La mia amministrazione del college ci costringe a installare il certificato SSL Cyberoam Firewall in modo che possano visualizzare tutto il traffico crittografato per "migliorare la nostra sicurezza". Se non installo il certificato, non potrò utilizzare la loro rete.
Quali sono i modi in cui posso proteggere la mia privacy in una situazione del genere? L'utilizzo di una VPN sarà sufficiente per nascondere tutto il mio traffico o ci sono altri modi?
Non installare il certificato su qualsiasi dispositivo / installazione del sistema operativo che si desidera utilizzare per attività private. Una volta che lo fai, il tuo traffico è soggetto agli attacchi MITM anche se non stai utilizzando la rete del tuo college . Un simile attacco richiede la presenza della chiave privata per il certificato che hai installato, ma in pratica è abbastanza semplice perché questi "prodotti di sicurezza" sono progettati male e spesso usano una generazione di chiavi molto debole o usano una chiave privata fissa che è la stessa per tutte le implementazioni e disponibili per tutti i loro clienti. In un commento che è stato spostato in chat, TOOGAM ha scritto:
Specific problem known about this specific vendor's certificate "It is therefore possible to intercept traffic from any victim of a Cyberoam device with any other Cyberoam device - or to extract the key from the device and import it into other DPI devices"
Se non hai bisogno di risorse sulla rete, usa il tethering WiFi sul tuo telefono o ottieni un dongle 3G USB dedicato o simile per l'uso quando sei al campus. In alternativa, se il traffico non HTTP non è soggetto al MITM, potresti essere in grado di utilizzare una VPN senza installare il certificato. In questo caso, basta avere un provider VPN o VPN a basso costo sulla rete domestica, se ne hai uno.
Se è necessario accedere alle risorse disponibili solo dalla rete del campus, installare un altro sistema operativo in una macchina virtuale con la CA MITM installata solo nella VM e utilizzare il browser nella VM per accedere a tali risorse.
Una VPN è sicuramente una buona soluzione, purché non blocchi anche quella.
La migliore soluzione per proteggere la tua privacy, tuttavia, è probabilmente quella di fare del tuo meglio per ottenere il ribaltamento di questa politica. Questa è una politica di "sicurezza" assolutamente aberrante. È letteralmente un attacco man-in-the-middle incorporato contro tutti nel campus. Se il firewall viene compromesso, l'utente malintenzionato può quindi intercettare qualsiasi cosa sul campus abbia inviato tramite Internet, incluse password, numeri di carte di credito, ecc.
Si scopre che questi dispositivi sono persino peggiori del loro primo suono. Come ha sottolineato TOOGAM in un commento, le persone al Tor Project hanno rilevato che, almeno dal 2012, tutti questi dispositivi hanno utilizzato lo stesso certificato CA! Ciò significa che chiunque con accesso a uno di questi deep packet inspection i dispositivi Cyberoam o un certificato CA esportato da uno di essi possono intercettare il traffico proveniente da chiunque che ha installato il certificato CA radice. Anche se questo è stato risolto negli ultimi 3 anni, questo mette in dubbio estremo la competenza dei produttori di questo dispositivo per proteggerlo. Questa è una ragione in più per cui non dovresti assolutamente installare questo certificato e dovresti aumentare il supporto per la rimozione di questo dispositivo dal tuo campus il più possibile.
Inoltre, come è stato sottolineato nei commenti che sono stati ripuliti, l'uso di questo dispositivo viola i Termini di servizio di quasi tutti i siti web del pianeta perché rivela le credenziali di accesso a una terza parte (il college). Ciò significa che non puoi rispettare legalmente sia questa politica che il ToS di quasi tutti i siti web.
Se si trattasse di una scuola pubblica negli Stati Uniti e non hanno rimosso immediatamente questo dispositivo, per un buco di sicurezza di questa portata, prenderei seriamente in considerazione il contatto con il mio FBI Cyber Task Force , che dovrebbe essere disposto a dare al college un parlando a poppa. Prendono questo genere di cose molto seriamente e per una buona ragione.
