SSL Ispezione e privacy

14

So che la mia azienda sta testando qualcosa chiamato "Ispezione SSL" basato su Websense, che è il nostro proxy. Non posso fornire ulteriori dettagli su questo, ma questo significa che in linea di principio tutto il mio traffico SSL, ad esempio la mia password web o il PIN di sicurezza, potrebbe essere effettivamente letto da WebSense?

    
posta castigli 13.06.2012 - 13:45
fonte

5 risposte

8

Sì. Con tale configurazione, WebSense può decrittografare e analizzare i dati. Ecco cosa fa WebSense come proxy con possibilità di ispezionare le connessioni SSL.

  1. La convalida del certificato garantisce quanto segue

    • Il certificato non è scaduto
    • Il certificato non è stato revocato
    • Il proprietario e l'URL del certificato hanno la stessa identità
    • Il certificato
    • è emesso da una CA affidabile
  2. L'amministratore della sicurezza di rete ha il potere di decidere quale sito essere consentito non al client.

    • Qualsiasi decisione sull'affidabilità di un certificato deve essere presa esclusivamente dall'amministratore della sicurezza.
    • Qualsiasi eccezione alla regola può essere effettuata e consentita solo dalla sicurezza amministratore.
    • L'utente di una workstation client può solo richiedere eccezioni, ma non effettuare loro.
  3. Controllo sui dati trasmessi

    • I dati possono essere decodificati e quindi controllati dal malware.
risposta data 13.06.2012 - 14:37
fonte
17

Sì, l'Ispezione SSL è essenzialmente un "attacco" man-in-the-middle (eccetto che non è realmente un attacco dal momento che viene fatto dal proprietario dell'infrastruttura) con l'intenzione di essere in grado di leggere tutto il traffico proveniente dalla tua azienda macchina o attraversando la rete aziendale, anche se SSL è in uso.

Di conseguenza, non dovresti inviare nulla dal tuo computer aziendale o dalla rete aziendale, che non vuoi che il tuo team di sicurezza aziendale legga.

(Che è una buona regola generale in ogni caso.)

Alcuni altri punti da tenere a mente:

  • Una società ragionevole non si preoccuperà dei tuoi dati personali.
  • Un team di sicurezza etica farà di tutto per evitare di vedere i dati personali
  • Una società ragionevole avrà documentato ciò che faranno e non faranno - vedi cosa è stato pubblicato.
  • C'è un rischio piccolo ma non zero con qualsiasi sistema di questo tipo che un utente malintenzionato possa compromettere il sistema di monitoraggio.
  • Ci sono altri metodi disponibili per un team di sicurezza aziendale per il monitoraggio dell'uso del computer - possono ad esempio implementare keylogger,

Se un'organizzazione deve implementare un sistema di Prevenzione perdita di dati efficace, dovrà esaminare tutto, quindi anche se sta implementando l'ispezione SSL, ciò non significa che abbiano un cattivo intento. Non è molto divertente per i loro dipendenti, naturalmente, ed è per questo che la trasparenza è così importante.

    
risposta data 13.06.2012 - 14:38
fonte
1

Quando una società utilizza un proxy per ispezionare le comunicazioni dei dipendenti, falsifica il certificato di destinazione (ad esempio la tua banca) in modo che il dipendente pensi di comunicare con la banca ma in realtà comunica con il proxy e il proxy a sua volta commina con la banca. Il proxy utilizza il proprio certificato di origine per il percorso dipendente-proxy.

Quando provi ad accedere al tuo conto bancario dal tuo computer aziendale, avviene quanto segue:

  1. la richiesta di accesso utilizza il certificato dell'azienda per crittografare il messaggio e inviarlo al proxy.
  2. Il proxy, dopo la decodifica e l'ispezione (e questo può essere fatto poiché il certificato è generato dal tuo reparto IT e naturalmente hanno la chiave privata richiesta per la decrittografia), "riorganizza" il messaggio e lo invia alla banca.
  3. Durante (2), il proxy ti restituisce la pagina di accesso alla banca in modo che pensi di essere collegato direttamente alla banca. Potresti vedere l'icona del lucchetto, ma questo è un falso - è generato dal certificato del proxy.
  4. Durante la fase di ispezione, l'azienda può leggere i dettagli di accesso in chiaro.

Tuttavia, puoi comunque connetterti alla tua banca in modo sicuro:

  1. Se si utilizza il proprio computer su una rete aziendale, quando si ottiene la pagina di accesso della banca si visualizza il certificato effettivo mostrato (di solito facendo clic sull'icona del lucchetto) e si confronta l'impronta digitale in un'impronta digitale ottenuta attraverso un altro canale di comunicazione (ad es. raccogliere in anticipo le impronte digitali desiderate a casa e scriverle su un pezzo di carta). Le impronte digitali non possono essere falsificate da un proxy.

  2. Se usi il computer dell'azienda, potresti comunque voler confrontare le impronte digitali, ma ricorda che questo non è il tuo computer: la società potrebbe aver installato tutti i tipi di software / logger di sniffing. Non fare cose altamente sensibili su hardware + software che non controlli completamente (i problemi di fiducia del sistema operativo o dei driver di dispositivo sono un argomento importante per un'altra discussione ...)

risposta data 24.10.2014 - 16:28
fonte
-4

Sebbene i dati inviati siano decodificati, non è possibile per il personale IT visualizzare effettivamente i dati inviati, l'unica cosa che viene vista è l'indirizzo web.

    
risposta data 02.04.2014 - 00:08
fonte

Leggi altre domande sui tag