È accettabile per un datore di lavoro installare un certificato di base autofirmato sui dispositivi personali dei dipendenti a casa?

4

Al lavoro, il mio datore di lavoro utilizza un certificato radice autofirmato per MITM tutto il nostro traffico SSL / TLS. Molti dei nostri certificati interni utilizzati da vari micro-servizi e siti Web interni sono inoltre firmati da questo certificato.

Non ho alcun problema con questa pratica in quanto è la loro rete e le attrezzature.

Recentemente, è stata presa la decisione di passare da Citrix a VPN per l'accesso remoto. Come parte della configurazione VPN, il mio datore di lavoro installa il certificato di root autofirmato nell'archivio certificati attendibili.

Sono preoccupato che questo almeno potenzialmente dia al personale interno dell'azienda la possibilità di decifrare il traffico crittografato dal mio computer di casa. Il certificato è un certificato PKS # 7 firmato e rilasciato alla stessa entità.

Non c'è stata trasparenza in questo processo e mi sembra molto ombreggiato. Ho chiesto informazioni su eventuali potenziali problemi di sicurezza che potrebbero avere effetto, ma mi è stato detto che dal momento che il certificato è emesso da una "fonte attendibile" le mie preoccupazioni sono infondate. Non sono un addetto alla sicurezza, ma affermare che questo è emesso da una "fonte attendibile" sembra un tratto.

La mia domanda è, è questa pratica normale o accettabile e c'è qualcosa di cui dovrei preoccuparmi?

Non mi piace l'idea che qualcuno abbia il potenziale per spiare il traffico Internet della mia famiglia senza divulgazione né politica.

Sono irragionevole?

Grazie in anticipo.

    
posta 0xDEAD_BEEF 23.02.2017 - 02:52
fonte

3 risposte

7

Questa non è una domanda strettamente legale o tecnica, ma piuttosto una domanda di opinione: "è accettabile?" È accettabile per te?

Tuttavia, viene presentato un punto tecnico perfettamente ragionevole, in quanto un certificato di root nel tuo sistema consente al controllore di quel certificato di potenzialmente di impersonare e intercettare qualsiasi traffico SSL / TLS tramite tecniche MitM .

Da un punto di vista pratico, direi che dovrebbe rientrare nelle politiche BYoD della tua azienda. È possibile richiedere un laptop di proprietà di corp per l'uso domestico e utilizzarlo solo per l'accesso VPN. Oppure, non è possibile installare il client VPN sulla propria macchina madre per le proprie preoccupazioni. Il tuo datore di lavoro non può richiedere che tu usi la tua macchina personale, ma le loro politiche probabilmente coprono cose come se stai per usare una macchina personale sulle risorse di lavoro, devi fare X, Y, o Z per proteggerli. E l'installazione di un certificato di root per l'accesso VPN potrebbe cadere in queste condizioni.

In definitiva, la decisione spetta a te. Se ritieni che il rischio potenziale sia maggiore di quello che ti conviene, chiederei: una macchina fisica per l'utilizzo VPN solo a casa, acquisire un'altra macchina domestica, isolarla dal resto della rete e installare la VPN su quella , o andare senza l'accesso VPN a casa. O forse potresti creare una VM "di sola lavoro" su una delle tue macchine di casa con VirtualBox o VMWare player gratuito e installare la VPN in quella?

Sono d'accordo sul fatto che i bit "nessuna trasparenza" e "si sente molto losco" siano preoccupanti, ma nella maggior parte dei casi, lo attribuirei all'apatia piuttosto che a un intento malevolo. La maggior parte della gente non saprebbe nemmeno cosa sia un certificato di root, o perché installarlo sulla propria azienda potrebbe non essere una buona idea. La società probabilmente non nasconde qualche schema nefasto, ma la gente dell'IT vuole solo risolvere il problema di "far sì che la gente acceda da casa" ed ecco come l'hanno fatto.

Conclusione: sei irragionevole? No. Ma stai facendo più lavoro per te stesso, ed è una cosa ragionevole se hai dei dubbi. Dubito che tu abbia una gamba in particolare da spingere indietro, oltre a non usare / installare la VPN

semplicemente     
risposta data 23.02.2017 - 03:41
fonte
2

Sì, è rischioso installare certificati CA radice che non si credono nel keystore sulla macchina.