Il tuo college fornisce il servizio di "connessione di rete" a determinate condizioni, una delle quali è la capacità degli amministratori del sistema universitario di ispezionare tutto il traffico. Mentre si è tentati di sconfiggere l'oscurità di questi amministratori di sistema con qualche espediente tecnico (ad esempio una VPN, come suggerito in un'altra risposta), questo sarebbe un esplicito tentativo di sconfiggere i "sistemi di sicurezza" della rete del college e questo può atterrare in un enorme mucchio di problemi. La linea più saggia di azione non dovrebbe quindi farlo, e invece utilizzare la tua propria Internet (ad esempio attraverso il tuo telefono personale).
Non utilizzare la rete per nulla personale . Questo è il modo migliore per proteggere la tua privacy da loro.
Se non si ha scelta, utilizzare una macchina virtuale e installare il certificato sulla macchina virtuale anziché sulla macchina principale. Potrebbe permetterti di proteggere la tua privacy.
Personalmente, ho sempre usato un computer separato per questo tipo di problemi. In nessun modo consentirei a una società / istituto scolastico di installare nulla sulla mia attrezzatura personale, a meno che non avessi programmato su nuotare dall'orbita più tardi.
Se ssh non viene filtrato, puoi utilizzare ssh per produrre un proxy SOCKS in esecuzione su un tunnel ssh . Non è necessario installare alcun software per farlo funzionare. Non hai bisogno del software VPN. Quanto segue funzionerà su una macchina Linux o Mac (e probabilmente può essere fatto per funzionare su Windows):
Ottieni un account di shell (o una VM, ma è sopra) da qualche parte
Verifica di poter accedere con ssh dall'esterno del tuo istituto e accettare la chiave dell'host (all'esterno dell'istituzione per assicurarti che non stiano MTiMing ssh - improbabile)
In un terminale ssh -D 8080 -N [email protected] (nota che apparirà in sospeso)
Ora usa 127.0.0.1:8080 come proxy SOCKS
Una volta che funziona, puoi (facoltativamente) usare autossh al posto di ssh e manterrà il tunnel in alto - probabilmente dovrai installarlo.
Istruzioni di Windows non testate (che richiedono il download di PuTTY) qui .
Il motivo per cui questo funziona è che il traffico HTTPS non scorre più sulla porta 443. Scorre (ri-criptato) sulla porta 22. Per ipotesi, non stanno intercettando il protocollo ssh . E se lo sono, puoi dirlo. Il tuo traffico è come ssh traffico (perché è ssh traffico) - anche se l'analisi dettagliata del traffico potrebbe suggerire è traffico ssh che trasporta richieste web proxy. Quindi non è immediatamente identificabile come traffico VPN. Inoltre, probabilmente il tuo college non bloccherà il ssh di traffico in quanto verrà utilizzato dagli studenti CS.
Un percorso alternativo sarebbe quello di legare al tuo telefono cellulare e utilizzare un piano dati.
Leggi i T & C.
Verifica se sei autorizzato a utilizzare una VPN (alcuni protocolli potrebbero essere vietati, anche le VPN potrebbero essere).
Se lo sei, usa una VPN e non connetterti mai a nessun sito direttamente attraverso la loro rete. (A meno che non si stia utilizzando il blocco dei certificati, ma è probabile che la connessione non riesca perché il certificato non corrisponde). Tabelle di routing precise possono aiutarti in questo. Potrebbe non essere nemmeno necessario installare il certificato (potrebbe essere necessario installare il certificato per accedere a qualcosa quando si connette alla rete, però).
Se non ti è permesso, beh ...
Non fare nulla contro i T & C, questo è il modo migliore per essere semplicemente bannato dalla rete, o peggio.
Non utilizzare la rete.
Questa è praticamente la tua unica opzione. Qualsiasi tentativo di eludere le misure di "sicurezza" sarebbe probabilmente considerato "accesso non autorizzato" ai sensi della CAFA (presupponendo la giurisdizione degli Stati Uniti) e potrebbe comportare molti anni di prigione.
Potresti provare a portarli in tribunale, ma le tue possibilità sono piuttosto ridotte. Le istituzioni pubbliche e private hanno fatto questo tipo di monitoraggio e intercettazione della rete per molti anni senza incorrere in violazioni della legge.
is forcing us to install Cyberoam Firewall SSL certificate so that they can view all the encrypted traffic to "improve our security".
