Frage:
Wie kann mein Arbeitgeber ein Mann in der Mitte sein, wenn ich mich mit Google Mail verbinde?
Lernkurve
2014-07-17 13:52:10 UTC
view on stackexchange narkive permalink

Ich versuche, SSL / TLS zu verstehen. Was folgt, ist eine Beschreibung eines Szenarios und einige Annahmen, die Sie hoffentlich bestätigen oder widerlegen können.

Frage

Wie kann mein Arbeitgeber ein Mann sein? -in der Mitte, wenn ich eine Verbindung zu Google Mail herstelle? Kann er das überhaupt?

Das heißt: Kann der Arbeitgeber die Verbindung zwischen dem Browser auf meinem Arbeitscomputer und dem Webproxyserver des Arbeitgebers entschlüsseln und die Daten beispielsweise für Virenscans im Klartext lesen? , die Daten neu verschlüsseln und an Google senden, ohne dass ich es merke?

Browser auf dem Computer des Mitarbeiters < -> Web-Proxy-Server des Arbeitgebers < -> Google Mail-Server

Die Der Arbeitgeber kann jedes selbstsignierte Zertifikat auf den Computern des Unternehmens installieren. Immerhin ist es seine Infrastruktur.

Szenario: Was ich tue

  1. Öffnen Sie mit einem Browser http: // www. gmail.com (Hinweis http, nicht https)
  2. Ich werde zur Google-Anmeldeseite weitergeleitet: https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm = false&continue = https: //mail.google.com/mail/&ss=1&scc=1&ltmpl=default&ltmplcache=2&emr=1
  3. Ich gebe meinen Benutzernamen und mein Passwort ein Ich werde zu Google Mail weitergeleitet: https://mail.google.com/mail/u/0/?pli=1#inbox
  4. Ich klicke auf das SSL-Sperrsymbol im Browser ...
    5. ol>

    ... und sehen Sie Folgendes:

  • Ausgestellt an: mail.google.com
  • Ausgestellt von: "Name des Arbeitgeberunternehmens"
  • Gültig ab: 01.01.2014 - 31.12.2014
  • Zertifizierungspfad: "Name des Arbeitgeberunternehmens" -> "Name des Web-Proxy-Servers des Arbeitgebers" -> mail.google.com

Annahme

Ich gehe jetzt davon aus dass das SSL-Schlosssymbol im Browser grün wird, aber tatsächlich keine sichere Verbindung vom Browser zum Google Mail-Server besteht.

Ist das richtig?

Quellen

Ich habe diese Quellen gelesen, verstehe sie aber immer noch nicht ganz:

p> Zusammenfassung
  1. Werden mein Login und mein Passwort auf dem Webproxyserver des Arbeitgebers im Klartext gelesen?
  2. Was muss ich im Browser überprüfen, um sicherzustellen, dass ich über eine Sicherheit verfüge? Verbindung vom Browser bis zum Google Mail-Server?
    3. ol>

