I computer aziendali hanno il certificato della propria azienda come CA attendibile; dovrei considerare tutto il traffico compromesso?

34

Con la mia comprensione, per quanto ammessa, limitata di come funziona HTTPS / TLS, l'utente finale (me) avvia una connessione con un server remoto che firma ciascuno dei suoi messaggi con una chiave pubblica. Questa chiave pubblica può essere verificata (magicamente) controllando il certificato, che è firmato da una CA che garantisce l'integrità di tale certificato.

Il risultato è che se mi fido di una CA, quella CA può firmare qualsiasi certificato e dire che è valida e che la mia macchina andrà benissimo con essa; se una CA anomala viene aggiunta al registro fidato del mio computer, allora chiunque sappia che CA canaglia sarà in grado di ottenere il loro certificato firmato e posare come - potenzialmente - qualsiasi sito Web ed eseguire un uomo nell'attacco centrale.

La mia azienda ha appena aggiunto il proprio proprio certificato come CA radice ai tutti computer nella rete. Devo quindi supporre che tutto il traffico che invio sia compromesso?

    
posta Dan Pantry 01.12.2015 - 10:17
fonte

4 risposte

63

Sì.

Sì. (Se consideri "Gli amministratori della mia azienda possono modificare il traffico del mio (i) HTTP" compromissione.) Tranne alcuni programmi che ne bloccano l'uso e falliscono se viene utilizzato un altro certificato.

Questo è più o meno l'idea dell'ispezione SSL: apri SSL / TLS, fai qualche scansione anti-virus, chiudi di nuovo SSL / TLS.

E al posto di "fai un po 'di scansione anti-virus" puoi sostituire qualsiasi manipolazione del traffico, vuoi.

Ma d'altra parte: chiunque sia in grado di installare una CA radice sul proprio sistema ha già il potere di un superutente. Quindi c'è un milione di altri modi in cui possono interferire / ascoltare.

    
risposta data 01.12.2015 - 10:37
fonte
10

Tecnicamente, sì. Tuttavia, puoi comunque verificare se le tue connessioni sono state compromesse o meno:

  1. Installa un browser Web che utilizza i propri bundle di certificati (anche il tuo datore di lavoro potrebbe vietarlo).

  2. Connettiti a un sito attendibile utilizzando un computer attendibile (ad esempio a casa) e annota l'impronta digitale del certificato. Quando ti colleghi a quel sito al lavoro, controlla manualmente l'impronta digitale del certificato. Dovrai ripetere il controllo ogni volta per ogni pagina per essere sicuro e annotare nuove impronte digitali ogni volta che il sito aggiorna il suo certificato.

risposta data 01.12.2015 - 10:36
fonte
7
  • Non è il tuo computer, è il suo computer.

  • È non un compromesso perché possano prenderne il controllo.

Che cosa dovresti fare?

Se vuoi, ad es. mandate una email al vostro medico per la diagnosi del cancro senza avvisare il vostro datore di lavoro, dovreste farlo dal vostro smartphone, usando la connessione dati.

Non utilizzare computer da lavoro per uso personale, persone!

    
risposta data 02.12.2015 - 12:14
fonte
1

Questa non è una risposta autonoma, ma qualche commento in più sulla decrittazione TLS / SSL.

Prima di tutto, la tua azienda potrebbe non aver pubblicato un nuovo certificato CA radice per intercettare questo traffico. Potrebbero firmare software / plugin / ecc. che vogliono eseguire come codice fidato. Possono anche pubblicare certificati interni per siti HTTPS interni. Mentre questo cambiamento dà loro la possibilità di eseguire l'intercettazione man-in-the-middle del traffico TLS / SSL, potrebbero non farlo.

Potrebbero essere legalmente obbligati a notificare se stanno registrando il traffico HTTPS decrittografato. Anche se non sono obbligati a farlo, mi auguro che un buon reparto risorse umane rilasci una notifica che ciò si sta verificando.

Avendo lavorato con questo tipo di prodotto, molti strumenti di decrittografia TLS / SSL intenzionalmente evitano la decodifica di flussi che possono contenere informazioni sensibili (PII e PHI) perché l'entità che esegue la decrittazione si assume la responsabilità di proteggere tali dati e quindi qualsiasi potenziale responsabilità per la perdita di tali dati in caso di violazione o anche di perdite accidentali, che è un rischio che la maggior parte delle aziende (o almeno i loro consulenti legali) non accetteranno. Pertanto la tua connessione a bank.com o doctor.com potrebbe rimanere riservata, ma la tua connessione a onlinestorage.com o webmail.com potrebbe non essere possibile.

Esistono molti motivi legittimi per intercettare questo traffico (DLP, identificazione del traffico non autorizzato, altro filtro dei contenuti, controllo qualità / risoluzione dei problemi, ottimizzazione della rete, bilanciamento del carico, ecc.) e la maggior parte delle persone cerca di farlo in modo responsabile.

    
risposta data 03.12.2015 - 21:39
fonte

Leggi altre domande sui tag