Anche il malware è inviato su HTTPS, quindi probabilmente è proprio la loro intenzione di migliorare la sicurezza analizzando il traffico crittografato per il malware. Se vogliono semplicemente bloccare l'accesso ad alcuni siti, probabilmente potrebbero farlo senza intercettazione SSL.
L'intercettazione SSL è molto comune nelle aziende per lo stesso motivo, ad esempio per proteggere l'azienda dai malware.
Will using a VPN be enough to hide all my traffic or there are other ways?
Dipende dalla loro configurazione di rete. Se sono abbastanza intelligenti bloccheranno l'uso di VPN ecc. E immagino che proibiscano esplicitamente di bypassare il firewall usando tali tecnologie, perché ciò significa bypassare la protezione e rendere la rete meno sicura. Quindi aspettati di perdere la connessione di rete se usi una VPN.
If I don't install the certificate than I won't be able to use their network.
Se possiedi la rete, ci sono modi sufficienti per attaccare il computer o invadere la privacy degli utenti, anche senza l'utilizzo dell'intercettazione SSL. Se non ti fidi di loro non usare la loro rete, non importa se usano intercettazione SSL o meno.
In che modo sarebbero in grado di verificare se avessi / non avessi installato il loro certificato SSL? Stanno anche eseguendo software sul computer locale? Altrimenti penserei che gli effetti negativi sarebbero solo il dover affrontare un sacco di errori di certificato da parte tua.
Quello che farei se fossi in te è dual-boot o virtualize. Avere il sistema operativo non sicuro in cui si installano tutti i loro "strumenti di sicurezza" e certificati e (e non usare nulla che non si vuole che qualcuno veda), e poi quando si desidera la privacy, tornare indietro al tuo sistema operativo sicuro. Se vivi nel campus e utilizzi quasi sempre la loro rete, allora il tuo sistema operativo sicuro usa una VPN per impostazione predefinita, che dovrebbe soddisfare le loro esigenze. Ci sono modi in cui possono accorgersene, ma puoi sempre dirgli che hai un lavoro o qualcosa del genere e averne bisogno per il lavoro, e potrebbero crederti e lasciarti in pace.
In alternativa, direi di ottenere un hotspot cellulare. Ma so che quando ero al college non potevo permettermi il tipo di piano dati che avrebbe avuto bisogno.
Soluzione proposta: utilizzare una macchina virtuale con il certificato installato quando si desidera utilizzare la propria rete. In questo modo sarà molto chiaro per te quando stai usando la loro rete e quando non lo sei. Puoi anche scartare la VM quando non hai più bisogno di usare la loro rete.
Puoi utilizzare il loro certificato e utilizzare una VPN in aggiunta.
È possibile creare una tabella di routing personalizzata, instradando tutto tranne il traffico di rete interno attraverso la VPN. In questo modo possono solo decrittografare le connessioni tra te e i sistemi sulla rete del college. Tutto il resto verrà instradato tramite la connessione VPN e sarà sicuro.
Ma usando una VPN, tutto il tuo traffico sarà diretto verso un singolo server (il tuo provider VPN), e sarà sicuramente molto sospetto nei log. Se il tuo college non consente connessioni VPN, è meglio non usarne uno, o usarlo solo per attività specifiche (come il controllo e-mail, per esempio). Usando FoxyProxy su Firefox puoi esserti d'aiuto.
I credo puoi tranquillamente utilizzare un dispositivo Chrome OS, con un account Google "scolastico" dedicato che utilizzi esclusivamente per l'accesso alla rete scolastica. Passando a un altro account (ad esempio il tuo account personale) non utilizzerai più il certificato della scuola o alcuna delle impostazioni dell'utente e Chrome OS è progettato per isolare in modo sicuro gli account.
Questo articolo di assistenza (scritto per amministratori di domini, non utenti ) afferma che ciò è possibile e rileva che si applica solo mentre l'utente del dominio ha effettuato l'accesso.