    BEARBEITEN, 18.07.2014

  • Datenschutz ist kein Problem . Ich bin nur neugierig, wie TLS in diesem speziellen Szenario funktioniert. Welche anderen Mittel der Arbeitgeber hat, um die Kommunikation abzufangen (Keylogger usw.), ist in diesem speziellen Fall nicht relevant.
  • Rechtliche Angelegenheiten sind kein Problem. Mitarbeiter dürfen innerhalb bestimmter Grenzen firmeneigene IT-Geräte für die private Kommunikation nutzen. Andererseits behält sich der Arbeitgeber das Recht vor, eine Überwachung durchzuführen, ohne die Privatsphäre zu verletzen.
Zumindest ist Ihr Arbeitgeber fair genug, um seinen eigenen Namen für das Zertifikat zu verwenden, damit Sie es sehen können. Es wäre viel schwieriger herauszufinden, ob er alles vom Originalzertifikat kopierte und nur die Schlüssel und Prüfsummen änderte.
Es ist schockierend, dass Websites kein SRP bereitstellen, um die Sicherheit von Kennwörtern zu gewährleisten, da sie davon ausgehen, dass HTTPS gut genug ist. Http://simbo1905.wordpress.com/2014/05/16/the-secure-remote-password-protocol/
Google implementiert HSTS, um dieses spezielle Problem zu lösen. HSTS ist HTTP Strict Transport Security, das die Zertifizierungsstelle des von Google Mail verwendeten Zertifikats sperrt. Verwenden Sie einen Browser mit Unterstützung für HSTS, um Angriffe durch Menschen in der Mitte zu verhindern.
@simbo1905 Könnte ein Effekt von Mozilla et al. Drücken Sie "Verwenden Sie HTTPS, es macht Sie sicher!" an Leute, die es nicht vollständig verstehen. (Das war immer noch der Fall, als dies gepostet wurde, oder?)
@gottlieb76 - sind Sie sich da sicher? Ich denke, wenn der Arbeitgeber ein Stammzertifizierungsstellenzertifikat auf dem Computer installiert, von dem aus Sie eine Verbindung herstellen, würde HSTS nicht davor schützen, dass sie die Daten auf MITM-Weise abfangen.
@JonnyWizz - Ja und nein. Wenn der Arbeitgeber die allererste Anfrage beantworten kann, dann ja. Aber Google (und andere) beginnen, Browser mit einer HSTS-Liste vorzuladen, um diese Art von Angriff zu vereiteln. Beachten Sie, dass HSTS die Änderung der Stammzertifizierungsstelle verhindert, da die Zertifikate fixiert werden. Wenn Sie sich nicht sicher sind, überprüfen Sie einfach den Aussteller Ihres Zertifikats, wenn Sie ein Zitat besuchen.
@gottlieb76 zuerst verwechseln Sie hsts und hkp. Zweitens schützt hkp absichtlich nicht durch manuell installierte Roots vor MITM.
Fünf antworten:
David Houde
2014-07-17 14:39:01 UTC
view on stackexchange narkive permalink

Ihre Annahmen sind absolut korrekt.

Wenn Sie einen Computer verwenden, der Ihrem Arbeitgeber gehört und von ihm betrieben wird, hat dieser effektiv die volle Kontrolle über Ihre Kommunikation. Basierend auf Ihren Angaben haben sie ein Zertifikat der Stammzertifizierungsstelle installiert, mit dem sie selbst ein Zertifikat für Google signieren können.

Dies ist im Unternehmen nicht ungewöhnlich, da der verschlüsselte Datenverkehr auf Viren- oder Datenlecks überprüft werden kann.

So beantworten Sie Ihre drei Fragen:

  1. Ja, das ist sehr wahrscheinlich und wahrscheinlich. Wie aktiv sie diese Dinge überwachen, ist unbekannt.

  2. Ihr Passwort kann von Ihrem Arbeitgeber im Klartext gelesen werden. Ich weiß nicht, was Sie mit dem Webserver meinen.

  3. Sie können das Zertifikat überprüfen, um festzustellen, wer es signiert hat, wie Sie es bereits getan haben. Sie können den Fingerabdruck auch mit dem von Google vergleichen (von einem Dritten außerhalb der Geschäftskontrolle überprüft).

    4. ol>

    Bearbeiten:

    Wie genau Kann mein Arbeitgeber das entschlüsseln? Könnten Sie das vielleicht etwas näher erläutern?

    Sie verwenden das fehlerhafte Zertifikat, um eine Verbindung zu einem Zwischengerät wie der Firewall herzustellen. Dieses Gerät stellt dann mit dem richtigen Zertifikat eine Verbindung zu Google her. Die Kommunikation wird von Ihrem Client zum MITM verschlüsselt, entschlüsselt und auf dem Weg zu Google erneut verschlüsselt.

