¿Es aceptable que un empleador instale un certificado raíz autofirmado en los dispositivos personales de los empleados en el hogar?

4

En el trabajo, mi empleador utiliza un certificado raíz autofirmado para MITM en todo nuestro tráfico SSL / TLS. Muchos de nuestros certificados internos utilizados por varios microservicios y sitios web internos también están firmados por este certificado.

No tengo ningún problema real con esta práctica, ya que es su red y equipo.

Recientemente, se tomó la decisión de cambiar de Citrix a VPN para el acceso remoto. Como parte de la configuración de VPN, mi empleador instala el certificado raíz autofirmado en el almacén de certificados de confianza.

Me preocupa que esto, al menos potencialmente, le da a cierto personal dentro de la empresa la capacidad de descifrar el tráfico cifrado de la computadora de mi hogar. El certificado es un certificado PKS # 7 firmado y emitido a la misma entidad.

No ha habido transparencia en este proceso y me parece muy turbio. Pregunté sobre cualquier problema de seguridad potencial que pudiera tener, pero se me dijo que, dado que el certificado fue emitido por una "fuente confiable", mis preocupaciones carecen de fundamento. No soy un tipo de seguridad, pero afirmar que esto es emitido por una "fuente confiable" parece un tramo.

Mi pregunta es, ¿es esta práctica normal o aceptable y hay algo de lo que debería preocuparme?

No me gusta la idea de que alguien tenga el potencial de interceptar el tráfico de Internet de mi familia sin divulgación ni política.

¿No estoy siendo razonable?

Gracias de antemano.

    
pregunta 0xDEAD_BEEF 23.02.2017 - 02:52
fuente

3 respuestas

7

Esta no es una pregunta estrictamente legal o técnica, sino más bien una pregunta de opinión: "¿es aceptable?" ¿Es aceptable para usted?

Sin embargo, aparece un punto técnico perfectamente razonable: en que un certificado raíz en la tienda de su sistema le permite al controlador de ese certificado potencialmente suplantar e interceptar cualquiera de su tráfico SSL / TLS a través de técnicas MitM .

Desde un punto de vista práctico, yo diría que debería estar incluido en las políticas BYoD de su empresa. Puede solicitar una computadora portátil de propiedad corporativa para uso en el hogar y usarla solo para el acceso VPN. O bien, no pudo instalar el cliente VPN en su máquina local por sus preocupaciones. Su empleador no puede exigirle que use su propia máquina personal, pero sus políticas probablemente cubren cosas como si va a usar una máquina personal en los recursos del trabajo, debe hacer X, Y, o Z para asegurarlos. Y la instalación de un certificado raíz para el acceso VPN probablemente caiga bajo esas condiciones.

En última instancia, la decisión depende de usted. Si crees que el riesgo potencial es mayor de lo que te sientes cómodo, yo: solicitaría una máquina corp para el uso de VPN solo en casa, adquiriría otra máquina doméstica, aislarla del resto de tu red e instalar la VPN en ese , o ir sin acceso VPN en casa. ¿O tal vez podría activar una VM "solo para trabajo" en una de sus máquinas domésticas con el reproductor VirtualBox o VMWare gratuito e instalar la VPN?

Estoy de acuerdo en que los bits "sin transparencia" y "se siente muy turbio" son preocupantes, pero en la mayoría de los casos, lo atribuyo a la apatía en lugar de a la intención maliciosa. La mayoría de la gente ni siquiera sabría qué es un certificado raíz, o por qué instalarlo en la opinión de su empresa, por lo que podría no ser una gran idea. La compañía probablemente no está ocultando algún esquema nefasto, pero la gente de TI solo quiere resolver el problema de "obtener acceso a la gente desde casa" y aquí es cómo lo hicieron.

Conclusión: ¿estás siendo irrazonable? No. Pero estás haciendo más trabajo por ti mismo, y eso es algo razonable si tienes inquietudes. Dudo que tengas alguna pata particular en la que puedas pararte para hacer retroceder, aparte de no usar / instalar la VPN

    
respondido por el JesseM 23.02.2017 - 03:41
fuente
2

Sí, es arriesgado instalar certificados de CA raíz que no confía en el almacén de claves de su máquina.