Non aggirare il firewall. Alcune altre risposte hanno già coperto le opzioni tecniche, ma non è consigliabile - tutti i prodotti di filtraggio che ho visto bloccheranno il bypass o lo permetteranno ma notificheranno un amministratore, che ti metterà nei guai. Potrebbe sembrare un trucco intelligente fare qualcosa che non ti è permesso fare, ma le autorità ti calpesteranno: tieteranno dalla rete, il che renderà i tuoi studi difficili, o ti espellerà dal college. In entrambi i casi, il potenziale impatto sulla tua vita a lungo termine non vale il guadagno a breve termine di avere una connessione internet non filtrata al college.
L'unica opzione tecnica reale è quella di utilizzare la propria connessione Internet tramite una tecnologia 3G mobile o simile. È possibile installare un proxy locale e instradare le connessioni HTTPS tramite il collegamento 3G e tutto il resto sulla rete del college.
L'intercettazione SSL da parte dei filtri Internet negli istituti di istruzione sta diventando una pratica diffusa. Se vuoi prendere posizione contro questo, cerca le tue opzioni legali. In molte giurisdizioni, l'intercettazione di comunicazioni private senza il consenso di entrambe le parti è una violazione della legge sulle intercettazioni telefoniche. Anche se l'argomento sostiene che tu abbia deliberatamente acconsentito all'intercettazione installando il certificato SSL, è certamente il caso che il sito remoto non lo abbia fatto. Per quanto ne so, nessuno studente ha mai sfidato l'intercettazione SSL su questa base, ma qualcuno deve essere il primo. Una volta ho detto al personale senior di una società di filtraggio che se l'intercettazione SSL è illegale, non è un loro problema - è il loro cliente che infrange la legge - e devono offrirlo come opzione altrimenti perderanno vendite.
La sicurezza di questi filtri / firewall Internet è spesso terribilmente pessima:
Alcuni usano lo stesso certificato SSL per tutti i loro clienti. Trivial da estrarre con admin o accesso fisico. Se un firewall è compromesso, ogni firewall è.
Uso di vecchi software con vulnerabilità di sicurezza note. Conosco un fornitore commerciale con una linea di prodotti corrente basata su un software rilasciato nel 2004. Se riesci a ottenere l'accesso utente, l'accesso root è banale.
Accesso remoto non sicuro. I team di supporto in genere utilizzano la stessa password di installazione e manutenzione remota per tutti i clienti. Un utente malintenzionato che sa che la password può accedere da remoto a qualsiasi sistema del cliente.
Esiste una "lista bianca" di siti su cui l'intercettazione SSL non dovrebbe essere eseguita (come i grandi banchi). Tuttavia, se si ha accesso al sistema è banale modificare il software per ignorare o eliminare la lista bianca.
Conosco almeno un caso in cui un aggressore esterno è riuscito a ottenere l'accesso al server di sviluppo con il codice sorgente per un prodotto firewall principale. Lo sviluppatore principale mi ha detto, "che non abbiamo idea di quanto siano arrivati nella rete interna, o cosa hanno fatto una volta."
Il messaggio da portare a casa è che questi dispositivi sono piuttosto vulnerabili a un hacker determinato e, una volta ottenuto l'accesso, potrebbero intercettare banalmente ogni password di ogni connessione SSL di centinaia di migliaia di utenti. Sono sorpreso che non abbiamo ancora sentito nulla su questo tipo di attacco, ma forse lo ha già fatto e gli hacker sono troppo occupati a svuotare i conti bancari per vantarsene. La conoscenza pubblica di un tale attacco sarebbe estremamente dannosa per qualsiasi fornitore di firewall / filtro, e farebbero tutto il possibile per coprirlo.
Aggiornamento dicembre 2015 : Backdoor trovato nel firewall Juniper, presente dal 2012.
Ho cercato un modo per usare Tor su HTTP (senza il comando proxy CONNECT ) quando ho letto la tua domanda, ma le risposte più vecchie dicevano che al momento era impossibile (ho trovato solo una proposta del 2013 che non è mai arrivata da nessuna parte) . Ora mi sono imbattuto in questo, non sono sicuro che sia ciò di cui hai bisogno, ma sembra del tutto simile:
meek is a pluggable transport that uses HTTP for carrying bytes and TLS for obfuscation