Vielen Dank, dass Sie meine Annahmen bestätigt und die drei Fragen beantwortet haben! Was ich immer noch nicht bekomme: Ich dachte, mein Browser würde den öffentlichen Schlüssel von Google Mail verwenden, alles in meinem Browser verschlüsseln und an Google Mail senden. Wie genau kann mein Arbeitgeber das entschlüsseln? Könnten Sie das vielleicht etwas näher erläutern?
@Lernkurve: Bei einem Mann in der Mitte erhält Ihr Browser anstelle des echten Google Mail-Zertifikats das gefälschte Google Mail-Zertifikat Ihres Arbeitgebers. Normalerweise erkennt der Browser diese Situation, da davon ausgegangen wird, dass es unmöglich ist, einen von einer glaubwürdigen Zertifizierungsstelle ausgestellten öffentlichen Schlüssel zu fälschen. Wenn Ihr Unternehmen jedoch ein eigenes Stammzertifizierungsstellenzertifikat installiert, vertraut der Browser allen von der Unternehmenszertifizierungsstelle ausgestellten Zertifikaten und tut dies nicht. Keine Warnungen ausgeben.
Es ist erwähnenswert, dass dies in vielen Ländern als Verletzung eines Rechts auf Privatsphäre angesehen werden kann (siehe Artikel 12 der UDHR), je nachdem, was Ihr Arbeitgeber Ihnen über seine Aktivitäten gesagt hat.
@Lernkurve Ihr Browser verschlüsselt es mit dem öffentlichen Schlüssel aus dem Zertifikat Ihres Arbeitgebers. Dann verwendet das Netzwerküberwachungsgerät Ihres Arbeitgebers den privaten Schlüssel aus dem Arbeitgeberzertifikat, um die Nachricht zu entschlüsseln (und stellt vermutlich sicher, dass Sie keine proprietären Daten herausschmuggeln). Anschließend wird der öffentliche Schlüssel von Google verwendet, um Ihre Nachricht erneut zu verschlüsseln und an Google zu senden. Der gleiche Vorgang erfolgt in umgekehrter Reihenfolge für die Antwort von Google.
@DanNeely: Jetzt verstehe ich es. Danke, dass du es für mich formuliert hast.
Eine kleine Subtilität: Wenn Sie Chrome als Browser verwenden, wird die Verbindung zu Google Mail abgelehnt, wenn sich ein Mann in der Mitte befindet, da die Chrome-Hardcodes festlegen, wer Zertifikate für Google-Websites signieren darf (siehe http: //googleonlinesecurity.blogspot.co.uk/2011/08/update-on-attempted-man-in-middle.html). Andere Kombinationen von Browser und E-Mail-Anbieter hätten jedoch keinen besonderen Schutz.
@James_pic entweder ist das nicht mehr der Fall oder mein Arbeitgeber tut etwas, um es zu umgehen. Ich habe mich gerade bei Chrome bei der Arbeit bei Google Mail angemeldet und es zeigt die Verwendung des gleichen Zertifikats von bluecoat.myemployer.com, dass der Proxy für alles andere dient, was mitm überwacht.
@DanNeely, ändert den allgemeinen Punkt dieser Diskussion nicht ganz, aber so funktioniert SSL nicht (http://security.stackexchange.com/q/20803/2435). Der Inhalt wird mit * symmetrischen * Schlüsseln verschlüsselt, die während des Handshakes ausgehandelt werden, nicht mit dem Zertifikatschlüssel.