Les daría la capacidad de MITM fácilmente cualquier tráfico que pase a través del túnel VPN, incluso a Internet si el enrutamiento VPN está configurado de esa manera. Es probable que mantengan controles mucho menos estrictos sobre sus claves de certificado de CA internas que lo que haría una CA real.

Al mismo tiempo, cualquier programa que instalen en la computadora de su hogar presenta un riesgo de privacidad igual o potencialmente mayor que el certificado interno. El cliente de VPN viene a la mente, pero el cambio a una VPN implica que quieren que ejecutes su software en casa. Esto es diferente a usar un producto Citrix que se descarga desde Citrix.

Usted confía en ellos o no confía en ellos. Si no confía en ellos, considere usar una máquina virtual o una segunda computadora en una subred enrutada por separado. Otra opción podría ser usar un servicio como Amazon WorkSpaces que proporciona un escritorio alojado en la nube.

    
respondido por el trognanders 23.02.2017 - 03:52
fuente
-2

Yo diría dos cosas.

Primero, nunca debe preocuparse por el hecho de que el certificado raíz se pueda utilizar para fines maliciosos. Dado que la clave privada, generalmente se coloca dentro de un dispositivo al que solo tiene acceso su Departamento de TI o administrador, puede mantenerse a salvo. El departamento de TI o el administrador también tienen un proceso específico ("fuente confiable") que configura estas CA raíz, no veo ningún problema.

Luego, si son capaces de fisgonear en el tráfico o no mientras no está trabajando, depende de dos cosas, donde podrán fisgonear en el tráfico si una de esas dos es válida. La primera es si la VPN es forzada, por ejemplo, no puede usar su computadora si la VPN no está activada. El segundo caso en el que pueden interceptar el tráfico, es si algún proxy que posee la empresa, se establece como proxy del sistema en su computadora. Tenga en cuenta que con "snoop" no quiero decir que entrarán con wireshark y miren los números de sus tarjetas de crédito, solo quiero decir que el escáner de seguridad bloqueará los posibles virus y las páginas prohibidas, y registrará qué páginas visita.

Si es aceptable o no, generalmente dicho, sacaría 2 conclusiones:

Si "husmear" o "escanear" solo está activo mientras está trabajando desde su casa, y no cuando la VPN está inactiva, diría que siempre es aceptable. Entonces siempre puedes "ir encubierto" cuando quieras. No es como si tuvieran la posibilidad de husmear solo porque su certificado SSL raíz está instalado en su computadora, deben poder entrar en una posición para poder "MITM" el tráfico también. Piense como una caja fuerte con 2 cerraduras. Una clave es el certificado raíz. Otra clave es si tienen el control de su flujo de tráfico. Deben tener ambas llaves para abrir la caja fuerte, solo una llave no es suficiente.

Si la "indagación" o la "exploración" están siempre activadas y no puede desactivarla (p. ej., VPN forzado o configuraciones de proxy que están bloqueadas a través de la política de grupo), diría que esto depende de las circunstancias. Imagina que estás trabajando con información muy confidencial, como información de defensa. En ese caso, es razonable exigir que incluso las computadoras de su hogar formen parte de la Política de TI en el trabajo, incluso si no trabajara desde su casa, lo que significa que no puede visitar ningún sitio "prohibido" desde su hogar. ya sea. La razón es el alto riesgo de fuga de información confidencial. El riesgo de fuga de información confidencial en ese caso es muy alto. Piensa que accidentalmente escribes una nota relacionada con el trabajo en la computadora de tu casa sin pensar, digamos un recordatorio y no te das cuenta de que hay algo malo en tu computadora que hace que esto se filtre. Es por eso que es razonable que un lugar de trabajo requiera que su computadora sea parte de su solución de análisis de virus y DLP. - Si no te gusta, deja tu trabajo. Tan simple como eso.

    
respondido por el sebastian nielsen 23.02.2017 - 04:03
fuente

Lea otras preguntas en las etiquetas