¿Es posible que Firefox detecte ataques MITM por parte de la empresa? [duplicar]

2

Estoy lejos de ser un experto en seguridad, por lo que la premisa de mi pregunta podría ser incorrecta. Si es así, hágamelo saber.

En una configuración empresarial, los usuarios del navegador son vulnerables y, a menudo, están sujetos a los ataques MITM de la empresa. La empresa tiene control completo sobre cómo se configura el navegador, por lo que simplemente preinstala su propio certificado raíz de CA y configura el navegador para que confíe en él. La empresa puede emitir certificados para cualquier sitio web en Internet y leer o modificar el tráfico HTTPS para ellos. Por ejemplo, si un usuario accede a su banco en línea, no tiene forma de saber si un empleado deshonesto en el departamento de TI está interceptando su contraseña de banca en línea. Peor aún, todos los indicadores de seguridad esperados (candado verde, nombre correcto en el certificado, etc.) les tranquilizarán incorrectamente.

Revocar la confianza en el certificado raíz de la empresa solucionaría esto, pero la empresa puede evitar tales cambios de configuración, y al hacerlo evitaría que el navegador acceda a los sitios de intranet, por lo que no es una solución.

Finalmente, dado que la empresa (atacante) tiene control completo sobre la máquina, podría cambiar el binario del navegador para mostrar indicadores de seguridad falsos (o instalar registradores de teclas, capturadores de pantalla, etc.). Supongamos que la motivación de la empresa solo se extiende hasta la configuración del navegador y la supervisión de la red, y que el binario del navegador no está modificado. Supongamos también que el navegador es Firefox, ya que eso es lo que uso.

  1. ¿Es posible que un usuario de NOVICE, en estas condiciones, detecte de forma confiable los ataques MITM de la empresa?

  2. Si no, ¿los cambios realizados fuera del control de la empresa, como el propio Firefox o la infraestructura de seguridad web, pueden impedir que la empresa realice un ataque MITM sin que el usuario lo sepa?

pregunta Roofus 04.08.2017 - 04:34
fuente

1 respuesta

0

Mientras el navegador no esté modificado, puede detectar MITM al verificar la cadena de certificados haciendo clic en icono de candado junto a la barra de URL . Cuando la conexión no está siendo MITMed, la raíz de la cadena de certificados debe ser una CA pública. Todas las CA públicas publican su hash de clave pública o pueden cotejar el hash de la raíz con el almacén raíz que descargue directamente desde Mozilla . Si está realmente paranoico, desea descargar el almacén raíz desde una conexión que sepa que es segura. También puede auditar el almacén raíz del navegador (utilizando el administrador de certificados integrado ) contra el El almacén raíz descargado de forma segura, para comprobar que el almacén raíz del navegador no contiene ninguna raíz adicional que no debería haber estado allí.

En la práctica, la mayoría de las políticas de intercepción de empresas no deben ocultarse a sus usuarios / empleados, por lo que el campo CN del certificado raíz generalmente indica claramente que el certificado raíz pertenece a la empresa en lugar de a una CA pública. . Por lo tanto, una forma mucho más sencilla de detectar MITM en este caso es simplemente verificar el nombre en el campo "Verificado por:" en el icono emergente del candado. Sin embargo, esto es un poco menos robusto, porque depende de que la empresa no se desvíe deliberadamente de su camino para tratar de ocultar que están interceptando.

Si se modifica el navegador, todas las apuestas están desactivadas, ya que el navegador puede mentirle. Tenga en cuenta que la instalación de un complemento clásico (que no sea de extensión web) cuenta como una modificación del navegador.

    
respondido por el Lie Ryan 04.08.2017 - 05:15
fuente

Lea otras preguntas en las etiquetas