¿Es posible que una corporación intercepte y descifre el tráfico SSL / TLS? [duplicar]

16

Descubrí que hay algunas empresas que afirman que ofrecen servicios que pueden eliminar el punto ciego de SSL / TLS, como Blue Coat y Gigamon . ¿Están hablando de alguna forma de descifrar el contenido https (rompiendo los algoritmos de encriptación) o simplemente del ataque del hombre en el medio? Si es un proxy MITM, ¿puedo simplemente detectarlo al verificar la CA del certificado instalado en mi navegador?

Mi pregunta es acerca de si hay una manera de monitorear el tráfico https sin ataque MITM y si es posible que el proxy MITM engañe a los usuarios mostrando certificados con CA reales (DigiCert, Comodo), por lo que no puedo distinguir la diferencia observando el CA

    
pregunta Peter Li 02.10.2015 - 17:55
fuente

6 respuestas

32

Lamentablemente, la instalación de un certificado raíz en los navegadores de los usuarios y la realización de un ataque MiTM a los empleados es una práctica estándar en muchas empresas.

Hay algunas formas en que puedes detectar esto.

  1. Una forma es buscar un certificado de CA raíz instalado en su computadora y ver si no reconoce una de las CA. Por supuesto, esto requiere un conocimiento profundo de qué son las CA raíz reales y cuáles son los proveedores de proxy MitM falsos.

  2. Otro es simplemente mirar el certificado y los sitios web https Genera y examina con quién está firmado. El certificado de todos los sitios https estar firmado por la empresa que proporciona el proxy de ataque MiTM.

  3. Una tercera forma es instalar Firefox, preferiblemente una versión que no lo haga. Instalar y funciona como independiente. Firefox no usa el sistema Proporciona certificados, pero utiliza sus propios certificados. Usted puede obtener esto de enlace Si luego recibe una advertencia de seguridad sobre un certificado autofirmado, su compañía lo está procesando.

respondido por el Steve Sether 02.10.2015 - 18:47
fuente
7

Es bastante claro que no pueden descifrar ningún tráfico cifrado para el cual no están en posesión de la clave de cifrado. Es más probable que lo hagan como mitmproxy ; Pueden implementar su certificado raíz a todos los clientes de una empresa por políticas de grupo, por ejemplo, y luego pueden reemplazar todos los certificados de servidores web, ... por su cuenta, ya que ahora se consideran una CA (Autoridad de certificación) de confianza en todos clientes web.

Esto les permitiría descifrar todas las conexiones que están cifradas en función de cualquier certificado en la cadena de certificados emitida por su propia CA raíz. Esta técnica también es utilizada por algunos programas antivirus.

Esto no funcionará con cifrado simétrico con un PSK (Phase-Shift Keying), por supuesto.

    
respondido por el davidb 02.10.2015 - 18:15
fuente
5

Blue Coat : Cómo obtener visibilidad y visibilidad. Control de sesiones web SSL cifradas :

  

Debido a que un proxy es un dispositivo activo (es decir, termina el tráfico),   actúa como el servidor para el cliente y el cliente para el servidor.   Por lo tanto, tiene una comprensión nativa tanto del usuario como del usuario.   solicitud. Para muchas organizaciones, los usuarios solo se conectarán al   Internet a través de un proxy, debido al control que proporciona   empresa. Debido a que un proxy termina las conexiones, ofrece una   punto de control de importancia crítica para la política, el rendimiento y   Protección de todas las interacciones de usuarios y aplicaciones habilitados para la Web.

     

Blue Coat SG es el dispositivo proxy seguro líder, que ofrece   Las empresas "el poder del proxy" en una amplia gama de tamaños. Azul   Coat extiende ese liderazgo ofreciendo funcionalidad de proxy SSL en   su dispositivo proxy líder en el mercado.

