Uso de la organización de inspección SSL y duplicación de certificados de CA raíz

3

Una organización (una escuela en este ejemplo) requiere la conexión de dispositivos personales para instalar certificados de CA raíz para permitir que se realice la inspección SSL. Si este aspecto es ético o no ético es otro problema: en el contexto de verificar que el contenido al que se accede es apropiado para una escuela, la inspección SSL es probablemente una exageración y plantea una pregunta sobre por qué la inspección SSL está en realidad implementada en la red.

El personal de administración de la organización no comprende adecuadamente los problemas de seguridad presentes en esta configuración y, por lo tanto, los problemas no pueden ser comunicados al personal de administración de la red.

Se recomienda a los invitados que sus dispositivos se unan a la red, por lo que es necesario instalar y aceptar los certificados de CA raíz.

Los certificados de CA raíz se emitieron durante 10 años a partir de 2016: una actualización reciente a la red requería que se volvieran a emitir y reinstalar, lo que significa que los certificados de CA raíz antiguos todavía están instalados en cientos, si no miles de máquinas.

Clientes (estudiantes) - cientos - se van todos los años y sus dispositivos personales seguirán teniendo instalados los certificados de CA raíz, sin la instrucción proporcionada por la escuela para eliminarlos

¿Es esto bastante significativo? o si todo se ignora, ¿cómo puede expresar los problemas asociados con el personal de administración analfabeto de computadoras?

    
pregunta Adam Watson 12.10.2017 - 17:21
fuente

3 respuestas

2

Vamos a descomprimir sus preguntas:

  

¿Es esto bastante significativo? o debería ser ignorado todo

y

  

¿cómo puede expresar los problemas asociados con el personal de administración analfabeto de computadoras?

tl; dr: "Depende".

Ya ha discutido la preocupación de privacidad / ética con la escuela, que supervisa completamente todo el tráfico de todos los dispositivos en su edificio, así que supongamos por ahora que estamos de acuerdo con esto y hablemos sobre las inquietudes técnicas:

  1. La CA se volcó y la anterior quedó sin dispositivos.
  2. Los estudiantes graduados (o los invitados que abandonan el edificio) no eliminan los certificados de raíz de sus tiendas de confianza.

Antes de que podamos continuar, debemos definir nuestro modelo de amenazas . Supongo que le preocupa que las personas aleatorias de ciber-delincuentes, piratas y piratas informáticos pongan en peligro estos dispositivos debido a la presencia de estas raíces de confianza.

Creo que solo hay dos formas en que esto puede suceder:

  1. El certificado de CA usa criptografía débil y puede ser forzado por la fuerza bruta antes de que caduque.

Ciertamente, un certificado de 10 años en RSA-1024 estaría en esta categoría. Tendrá que mirar el certificado raíz en sí para ver qué criptografía están usando.

  1. Los administradores no sabían cómo almacenar las claves privadas, y los piratas informáticos pudieron piratear la escuela y robar el archivo de claves privadas.

Sí, ahora cualquier sitio web visitado por un dispositivo con el certificado raíz de la escuela podría ser potencialmente un sitio de phishing y el dispositivo / usuario no sabrá la diferencia.

Entonces, la pregunta es: ¿qué tan robustas están las redes de la escuela contra el robo de la clave privada del certificado de California? Por ejemplo, ¿la escuela ha contratado probadores de penetración externos para ayudarlos a endurecerse? La forma de ofrecer esto a la administración es el costo de fortalecer la red frente al riesgo de hacer que cada dispositivo de estudiante / personal / invitado sea vulnerable a los atacantes dentro y fuera de la red escolar .

    
respondido por el Mike Ounsworth 12.10.2017 - 20:22
fuente
0

Gran parte de la seguridad depende de qué tan bien se gestionan los certificados y proxies SSL.

  Los

certificados de CA raíz se emitieron durante 10 años a partir de 2016

... así que no muy bien.

  

El personal de administración de la organización no comprende adecuadamente los problemas de seguridad

¿Se refiere al personal responsable de la administración de la organización o a los responsables específicos de la administración del servicio? Si es lo último, ten mucho miedo.

  

¿cómo puede expresar los problemas asociados con el personal de administración analfabeto de computadoras?

(ver pregunta anterior)

Si estamos hablando del riesgo organizacional, entonces el mayor es el de responsabilidad.

    
respondido por el symcbean 12.10.2017 - 18:03
fuente
0

Para responder a la razón por la que lo hacen, debe saber lo fácil que es evitar el filtrado de contenido cuando se trata de https. Google, el cambio a https hace solo unos años causó un gran dolor de cabeza a muchas escuelas y su software de filtrado existente.

Lo único que puede detectar sin interceptar la solicitud https es el dominio. Eso hace que sea fácil de detectar, por ejemplo, pornhub, pero desactive la búsqueda segura de Google y realice una búsqueda de imágenes para el término sexual que desee y el dominio seguirá siendo Google, pero el contenido será decididamente no adecuado para menores.

Básicamente, la escuela no tiene otra opción, excepto hacer algún tipo de enfoque de mitm o no proporcionar wifi.

En cuanto a la divulgación de los medios reales para hacerlo y / o cómo eliminarlo después, probablemente podrían hacerlo mejor, pero la mayoría de los adolescentes venderían un riñón por wifi gratis y lo habrán olvidado en un par de años.

Como han indicado otras respuestas, podrían mejorar técnicamente y existe un riesgo de compromiso total de https del navegador, pero consideraría que es un riesgo bastante bajo. Si la NSA o el Mossad te persiguen, te conseguirán ... alguien que piratee la escuela y luego un hombre en medio de una cafetería local es posible, pero no es algo para perder el sueño. Especialmente porque la mayoría de los dispositivos conectados solo tienen una vida útil de 2 años.

    
respondido por el ste-fu 12.10.2017 - 21:50
fuente

Lea otras preguntas en las etiquetas