@symcbean In einigen Ländern wird E-Mail als normale E-Mail betrachtet. Dies bedeutet, dass wenn der Arbeitgeber es liest, * ob verschlüsselt oder nicht * und unabhängig davon, ob Sie seinen Computer benutzen oder nicht, * eine Straftat * ist. In Italien würden Sie beispielsweise gegen [Art. 616] (http://www.brocardi.it/codice-penale/libro-secondo/titolo-xii/capo-iii/sezione-v/art616.html) verstoßen Strafgesetzbuch; In diesem Fall könnte der Arbeitgeber für ein Jahr ins Gefängnis gebracht werden (3, wenn seine Kenntnis des Inhalts der E-Mail den Betreff beschädigte [dies würde wahrscheinlich den Arbeitgeber einschließen, der den Arbeitnehmer entlässt])
Wir brauchen wirklich Gesetze, die die Unterzeichnung eines gefälschten Zertifikats zu einem Verbrechen machen, unabhängig davon, für welchen Zweck es getan wird.
@Bakuriu: Der Arbeitgeber tut jedoch nichts mit der E-Mail. Die zu prüfenden Daten sind Webseiten (HTTPS-Anforderungen), keine E-Mails (SMTP + TLS oder SMTP + SSL oder SSMTP). Die E-Mail wird vom Google Mail-Server verarbeitet. Sie erhalten lediglich eine Webansicht davon. Der Versuch, eine strikte Interpretation anzuwenden, würde wahrscheinlich Google Mail implizieren (ihre Computer öffnen Ihre E-Mail und konvertieren sie in eine HTML-Seite). Wenn Google Mail Ihre E-Mails bearbeiten darf, weil Sie zugestimmt haben, hat Ihr Arbeitgeber sicherlich die gleiche Einwilligung wie eine Bedingung für den Netzwerkzugriff verlangt.
@Ben Voigt: Arbeiten Sie für die PR-Abteilung der NSA?
In Bens Kommentar gibt es zwei Punkte für den Preis von einem. (1) Ist "E-Mail" nach italienischem Recht als "Daten über SMTP / POP / IMAP" oder als "Ich weiß es, wenn ich es sehe" definiert? Wenn erstere, dann ist der Arbeitgeber vom Haken. (2) Was bedeutet "lesen"? Mechanische Manipulationen für einen bestimmten Zweck (Neuformatierung, Virenscannen, Hinzufügen von Anzeigen, Suchen nach terroristischen Wörtern) werden üblicherweise von der Person, die dies tut, wenn nicht immer gesetzlich vorgeschrieben, als "nicht lesend" bezeichnet. Zweifellos haben beide Fragen Antworten im italienischen Recht, wenn nicht unbedingt, würde dies pedantische Programmierer zufriedenstellen.
Oh ja, und Italien hat ein ziemlich umfangreiches Arbeitsrecht, das Verträge zwischen Arbeitgeber und Arbeitnehmer regelt. Selbst wenn der Arbeitgeber die Einwilligung verlangt hat, etwas als Beschäftigungsbedingung (oder nur als Bedingung für den Netzwerkzugang) zu tun, bezweifle ich sehr, dass es * notwendigerweise * im italienischen Recht folgt, dass er tatsächlich die Einwilligung hat. Dies könnte ein Wert von "etwas" sein, dem es folgt, aber es könnte auch nicht sein.
Ja, ich würde definitiv folgen, dass Sie diesen Suchanfragen wahrscheinlich in Ihrem Arbeitsvertrag zugestimmt haben. Ich würde vorschlagen, Ihren Arbeitsvertrag und das Mitarbeiterhandbuch Ihres Unternehmens (erhältlich bei HR) zu überprüfen.
@davidHoude, Kennen Sie Browsererweiterungen, die gekennzeichnet werden, wenn ein SSL-Zertifikat von einer anderen als der bekannten Kette signiert wird?Derzeit erhalte ich eine große grüne "sichere" Sperre für Websites, von denen ich weiß, dass sie MITM-fähig sind.Von meinem Arbeitgeber bin ich nicht zu aufgeregt, aber es wäre gut zu wissen ...
Harold R. Eason
2014-07-17 19:50:01 UTC
view on stackexchange narkive permalink