Considerando que toma otro enfoque -decryption: ( Giamon : descifrado SSL: descubriendo la nueva infraestructura Punto ciego )

  

La descarga de descifrado SSL también elimina la necesidad de tener   Múltiples licencias de descifrado para múltiples herramientas. Después de todo, un   dispositivo de seguridad con descifrado SSL integrado, por ejemplo, hace   No beneficia a otras herramientas, como el monitoreo del rendimiento de la aplicación.   Gigamon puede suministrar tráfico descifrado a múltiples herramientas   simultáneamente, maximizando la eficiencia global, la seguridad, y   Desempeño de la infraestructura. Un beneficio asociado de este   El enfoque es que las claves privadas ahora se pueden cargar de forma segura a   solo la infraestructura de visibilidad en lugar de compartirla con   Múltiples herramientas.

     

También entrega a los administradores de TI y de seguridad el   Nivel correcto de visibilidad del tráfico, incluido el cifrado SSL   segmentos que están en el corazón de las infraestructuras de nube de hoy.

     

GigaSMART descifra los paquetes y envía el tráfico a múltiples   Herramientas fuera de banda, incluida la detección de intrusos (IDS), pérdida de datos   Prevención y monitoreo del rendimiento de la aplicación para el análisis.

    
respondido por el user45139 02.10.2015 - 18:59
fuente
3

Entonces, hay 4 vulnerabilidades comunes en SSL que vienen inmediatamente a la mente:

  1. Instale un certificado raíz en su computadora que permita que el interceptor sea una autoridad SSL y cree certificados SSL falsificados. Esto requiere que tengan acceso administrativo a su computadora, incluso las huellas digitales de SSL serán diferentes.
  2. Realice un ataque MITM en sitios no SSL luego use SSL Stripping cuando se conecte a sitios SSL. HSTS (Strict Transport Security) puede ayudar a mitigar esto almacenando en caché durante un período de tiempo durante el cual el sitio usa una conexión segura (y no permitir conexiones inseguras durante este período de tiempo).
  3. Cuando la configuración de SSL está mal configurada, esto se puede ver en ejecutando el sitio a través de una prueba de SSL Labs y observando las vulnerabilidades. Esto puede incluir el uso de sistemas de cifrado débiles, el intercambio de claves débiles o el uso de protocolos SSL obsoletos en lugar de pasar por TLS.
  4. El algoritmo de hashing en el certificado también desempeña un papel importante en mantener seguros los SSL, por lo que Chrome está cambiando de fase fuera SHA1 .
respondido por el mjsa 02.10.2015 - 20:05
fuente
2

También tenga en cuenta que los dispositivos de seguridad nextgen como los de los firewalls USG de Palo Alto y Huawei tienen esta funcionalidad incorporada. Aparentemente, esto es para lidiar con el "punto ciego" en el cual, debido a que normalmente se permite el SSL de salida, los empleados pueden utilizarlo para burlar la seguridad (lo que es sorprendente) Al descifrar el SSL, el dispositivo puede realizar un filtrado basado en la aplicación,

    
respondido por el gb5757870 03.10.2015 - 10:44
fuente
2

No, nadie puede romper los certificados 2048-RSA que se usan comúnmente, no hay suficiente potencia de cómputo.

Sin embargo, su navegador puede ser engañado a través de otro certificado (falso). Es muy similar a cómo funciona Fiddle para ver el tráfico encriptado (Fiddle es un analizador de actividad de red)

  1. First Fiddler crea & instala un certificado raíz de confianza.

  2. Navega por enlace

  3. Fiddler crea un certificado (falso) para Google y lo firma con el certificado del paso 1.

  4. Fiddler intercepta todo el tráfico de usted a google y viceversa (y la porción del tráfico entre usted y Fiddler se firma con el certificado falso). Se ha engañado a su navegador para que piense que el certificado falso está bien y usted sospecha nada.

Un buen truco.

Sin embargo, puede oler fácilmente una rata si observa la autoridad de firma del certificado del sitio y ve que no es una de las marcas reconocidas (Thawte, VeriSign, etc.)

    
respondido por el Earl Hickey 03.10.2015 - 08:59
fuente

Lea otras preguntas en las etiquetas