. También se pueden obtener de un CA roto. (Busque las historias de hackeo de Comodo y DigiNotar). Además, de acuerdo con la EFF, 54 estados controlan la CA en la que confían los navegadores: enlace

Es posible que encuentre relevantes estos enlaces:

• enlace
• enlace

(El dispositivo MITM en el que se cargó el certificado en el primer caso puede o no ser de Blue Coat. Esto no se conoce).

Además, los usuarios tienden a ignorar las advertencias de seguridad. No se requiere un certificado de confianza si se puede predecir que la víctima ignorará el aviso de seguridad: enlace

Otra posibilidad es explotar una vulnerabilidad o sobornar a un interno para que adquiera la clave privada del servidor.

Se han desarrollado contramedidas para bloquear estos ataques, como el refinamiento del certificado (Chrome hace esto para algunos dominios grandes) y el Certificado Transparencia: enlace

El proyecto Perspectivas diseñado como un sistema en el que un mayor número de terceros de confianza se traduce en una mejor seguridad. (Compare con el modelo PKI en el que cuanto mayor sea el número de terceros de confianza, menor será la seguridad).

El malware utilizado para comprometer la computadora de un objetivo es una amenaza completamente diferente. SSL / TLS no ofrece ninguna protección a la víctima en este caso. Esto es lo que hizo la NSA para atacar a los usuarios de Tor.

  

¿Cómo permite Blucoat Proxy a los gobiernos descifrar SSL?

No permite a los gobiernos descifrar ningún tipo de tráfico SSL en ninguna red. BlueCoat se usa dentro de las empresas (y dentro de las organizaciones gubernamentales) para inspeccionar su propio tráfico de SSL entrante y saliente en busca de malware, fugas de datos, etc. Los certificados de proxy necesarios para realizar una inspección transparente de SSL están oficialmente instalados en los sistemas. Si estos no están instalados, los usuarios reciben una advertencia.

Según la ley de su país, sí, su empresa puede leer su tráfico SSL.

No necesitan hackear nada. En un entorno Windows, solo necesitan definir una política para que todas las computadoras en el AD tengan el certificado de la empresa como un certificado raíz de confianza. Como su empresa le proporciona la computadora, tienen todos los derechos para hacer lo que quieran, siempre y cuando no sea contra la ley de su país.

Hasta donde puedo ver, un gobierno puede descifrar el tráfico HTTPS. De nuevo, estas son solo especulaciones . En ambos de los siguientes, el dispositivo BlueCoat puede utilizarse como proxy, pero no es un requisito en absoluto (el proxy utilizado es bastante irrelevante).

Uno es plantar el Certificado del Proxy en la Máquina del Cliente. Esto requiere que el gobierno piratee el dispositivo del Cliente primero. no hay ningún mecanismo en el dispositivo Bluecoat para hacer esto hacking . También es posible enviar el dispositivo del Cliente con el certificado ya instalado en él, si el Gobierno puede obligar a los proveedores de sistemas operativos o portátiles a hacerlo.

Otro (más probable senario) es tener la clave privada en el proxy, para que pueda descifrar el tráfico entrante. esto requiere que el gobierno obligue a una organización a darles la clave privada ( ¿recuerdas Lavabit? )

Para suplantar un host en una conexión TLS necesita un certificado de una autoridad de certificados de confianza. Cualquier autoridad de certificación de confianza. No necesariamente el que creó el certificado original. Cuando mira la lista de autoridades de certificación, la mayoría de los sistemas operativos y navegadores web confían en el uso de la lista ( la lista de Firefox, por ejemplo ), notará que la lista es bastante larga e incluso incluye algunas entidades gubernamentales.

Con el fin de MITM en las conexiones, una agencia gubernamental solo necesita comprometer a uno de ellos. En algunos países, algunas agencias gubernamentales tienen el derecho de obligar a cualquier compañía nacional a cumplir con sus solicitudes y simultáneamente les ponen una orden de mordaza para prohibirles que admitan que lo hacen.