1 und 2 werden von David Houde beantwortet.

3:

Es gibt eigentlich keine Möglichkeit, sicher zu sagen, ob Sie sicher mit Google Mail sprechen bei der Verwendung der Maschine Ihres Unternehmens (abgesehen von der Prüfung der Maschine bis auf das Metall). Selbst wenn sie das Zertifikat nicht geändert haben, können sie einfach den Webbrowser ändern, um den gesamten entschlüsselten Datenverkehr irgendwo weiterzuleiten. Es gibt eine Million anderer Dinge, die sie tun könnten. In diesem Fall haben sie einfach ein eigenes Stammzertifikat installiert, mit dem Sie sehen können, was sie getan haben.

Und selbst auf diese Weise könnten sie einfach ihr CA-Zertifikat Verisign3 oder so nennen und Sie würden es nie vermuten ;-)
Genau. Die Frage ist also schließlich: Wer hat Ihnen Ihren privaten Laptop verkauft und warum führen Sie ein vorinstalliertes Windows aus, das enthält, wer weiß was? Irgendwo haben Sie eine Vertrauenswurzel :) (Und was Vertrauenswurzeln betrifft, hat jemand CAs erwähnt ?: D)
mnmnc
2014-07-18 16:22:25 UTC
view on stackexchange narkive permalink

Ich sehe niemanden, der es erwähnt, also erlaube mir, auf etwas hinzuweisen. Vielleicht irre ich mich, aber verhindert nicht das in Google Chrome implementierte Anheften von Zertifikaten (es gibt auch ein Plugin für Firefox) das Spoofing von Zertifikaten?

Verwandte Fragen und Antworten.

Natürlich ist es möglich, den Datenverkehr zu überwachen, wenn Sie die Infrastruktur steuern. Dies ist jedoch bis zu einem gewissen Grad möglich und hängt meiner Meinung nach davon ab, wie eingeschränkt Benutzeraktionen sind und wie viel Wissen der Benutzer hat. Google Chrome ist der Browser, der im Benutzerprofil installiert werden kann, und ich denke, er erfordert keine Administratorrechte. Sie können auch die Prüfsumme des Installationspakets überprüfen, um sicherzustellen, dass es nicht im laufenden Betrieb geändert wurde. Da Google Chrome das Anheften von Zertifikaten unabhängig vom Zertifikatspeicher des Betriebssystems verwendet - ist es immer noch anfällig für MITM ?

Ich sehe keine Möglichkeit, Benutzer zu verhindern von der Verwendung einer tragbaren Version von VirtualBox mit einem Client-Betriebssystem, das über eine Reihe von datenschutzorientierten Tools verfügt, die die Chance, die Kommunikation zu einer Website / Domain zu sichern, erheblich erhöhen.

Bitte korrigieren Sie mich, wenn ich dies tue Ich bin in einem der oben genannten Punkte falsch.

----------

Bearbeiten.

Ok. Also habe ich eine Lösung gefunden, um zu überprüfen, ob das Zertifikat gefälscht wurde . Es funktioniert angeblich nicht perfekt für Google und Apple, aber es könnte das sein, wonach Sie bei anderen Domains suchen.

Auf den Punkt gebracht:

Es gibt eine Site https://www.grc.com/fingerprints.htm, mit dem der Fingerabdruck eines Remotezertifikats für Sie überprüft werden kann . Sie können es dann mit dem in Ihrem Browser angezeigten vergleichen, um zu überprüfen, ob sie übereinstimmen. Wenn sie nicht übereinstimmen, wird dieses Zertifikat gefälscht ( Ausnahme wird im Abschnitt * Was kann mit diesem Test schief gehen? * Auf der genannten Seite erwähnt. ).

Hier ist der Beweis, dass es funktioniert. Browser-Zertifikat: enter image description here

Fingerabdruck von der grc.com-Überprüfung : enter image description here

Ich denke, da Sie etwas im Sinne der Massenüberwachung erwähnen, wird das Spoofing von Zertifikaten auch auf mehreren https-Sites stattfinden. In diesem Fall, wenn bestätigt wird, dass einer gefälscht ist, können Sie davon ausgehen, dass alle gefälscht sind.

Nächste Bearbeitung.

