È possibile per le società intercettare e decifrare il traffico SSL / TLS? [duplicare]

Naviga le tue risposte
17

Ho scoperto che alcune aziende affermano di offrire un servizio in grado di eliminare l'angolo cieco SSL / TLS, come Blue Coat e Gigamon . Stanno parlando di un modo per decifrare il contenuto https (rompendo gli algoritmi di crittografia) o solo un attacco man-in-the-middle? Se si tratta di un proxy MITM, posso semplicemente rilevarlo controllando la CA del certificato installato sul mio browser?

La mia domanda riguarda se esiste un modo per monitorare il traffico https senza l'attacco MITM e se è possibile che il proxy MITM copuli gli utenti mostrando certificati con CA reali (DigiCert, Comodo), quindi non posso solo dire la differenza guardando la CA.

    
posta Peter Li 02.10.2015 - 17:55
fonte

6 risposte

32

Installare un certificato di root sui browser degli utenti e condurre un attacco MiTM ai dipendenti è, purtroppo, una pratica standard in molte aziende.

Ci sono alcuni modi per scoprirlo.

  1. Un modo è cercare un certificato CA radice installato sul computer e vedere se non si riconosce una CA. Ciò richiede ovviamente una conoscenza approfondita delle reali CA radice e dei falsi provider di proxy MitM.

  2. Un altro sta semplicemente guardando il certificato su siti https genera ed esamina chi ha firmato. Il cert di tutti i siti https lo farà essere firmato dalla società che fornisce il proxy di attacco MiTM.

  3. Un terzo modo è installare Firefox, preferibilmente una versione che non lo fa installa e funziona come standalone. Firefox non usa il sistema fornito certs, ma utilizza i propri certificati. È possibile ottenere questo da link Se ricevi un avviso di sicurezza su un certificato autofirmato, sei MiTMed della tua azienda.

risposta data 02.10.2015 - 18:47
fonte
7

È abbastanza chiaro che non sono in grado di decrittografare il traffico crittografato per il quale non sono in possesso della chiave di crittografia. È più probabile che lo facciano come mitmproxy ; Potrebbero distribuire il loro certificato di base a tutti i client di una società da criteri di gruppo, ad esempio, e sono quindi in grado di sostituire tutti i certificati di server Web, ... da soli perché ora sono considerati una CA attendibile (autorità di certificazione) in tutto client web.

Ciò consentirebbe loro di decrittografare tutte le connessioni che sono crittografate in base a qualsiasi certificato nella catena di certificati emessa dalla propria CA radice. Questa tecnica viene anche utilizzata da alcuni software antivirus.

Questo non funzionerà con la crittografia simmetrica con un PSK (Phase-Shift Keying), naturalmente.

    
risposta data 02.10.2015 - 18:15
fonte
5

Blue Coat : come ottenere visibilità e Controllo delle sessioni Web SSL crittografate :

Because a proxy is an active device (i.e., it terminates traffic), it acts as both the server to the client, and the client to the server. Thus, it has a native understanding of both the user and the application. For many organizations, users will only connect to the Internet via a proxy – because of the control it affords an enterprise. Because a proxy terminates connections, it offers a critically important control point for policy, performance, and protection of all Web-enabled user and application interactions.

Blue Coat SG is the leading secure proxy appliance, offering enterprises “the power of the proxy” in a broad range of sizes. Blue Coat extends that leadership by offering SSL proxy functionality on its market-leading proxy appliance.

Mentre prende un altro approccio -decryption: ( Giamon : decrittazione SSL: scoprire la nuova infrastruttura Punto cieco )

The offloading of SSL decryption also eliminates the need to have multiple decryption licenses for multiple tools. After all, a security appliance with integrated SSL decryption, for example, does not benefit other tools, such as application performance monitoring. Gigamon can supply decrypted traffic to multiple tools simultaneously, maximizing the overall efficiency, security, and performance of the infrastructure. An associated benefit of this approach is that the private keys can now be securely uploaded to just the visibility infrastructure instead of sharing it with multiple tools.

It also delivers to IT and security administrators the right level of visibility into traffic, including SSL-encrypted segments that are at the heart of today’s cloud infrastructures.

GigaSMART decrypts the packets and sends the traffic to multiple out-of-band tools, including intrusion detection (IDS), data loss prevention, and application performance monitoring for analysis.

    
risposta data 02.10.2015 - 18:59
fonte
3

Quindi ci sono 4 vulnerabilità comuni in SSL che vengono subito in mente:

  1. Installa un certificato di root sul tuo computer che consente all'autore di intercettazione di essere un'autorità SSL e creare certificati SSL falsi. Ciò richiede loro di avere accesso amministrativo al tuo computer, anche se le impronte digitali SSL saranno diverse.
  2. Esegui un attacco MITM su siti non SSL quindi usa Stripping SSL quando ti connetti a siti SSL. HSTS (Strict Transport Security) può aiutare a mitigare questo caching per un periodo di tempo in cui il sito utilizza una connessione sicura (e non permettendo connessioni insicure per questo periodo di tempo).
  3. Nei casi in cui la configurazione SSL non è configurata correttamente, ciò può essere visualizzato da eseguendo il sito tramite un test Labs SSL e prendendo nota delle vulnerabilità. Questo può includere l'uso di cifrari deboli, scambio di chiavi deboli o l'uso di protocolli SSL obsoleti invece di passare attraverso TLS.
  4. L' algoritmo di hash sul certificato anche svolge un ruolo importante nel mantenere protetti i SSL, ecco perché Chrome è in fase di elaborazione out SHA1 .
risposta data 02.10.2015 - 20:05
fonte
2

No, nessuno può rompere i certificati 2048-RSA che sono comunemente usati - non abbastanza potenza di calcolo.

Tuttavia, il tuo browser può essere ingannato tramite un altro (falso) certificato. È molto simile a come Fiddle lavora per visualizzare il traffico crittografato (Fiddle è un analizzatore di attività di rete)

  1. First Fiddler crea & installa un certificato radice affidabile.

  2. Sfoglia link

  3. Fiddler crea un certificato (falso) per Google e lo firma con il certificato dal punto 1.

  4. Fiddler intercetta tutto il traffico da te a google e viceversa (e la parte del traffico tra te e Fiddler è firmata con il certificato falso). Il tuo browser è convinto che il certificato falso sia OK e non sospetti nulla.

Un bel trucco.

Tuttavia puoi facilmente sentire l'odore di un topo se osservi l'autorità di firma del certificato del sito e vedi che non è uno dei marchi riconosciuti (Thawte, VeriSign, ecc.)

    
risposta data 03.10.2015 - 08:59
fonte
2

Ricorda inoltre che le appliance di sicurezza nextgen come quelle dei firewall di Palo Alto e Huawei USG hanno questa funzionalità integrata. Questo è apparentemente quello di affrontare il "punto cieco" in cui, in genere, l'SSL in uscita è consentito, può essere utilizzato dai dipendenti per aggirare la sicurezza (scioccante, lo so). Decrittando il protocollo SSL, l'appliance può eseguire il filtraggio basato sull'applicazione,

    
risposta data 03.10.2015 - 10:44
fonte

Leggi altre domande sui tag

Quanto è debole MD5 come funzione di hashing della password? Hosting di un indirizzo "IP Rental". È comune, sicuro?