Superfish vs. MITM aziendale

23

Lavoro per una società di consulenza e ho implementato uno strumento da un fornitore di sicurezza, che è un proxy cloud per tutto il traffico degli utenti. Eseguirà la scansione del malware e il filtraggio di tutto il traffico web. Funziona applicando un file di configurazione automatica del proxy per reindirizzare il traffico HTTP / HTTPS verso uno dei data center globali del fornitore. Ovviamente, abbiamo bisogno di distribuire i certificati su ogni stazione di lavoro al fine di proxy del traffico HTTPS ed eseguire il MITM per la scansione del malware.

La mia domanda: com'è diverso da Superfish l'installazione di un certificato radice? Ho letto di come la chiave privata per Superfish è memorizzata sulla macchina. Presumo che gli attacchi MITM aziendali non abbiano questa stessa vulnerabilità, ma come funziona l'architettura in modo diverso in un ambiente aziendale?

    
posta jay-charles 26.02.2015 - 15:24
fonte

3 risposte

40

Ciò che rende Superfish e prodotti simili (tutti qui definiti semplicemente "Superfish"), diversi dal MitM aziendale è che Superfish sta facendo il MitM sul computer client. Corporate MitM viene eseguito su un server o appliance separato.

Questo è importante perché il sistema che esegue il MitM deve avere la chiave privata di una CA radice affidabile per funzionare. (In senso stretto, la CA radice non ha bisogno di essere attendibile, ma l'utente vedrà le bandiere rosse se non lo è.)

Per Superfish, ciò significa che la chiave deve trovarsi sul dispositivo client - notoriamente non ben mantenuto e generalmente molto vulnerabile agli attacchi.

Per i MitM aziendali, la chiave è sul server di monitoraggio, in genere gestita da personale esperto che esegue una manutenzione regolare e non esegue operazioni (ad esempio: navigazione sul Web, download di software aggiuntivo, apertura di documenti, ecc.) che potrebbero esporre il sistema a rischi inutili.

Tuttavia, tutti i proxy SSL (aziendali o meno) devono ancora essere implementati con attenzione per tenere conto del fatto che stanno rimuovendo la capacità del client di auto-validare il certificato del sistema remoto. In particolare questo significa:

  1. Il proxy SSL deve convalidare correttamente i certificati dei sistemi remoti e avvisare adeguatamente l'utente o interrompere completamente la connessione quando qualcosa non va. Come Charles Duffy ha menzionato nei commenti, la corretta validazione dei certificati richiede anche che il proxy non si fidi della propria CA incorporata.
  2. Idealmente, il proxy SSL dovrebbe anche effettuare alcune verifiche dell'integrità rispetto ai certificati di riferimento aggregati alla comunità o storici. Questo è implementato in alcune estensioni del browser Web e, in circostanze normali, può essere eseguito manualmente dall'utente, per aiutare a rilevare l'uso fraudolento di CA root-trusts altrimenti affidabili. Dal momento che il proxy SSL rimuove la capacità dell'utente di farlo da sé, o di utilizzare efficacemente un'estensione del browser per questo scopo, sarebbe meglio se il proxy potesse eseguire il proprio controllo per compensare. (Anche se dubito che questo sia disponibile nella maggior parte dei prodotti MitM aziendali.)

Un'altra cosa su cui devi stare attento, dato che hai detto che questo servizio ti è stato fornito da un fornitore esterno, è che il proxy SSL può vedere il traffico di tutti i tuoi utenti come se non fosse criptato. (Questo è lo scopo stesso di un proxy SSL.) Ciò significa che i dati che vorresti proteggere in altro modo dai visualizzatori di terze parti saranno completamente visibili dal venditore qualora decidessero di abusare della tua fiducia.

    
risposta data 26.02.2015 - 15:48
fonte
5

La principale differenza tra Superfish e un Corporate Proxy è come viene generato il nuovo certificato SSL.

Nel caso Superfish, il certificato CA e la chiave privata si trova sul computer client e il software genera un nuovo certificato SSL con una chiave che ha su se stesso. Il traffico viene intercettato localmente, un nuovo certificato viene generato sul client e inviato al browser. Chiunque abbia accesso agli strumenti di debug può estrarre il certificato e la chiave, poiché si trovano entrambi sul computer client.

Nel caso del proxy aziendale, il certificato CA verrà installato su ogni computer client, ma la chiave privata risiede sul server proxy. Se il server ha una protezione adeguata, la chiave non sarà compromessa. Il traffico viene intercettato sul server proxy e inviato con un nuovo certificato al client. Non è possibile estrarre la chiave privata sul client, perché la chiave è solo sul server.

    
risposta data 26.02.2015 - 15:46
fonte
0

mentre gli altri amswer sono corretti sui dettagli di implementazione, il problema di sicurezza in gioco è di autorizzazione.

Nel caso di Superfish e materiale correlato, il proprietario del sistema in genere non vuole che Superfish sia in grado di leggere tutto ciò che viene inviato e ricevuto tramite HTTPS. Sul tuo computer di casa, probabilmente non vuoi che Superfish abbia i dettagli della tua carta di credito, i dettagli sulla salute online, ecc. In una società, in genere non vuoi che Superfish sia in grado di controllare qualsiasi cosa tu acceda per scopi commerciali, come quando accedere ai client di posta elettronica aziendale o quando si cerca qualcosa per un segreto commerciale. Inoltre, superfish fa tutto questo in qualche modo surrettiziamente in quanto è installato prima che tu abbia mai ricevuto il computer e non sei avvisato che è installato, quindi non hai la possibilità di autorizzarne o rifiutarne l'uso.

Con un MitM aziendale, la società è il proprietario del sistema., non l'utente finale e non Superfish. L'azienda, nel tentativo di migliorare la sicurezza, imposta un server proxy autorizzato e i cui rischi e valori sono stati accettati.

Non è che l'idea di base di un proxy sia necessariamente negativa. È che un proxy non autorizzato che consente alle società / agli individui non autorizzati di accedere alle tue cose è sbagliato.

    
risposta data 27.02.2015 - 20:00
fonte

Leggi altre domande sui tag