Nur um die Antwort zu vervollständigen. Da dies der Fall sein kann, wenn ein Bundesstaat oder eine Organisation den Browser vollständig ändert und dem Browser nicht vertraut werden kann , um die Gültigkeit des Zertifikats zu bestätigen. Ich habe eine Powershell-Funktion gefunden, die eine SSL-Verbindung zu der angegebenen Adresse ausführt und einige nützliche Informationen zum Zertifikat anzeigt.

Hier ist der Code (Alias ​​ist meiner): 

  Funktion Test-WebServerSSL {[CmdletBinding ()] param ([Parameter (Obligatorisch = $ true, ValueFromPipeline = $ true, Position = 0)] [Zeichenfolge] $ URL, [Parameter (Position = 1)] [ValidateRange (1, 65535)] [int] $ Port = 443, [Parameter (Position = 2)] [Net.WebProxy] $ Proxy, [Parameter (Position = 3)] [int] $ Timeout = 15000, [switch] $ UseUserContext) Hinzufügen -Type @ "using System; using System.Net; using System.Security.Cryptography.X509Certificates; Namespace PKI {Namespace Web {öffentliche Klasse WebSSL {public Uri OriginalURi; public Uri ReturnedURi; public X509Certificate2 Certificate; // public X500DistinguishedName Issuer; / / public X500DistinguishedName Subject; public Zeichenfolge Aussteller; öffentlicher String Betreff; public string [] SubjectAlternativeNames; public bool CertificateIsValid; // public X509ChainStatus [] ErrorInformation; public string [] ErrorInformation; public HttpWebResponse Response; }}} "@ $ ConnectString =" https: // $ url`: $ port "$ WebRequest = [Net.WebRequest] :: Create ($ ConnectString) $ WebRequest.Proxy = $ Proxy $ WebRequest.Credentials = $ null
$ WebRequest.Timeout = $ Timeout $ WebRequest.AllowAutoRedirect = $ true [Net.ServicePointManager] :: ServerCertificateValidationCallback = {$ true} try {$ Response = $ WebRequest.GetResponse ()} catch {} if ($ WebRequest.ServicePoint.Certificate -ne $ null) {$ Cert = [Security.Cryptography.X509Certificates.X509Certificate2] $ WebRequest.ServicePoint.Certificate.Handle try {$ SAN = ($ Cert.Extensions | Where-Object {$ _. Oid.Value -eq " 2.5.29.17 "}). Format (0) -split", "} catch {$ SAN = $ null} $ chain = Sicherheit neuer Objekte.Cryptography.X509Certificates.X509Chain -ArgumentList (! $ UseUserContext) [void] $ chain .ChainPolicy.ApplicationPolicy.Add ("1.3.6.1.5.5.7.3.1") $ Status = $ chain.Build ($ Cert) PKI.Web.WebSSL -Property @ {OriginalUri = $ ConnectString; ReturnedUri = $ Response.ResponseUri; Certificate = $ WebRequest.ServicePoint.Certificate; Issuer = $ WebRequest.ServicePoint.Certificate.Issuer; Subject = $ WebRequest.ServicePoint.Certificate.Subject; SubjectAlternativeNames = $ SAN; CertificateIsValid = $ Status; Antwort = $ Antwort; ErrorInformation = $ chain.ChainStatus | ForEach-Object {$ _. Status}} $ chain.Reset () [Net.ServicePointManager] :: ServerCertificateValidationCallback = $ null} else {Schreibfehler $ Error [0]}} Set-Alias ​​TSSL Test-WebServerSSL

Sie können es in die Powershell-Konsole einfügen. Dadurch wird die Funktion für die Zeit der aktuellen Sitzung registriert (bis Sie das Fenster der Powershell-Konsole schließen, sodass Sie keine Spuren hinterlassen).

Danach können Sie im selben Fenster Folgendes eingeben: 

  TSSL www.ipko.pl

Die Ausgabe sieht folgendermaßen aus : enter image description here

Ich habe hier einen Funktionscode gefunden.

