¿Cómo puedo detectar la inspección de HTTPS?

13

En mi empresa utilizo mi computadora para cosas privadas como banca en línea y correo electrónico personal durante el almuerzo.

Siempre he pensado que cuando Firefox me muestra el símbolo de candado verde, se ha establecido una conexión HTTPS válida y nadie puede escuchar a escondidas. Ahora he oído que la inspección de HTTPS puede comprometer esto.

En realidad tengo dos preguntas:

  1. ¿Tengo entendido que, para la inspección de HTTPS, mi empresa implementaría Firefox con un certificado de seguridad "falso" para que pueda simular ser el sitio al que realmente quería llegar y realizar un ataque de hombre en el medio?
  2. ¿Cómo puedo detectar si mi conexión se ha indagado?

Mi empresa utiliza Forefront TMG como puedo ver por el ícono de una bandeja en Windows 10.

¡Muchas gracias de antemano!

    
pregunta Perry Quint 03.04.2016 - 11:21
fuente

4 respuestas

6

Si su empresa posee y administra su computadora, tiene las siguientes opciones para inspeccionar sus conexiones HTTPS:

  1. Agregando su autoridad de certificación al sistema operativo / navegador almacén de certificados de confianza. Esto les permitirá generar válidos. Certificados en el proxy para cualquier sitio web al que se conecte. Además, incluso pueden desactivar la precarga de certificados Listas en el navegador, permitiendo así sustituir "bien conocido". Certificado con una falsa.
  2. Pueden instalar software en tu PC para monitorear todo el sistema de archivos y la actividad de la red, incluyendo HTTPS conexiones Hay un montón de software de prevención de pérdida de datos (DLP) Vendedores que ofrecen dicha funcionalidad. Puede funcionar en modo silencioso, Totalmente invisible para el usuario. Este software es sorprendentemente común. dentro de las empresas.

La indagación de la conexión en el servidor proxy es relativamente fácil de detectar. El certificado del sitio web que le presentará el proxy será diferente del que obtiene cuando abre el sitio desde su casa o incluso usa un dispositivo móvil. Si las claves públicas y las huellas dactilares de los certificados mencionados anteriormente no coinciden, entonces es casi seguro que se produzca una indagación de la conexión (a veces existen razones válidas para esta falta de coincidencia, por lo que es una buena idea verificar toda la cadena de certificados de la misma manera en este caso) ).

Si la compañía usa un software de punto final para observar las actividades de los empleados, entonces detectar esto se vuelve más difícil, especialmente si no tiene privilegios de administrador. Si no se ejecuta en modo silencioso, puede consultar la lista de procesos en ejecución, la bandeja del sistema o la lista de programas instalados para ver si hay algunos programas extraños / desconocidos en la lista (y luego buscar sus nombres en línea). En caso de funcionamiento silencioso, la detección probablemente requerirá habilidades de depuración del kernel / detección de rootkits (o preguntar a un administrador de sistemas).

    
respondido por el Artem Bychkov 05.04.2016 - 17:09
fuente
1

Para responder a tus preguntas,

  1. Sí, así es exactamente como la compañía logra obtener ese "bloqueo verde".

    Esto puede diferir para otros navegadores, sin embargo. Algunos, como Firefox, usan su propio almacén de confianza y otros, como Chrome, usan el del sistema operativo. Por lo tanto, la ubicación de instalación exacta del certificado podría ser en lo que se equivoca.

    En general, sí, así es como funciona.

  2. Use un sitio web como ssl labs que le proporcione el certificado que reciben para el host.

    Luego verifique si ese es el mismo certificado real. Si es así, no hay ningún MITM en marcha.

    Sugerencia sencilla: la mayoría de las veces, el certificado no solo tiene otra huella digital sino también otras propiedades, por lo que puede ser un lugar fácil. Pero podría ser, solo difieren en las huellas dactilares.

respondido por el Tobi Nary 03.04.2016 - 11:36
fuente
1

Hay un par de cosas interesantes que ver. En primer lugar, solo mire el certificado, no vendrá de una autoridad de certificación conocida. Esto es visible (Firefox, Windows) haciendo clic en la flecha de la derecha una vez que haga clic en el candado verde. P.ej. Facebook dice "Digicert".

Una vez que haya visto uno o dos certificados generados por TMG, los identificará con facilidad.

La segunda cosa a tener en cuenta es que algunos sitios son difíciles de MiTM debido a la "fijación de certificados". Esto depende de que el navegador haya cargado previamente un certificado, y no aceptará un "falso". No es realmente sensato para todos los sitios en Internet, pero Google, Twitter y algunos otros lo hacen. Chrome no fija para CA local, para permitir MITM "corporativo", pero evita CAs comprometidas. Firefox tiene una configuración para determinar qué permitir.

Para ser honesto, estas defensas del navegador no son muy útiles contra MiTM corporativo, ya que si su navegador se niega a tomar un certificado falsificado, de todos modos, se lo bloqueará.

La mayoría de los "buenos" filtros web (y algunos malos) permiten al administrador excluir algunos sitios de MiTM. Por ejemplo, Smoothwall viene con valores predeterminados que excluyen la banca en línea por razones de privacidad. Otros sitios pueden ser excluidos porque no juegan bien con MiTM.

Mi consejo es hablar con tu administrador. Si no quieren cambiar de MiTM a la banca, creo que eso es bastante irrazonable (en mi opinión, como ex empleado de la empresa de filtros web). O quieren dejarte hacer tus operaciones bancarias, o no lo hacen. No es algo donde el malware pueda filtrarse, o los usuarios puedan abusar. Facebook y el correo electrónico personal, por otra parte, son áreas más grises.

Lo último que hay que mencionar: para obtener una "página de bloqueo" en un sitio HTTPS (incluso uno bloqueado por dominio) es necesario para MiTM, por lo que puede ver algunos MiTM que se preguntan por qué sucedió si iban a ir. para bloquear la página de todos modos, es porque la alternativa sería un error del navegador menos informativo.

    
respondido por el Tom Newton 03.04.2016 - 12:59
fuente
0

Todas estas son buenas respuestas, por lo que no continuaré y diré cómo "sí, es posible y se hace en muchas organizaciones de todo el mundo". Lo que sí quería decir es que la inspección de HTTPS (generalmente) no se realiza para espiarle, sino para garantizar que el tráfico que atraviesa su red sea legítimo y seguro. Quieren asegurarse de que es usted quien realiza sus operaciones bancarias en su hora del almuerzo y no los secretos de la empresa que filtran el malware.

Además, debe tener en cuenta que la inspección de HTTPS requiere mucha CPU y la práctica general es descifrar solo un poco del tráfico inicial. Una vez que el tráfico ha sido considerado legítimo, no tendrá lugar ningún otro descifrado. Ahora ... por favor recuerde también que dije "práctica general" ... porque es absolutamente posible que descifren su sesión completa. Sin embargo, también es posible que instalen el software de captura de pantalla / keyloggers en su computadora y esa opción probablemente sea más fácil y mucho menos costosa.

    
respondido por el JohnyD 05.04.2016 - 20:45
fuente

Lea otras preguntas en las etiquetas