In che modo Bluecoat Proxy consente ai governi di decrittografare SSL?

Blue Coat Proxy SG è solo un proxy. Non include malware.

Quello che Blue Coat's Proxy SG e altre soluzioni simili fanno è un attacco MITM al traffico crittografato. Decrittografa il traffico in entrata, qualsiasi cosa sia configurata per fare con le informazioni decrittografate e quindi crittografa nuovamente i dati prima di inoltrarli. Questo è piuttosto semplice. (Lo so, io con altri ho scritto un proxy MITM circa dieci anni fa.)

Una volta ottenuto il proxy MITM, deve essere posizionato nella giusta posizione. Esistono prove dei prodotti Blue Coat nelle reti pubbliche: link

Una volta che il proxy MITM è nel posto giusto, ciò che è necessario per eseguire un attacco MITM è un certificato attendibile. I browser si fidano di un gran numero di certificati radice. Si fidano inoltre dei certificati CA intermedi firmati da questi certificati radice. Pertanto, si tratta di acquisire tale certificato e caricarlo in un dispositivo di monitoraggio. Lo farà qualsiasi certificato CA di cui si fidano i browser. Maggiore è il numero di CA attendibili dal browser, minore è la sicurezza. (Se il dispositivo di monitoraggio è venduto da Blue Coat o no è irrilevante qui.)

I certificati possono essere acquistati. Possono anche essere ottenuti da una CA rotta. (Cerca le storie di hack Comodo e DigiNotar). Inoltre, secondo l'EFF, 54 Stati controllano CA che sono attendibili dai browser: link

Potresti trovare questi link pertinenti:

• link
• link

(Il dispositivo MITM in cui il certificato è stato caricato nel primo caso potrebbe o non potrebbe essere di Blue Coat. Questo non è noto.)

Inoltre, gli utenti tendono a ignorare gli avvisi di sicurezza. Non è richiesto un certificato attendibile se è possibile prevedere che la vittima ignorerà la richiesta di sicurezza: link

Un'altra possibilità è sfruttare una vulnerabilità o corrompere un insider per acquisire la chiave privata del server.

Sono state sviluppate contromisure per bloccare questi attacchi, come il pining del certificato (Chrome lo fa per alcuni grandi domini) e il Certificato Trasparenza: link

Il progetto Perspectives progettato come sistema in cui un numero maggiore di terze parti fidate si traduce in una maggiore sicurezza. (Confrontati con il modello PKI in cui maggiore è il numero di terze parti fidate, minore è il livello di sicurezza.)

I malware usati per compromettere il computer di un bersaglio sono una minaccia completamente diversa. SSL / TLS non offre alcuna protezione alla vittima in questo caso. Questo è ciò che l'NSA ha fatto per attaccare gli utenti di Tor.

How does Blucoat Proxy allow governments to decrypt SSL?

Non consente ai governi di decodificare alcun tipo di traffico SSL su qualsiasi rete. BlueCoat viene utilizzato all'interno di aziende (e all'interno di organizzazioni governative) per ispezionare il proprio traffico SSL in entrata e in uscita per malware, perdita di dati, ecc. I certificati proxy necessari per l'ispezione trasparente SSL sono installati ufficialmente sui sistemi. Se questi non sono installati, gli utenti ricevono un avviso.

A seconda della legge del tuo paese, sì, la tua azienda può leggere il tuo traffico SSL.

Non hanno bisogno di hackerare nulla. In un ambiente Windows è sufficiente definire un criterio che ogni computer nell'AD avrà il certificato aziendale come certificato radice affidabile. Poiché la tua azienda ti fornisce il computer, hanno tutti i diritti di fare tutto ciò che vogliono su di esso, purché non sia contrario alla legge del tuo Paese.

Per quanto posso vedere, ci sono due modi in cui un governo può decifrare il traffico HTTPS. Di nuovo, queste sono solo speculazioni . In entrambi i casi, il dispositivo BlueCoat può essere utilizzato come proxy, ma non è affatto un requisito (il proxy utilizzato è piuttosto irrilevante).

Uno è quello di piantare il certificato del proxy sul computer client. Ciò richiede al governo di hackerare prima il dispositivo del Cliente. non c'è alcun meccanismo nel dispositivo Bluecoat per fare questo hacking . è anche possibile spedire il dispositivo del Cliente con il certificato già installato in esso, se il governo può forzare l'OS o i fornitori di laptop a farlo.

Altro (più probabile senario) è quello di avere la chiave privata sul proxy, in modo che possa decrittografare il traffico in entrata. ciò richiede che il governo imponga a un'organizzazione di fornire loro la chiave privata ( ricorda Lavabit? )

Per impersonare un host in una connessione TLS è necessario un certificato da un'autorità di certificazione attendibile. Qualsiasi autorità di certificazione attendibile. Non necessariamente colui che ha creato il certificato originale. Quando si esamina l'elenco delle autorità di certificazione, la maggior parte dei sistemi operativi e dei browser Web si fidano immediatamente ( l'elenco di Firefox, ad esempio ), noterai che l'elenco è piuttosto lungo e include persino alcune entità governative.

Al fine di MITM sulle connessioni, un ente governativo deve solo compromettere uno di loro. In alcuni paesi, alcune agenzie governative hanno il diritto di costringere qualsiasi compagnia nazionale a soddisfare le loro richieste e contemporaneamente a mettere un ordine di bavaglio su di loro per vietare loro di ammettere che lo fanno.