Unternehmen können Benutzer daran hindern, Virtual Box zu installieren, indem sie daran gehindert werden, Virtual Box zu installieren - entweder indem sie alle Softwareinstallationen verhindern oder eine Whitelist akzeptabler Anwendungen verwenden. Ebenso kann das Booten von USB deaktiviert werden.
@Johnny Ja. Das ist ganz offensichtlich. Wenn Sie die Kontrolle über GroupPolicy haben, haben Sie Administratorrechte usw. Sie können verhindern, dass Benutzer Programme installieren. Sie können ihnen den Änderungszugriff auf bestimmte Teile der Registrierung verweigern. Trotzdem können Sie sie nicht daran hindern, das gewünschte Programm auszuführen, und deshalb habe ich ausdrücklich erklärt, dass sie die ** portable ** Version von Virtual Box verwenden können. Tragbar bedeutet, dass es ohne Installation funktioniert, daher sind keine Systemänderungsrechte erforderlich.
Interessant. Das Anheften von Zertifikaten sollte dies erkennen. Aber leider kann ich es nicht testen. Ich kann keine nicht autorisierte Software auf dem Computer installieren - nicht einmal eine tragbare Version von Google Chrome.
@Lernkurve Ich habe meine Antwort bearbeitet. Bitte werfen Sie einen Blick darauf - vielleicht wird dies Ihr Bedürfnis befriedigen, zu bestätigen, ob das Zertifikat gefälscht wurde oder nicht.
mnmnc, es stellt sich heraus, dass das Pinning für Zertifikate, die mit privaten Ankern verkettet sind, nicht erzwungen wird, siehe http://www.chromium.org/Home/chromium-security/security-faq#TOC-How-does-key-pinning-interact-with -lokale-Proxies-und-Filter- (über [reddit] (http://www.reddit.com/r/AskNetsec/comments/26e18a/how_to_bypass_firefoxchromes_ssl_validation/chqcjt5))
@Angel: / Das ist eine traurige Nachricht. Es ist, als würden sie alle zusammenarbeiten, um unsere Privatsphäre zu vergewaltigen;) Vielen Dank für die Klarstellung. Ich schätze es. Ich dachte, mit Cert-Pinning sind wir etwas sicherer.
Nun, es gibt gute Verwendungszwecke dafür, wie das Pentesting einer Anwendung ohne das https-Zertifikat. Auf der positiven Seite sollten Sie in der Lage sein, diese eingefügten Einträge in Ihrem Zertifikatspeicher anzuzeigen. Wenn Leute ein gepatchtes Chrom kompilieren müssten, wäre ich nicht sehr überrascht, dass sie schreckliche Hacks wie "if (cert-> organisation enthält mycompany) return trust" verwendeten (und der Browser fiel aus Upstream-Updates heraus).
@mnmnc Die [https://www.grc.com/fingerprints.htm ((http:://www.grc.com/fingerprints.htm)) war sehr nützlich. Die Fingerabdrücke sind in der Tat unterschiedlich.
Ich erinnere mich, dass ich gelesen habe, dass das Anheften von Zertifikaten in Chrome absichtlich nicht warnt, wenn ein Zertifikat mit einer speziell installierten Stammzertifizierungsstelle signiert ist, da dies ein absolut legitimer Anwendungsfall ist. Das Anheften von Zertifikaten soll vor CA-Kompromissen schützen. Es soll Sie nicht davon abhalten, absichtlich ein MitM zuzulassen, da dies der Anruf des Benutzers ist (in diesem Fall handelt es sich um einen Firmencomputer, sodass das Unternehmen den Anruf tätigen kann). Da Zertifikatspeicher genauso geschützt sind wie der Browser, kann das Fixieren von _ gegen Personen, die neue Stammzertifizierungsstellen hinzufügen, nicht wirksam sein, und es gibt keinen Grund, warum dies der Fall sein sollte.
Das Skript wurde korrigiert (New-Object PKI.Web.WebSSL: Der angegebene Wert ist ungültig) und der Vergleich mit den Ergebnissen von grc.com wurde automatisiert.https://gist.github.com/ilatypov/993f993a05370cc9c0cb2347a2d04568
Ángel
2014-07-19 02:05:22 UTC
view on stackexchange narkive permalink

Wie andere betonten: Ja, es ist möglich und wird in diesem Fall durchgeführt.

