SSL Inspección y privacidad

14

Sé que mi empresa está probando algo llamado "Inspección SSL" basado en Websense, que es nuestro proxy. No puedo proporcionar más detalles sobre esto, pero ¿significa esto que, en principio, todo mi tráfico SSL, por ejemplo, mi contraseña de banco web o mi PIN de seguridad, podría ser leído por WebSense?

    
pregunta castigli 13.06.2012 - 13:45
fuente

5 respuestas

8

Sí. Con esa configuración, WebSense puede descifrar y analizar datos. Esto es lo que hace WebSense como un proxy con capacidad para inspeccionar las conexiones SSL.

  1. La validación de certificados garantiza lo siguiente

    • El certificado no ha caducado
    • El certificado no está revocado
    • El propietario del certificado y la URL tienen la misma identidad
    • El certificado es emitido por una CA confiable
  2. El Administrador de seguridad de red tiene la capacidad de decidir qué sitio se va a instalar No se permite el cliente.

    • Cualquier decisión sobre la confiabilidad de un certificado debe tomarse únicamente por el administrador de seguridad.
    • Cualquier excepción a la regla solo puede ser hecha y permitida por la seguridad administrador.
    • El usuario de una estación de trabajo cliente solo puede solicitar excepciones, pero no hacer ellos.
  3. Control sobre los datos transmitidos

    • Los datos pueden ser descifrados y, por lo tanto, inspeccionados para detectar malware.
respondido por el Kapish M 13.06.2012 - 14:37
fuente
17

Sí, la inspección SSL es esencialmente un "ataque" de intermediarios (excepto que no es realmente un ataque, ya que está siendo realizado por el propietario de la infraestructura) con la intención de poder leer todo el tráfico que proviene de su empresa. o cruce la red de su empresa, incluso si se está utilizando SSL.

En consecuencia, no debe enviar nada desde la máquina de su empresa o a través de la red de la empresa que no desee que lea su equipo de seguridad corporativo.

(que es una buena regla general en cualquier caso).

Algunos otros puntos a tener en cuenta:

  • Una empresa razonable no se preocupará por sus datos personales.
  • Un equipo de seguridad ética hará todo lo posible para evitar ver datos personales
  • Una compañía sensata habrá documentado lo que hará y lo que no hará; vea lo que se ha publicado.
  • Existe un riesgo pequeño pero no nulo con cualquier sistema de este tipo que un atacante real pueda comprometer el sistema de monitoreo.
  • Hay otros métodos disponibles para que un equipo de seguridad corporativo supervise el uso de computadoras: pueden implementar keyloggers, por ejemplo.

Si una organización tiene que implementar un sistema robusto de Prevención de Pérdida de Datos, tendrán que verlo todo, por lo que a pesar de que están implementando la Inspección SSL, no significa que tengan malas intenciones. No es muy divertido para sus empleados, por supuesto, por lo que la transparencia es tan importante.

    
respondido por el Graham Hill 13.06.2012 - 14:38
fuente
1

Cuando una empresa utiliza un proxy para inspeccionar la comunicación de SSL de los empleados, falsifican el certificado de destino (por ejemplo, su banco) para que el empleado piense que se comunica con el banco pero en realidad se comunica con el proxy y el proxy a su vez se comunica con el banco. El proxy usa su propio certificado raíz para la ruta del empleado-proxy.

Cuando intenta iniciar sesión en su cuenta bancaria desde la computadora de su compañía, ocurre lo siguiente:

  1. la solicitud de inicio de sesión utiliza el certificado de la empresa para cifrar el mensaje y enviarlo al proxy.
  2. El proxy, después del descifrado y la inspección (y esto se puede hacer ya que su departamento de TI genera el certificado y, naturalmente, tienen la clave privada requerida para descifrar), "vuelve a empaquetar" el mensaje y lo envía al banco.
  3. Durante (2), el proxy le devuelve la página de inicio de sesión del banco, por lo que cree que está conectado directamente al banco. Es posible que vea el ícono del candado, pero esto es falso, es generado por el certificado del proxy.
  4. Durante la fase de inspección, la compañía puede leer sus detalles de inicio de sesión en forma clara.

Sin embargo, aún puede conectarse a su banco de una manera segura:

  1. Si usa su propia computadora en la red de la empresa, cuando obtenga la página de inicio de sesión en el banco, mire el certificado real que se le muestra (normalmente haciendo clic en el icono de candado) y compare su huella digital con una huella dactilar que obtuvo a través de otro canal de comunicación (p. ej., recopile de antemano las huellas deseadas en su casa y escríbalas en un papel). Las huellas digitales no pueden ser falsificadas por un proxy.

  2. Si usa la computadora de la compañía, es posible que desee comparar las huellas digitales, pero recuerde que esta no es su máquina; la compañía podría haber instalado todo tipo de software / registradores de rastreo. No hagas cosas muy sensibles en el software de hardware + que no controlas completamente (aunque los problemas de confianza del sistema operativo o los controladores de dispositivos son un tema importante para otra discusión, sin embargo ...)

respondido por el Ninveh 24.10.2014 - 16:28
fuente
-4

Aunque los datos que envía se descifran, el personal de TI no puede ver los datos que ha enviado, lo único que se ve es la dirección web.

    
respondido por el CrabLab 02.04.2014 - 00:08
fuente

Lea otras preguntas en las etiquetas