Versuchen Sie, die Schritte in diesem MITM genauer zu beschreiben:

Das wissen Sie Zertifikat 028CA85E6765… gehört zu Google Mail, da eine Zertifizierungsstelle (GeoTrust, Verisign…) dies bestätigt hat. Ihr Betriebssystem / Browser enthält eine Liste von Zertifizierungsstellen, denen es vertraut, dass es das Richtige tut (nicht lügen, ordnungsgemäß gesichert sein ...).

  • Ihr Arbeitgeber hat auf Ihrem Computer eine eigene Zertifizierungsstelle installiert.
  • Wenn Sie mit TLS eine Verbindung zu accounts.google.com herstellen, stellt der Proxy selbst ein neues Zertifikat für accounts.google.com aus, das von dieser Zertifizierungsstelle signiert wurde (sofern noch keines vorhanden ist) ).
  • Ihre Verbindung zum Proxy wird mit dem gefälschten Zertifikat accounts.google.com hergestellt. Der Proxy mischt sich nach Belieben in den Inhalt ein, stellt dann eine Verbindung zu den echten accounts.google.com her (unter Verwendung des Google-Zertifikats) und sendet die Inhalte, die Sie und Google Mail einander geben, hin und her.
  • Da Ihr Computer der Proxy-Zertifizierungsstelle vertraut, ist er der Ansicht, dass das von Ihrem Arbeitgeber ausgestellte Zertifikat accounts.google.com legitim ist¹, weshalb keine Warnungen vorliegen.

¹ Die meisten Leute würden es für nicht legitim halten, da es sich nicht um das Google-Zertifikat handelt, aber es ist das Zertifikat, das in diesem Unternehmen erwartet wird. Die Mitarbeiter sind möglicherweise anderer Meinung, es ist jedoch wünschenswert. :-)

"` Zertifikat 028CA85E6765` "Ja, ich dachte das gleiche. Das Problem ist, dass Google Dutzende von Zertifikaten verwendet. Warum sie sich die Mühe machen, viele Zertifikate gleichzeitig zu haben, auch wenn die meisten von ihnen noch lange nicht ablaufen, ist mir ein Rätsel, aber sie tun es. Ich denke, das Beste ist, Fingerabdrücke von der CA zu vergleichen.
@Luc läuft wahrscheinlich auf verschiedene Cluster / Rechenzentren hinaus. Wie Sie bereits betont haben, ist es für diese großen Unternehmen mit vielen Zertifikaten das Richtige, die Zertifizierungsstelle zu überprüfen. Sie haben normalerweise auch ihre eigene Zwischenautorität (z. B. "Google Internet Authority G2").
Jay
2014-07-18 10:20:54 UTC
view on stackexchange narkive permalink

Um andere Antworten zu ergänzen, können Sie mit hinreichender Sicherheit sicherstellen, dass Sie eine sichere Verbindung von Ihrem Browser zum Webserver haben, indem Sie Ihre eigenen Geräte verwenden. Die Geräte und das Netzwerk des Arbeitgebers unterliegen nicht Ihrer Kontrolle, und es kann schwierig sein, festzustellen, was in den Standardbetriebssystemen und -anwendungen enthalten ist. Selbst wenn es in dem Land, in dem Sie sich befinden, illegal ist und die Privatsphäre ein Problem darstellt, sollten Sie wahrscheinlich Ihr Mobiltelefon oder Ihren persönlichen Laptop verwenden.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...