Gli darebbe la possibilità di facilmente MITM qualsiasi traffico che passi attraverso il tunnel VPN, anche su Internet se il routing VPN è configurato in tal modo. Probabilmente mantengono controlli molto meno rigidi sulle loro chiavi di certificato CA interne rispetto a una CA reale.

Allo stesso tempo, qualsiasi programma che installano sul computer di casa presenta un rischio di privacy uguale o potenzialmente maggiore rispetto al certificato interno. Il client VPN viene in mente, ma il passaggio a una VPN implica che vogliono che tu esegua il loro software a casa. Questo è diverso rispetto all'utilizzo di un prodotto Citrix scaricato da Citrix.

In qualche modo ti fidi di loro, o non ti fidi di loro. Se non ti fidi di loro, prendi in considerazione l'utilizzo di una VM o di un secondo computer su una sottorete indirizzata separatamente. Un'altra opzione potrebbe essere quella di utilizzare un servizio come Amazon WorkSpaces che fornisce un desktop ospitato sul cloud.

    
risposta data 23.02.2017 - 03:52
fonte
-2

Direi due cose.

Per prima cosa, non dovresti mai essere preoccupato che il certificato di root possa in alcun modo essere usato per scopi dannosi. Poiché la chiave privata, di solito, viene inserita in un'appliance a cui hanno accesso solo il reparto IT o l'amministratore, puoi stare al sicuro. Anche il reparto IT o l'amministratore hanno un processo specifico ("fonte attendibile") che imposta anche queste CA radice, non vedo alcun problema.

Quindi, se sono in grado di curiosare sul traffico o meno mentre non stai lavorando, dipende da due cose, dove saranno in grado di curiosare sul traffico se uno di questi due è valido. Il primo è se la VPN è forzata, ad esempio non è possibile utilizzare il computer se la VPN non è attiva. Il secondo caso in cui possono curiosare nel traffico, è se un proxy posseduto dall'azienda è impostato come proxy di sistema nel tuo computer. Nota che con "ficcanaso" non intendo che entreranno con wireshark e guarderanno i tuoi numeri di carta di credito, intendo solo che lo scanner di sicurezza bloccherà eventuali virus e pagine proibite e registrerà le pagine che visiti.

Se è accettabile o meno, generalmente detto, vorrei fare due conclusioni:

Se lo "snooping" o "scanning" è attivo solo mentre stai lavorando da casa, e non quando la VPN è inattiva, direi che è sempre accettabile. Quindi puoi sempre "andare sotto copertura" ogni volta che vuoi. Non è come se avessero la possibilità di eseguire lo snooping solo perché il loro certificato radice SSL è installato sul tuo computer, devono essere in grado di entrare in una posizione in modo da poter "MITM" anche il traffico. Pensa come una cassastrong con 2 lucchetti. Una chiave è il certificato di root. Un'altra chiave è se hanno il controllo del flusso di traffico. Devono possedere entrambe le chiavi per aprire la cassastrong, solo una chiave non è sufficiente.

Se "snooping" o "scanning" sono sempre attivi e non è possibile disattivarlo (ad es. VPN forzata o impostazioni proxy bloccate tramite criteri di gruppo), direi che ciò dipende dalle circostanze. Immagina di lavorare con dati molto confidenziali, come le informazioni sulla difesa. In tal caso, è ragionevole esigere che anche i computer di casa siano parte della politica IT sul lavoro, anche se non dovresti lavorare da casa, il che significa che non ti è consentito visitare siti "proibiti" da casa o. Il motivo è l'alto rischio di fuoriuscita di informazioni confidenziali. Il rischio di fuoriuscita di informazioni confidenziali in quel caso è molto alto. Pensa di scrivere accidentalmente una nota sul lavoro sul tuo computer di casa senza pensare, diciamo un promemoria, e non ti rendi conto che è qualcosa di brutto sul tuo computer che perde questo. Ecco perché è credibile per un posto di lavoro richiedere al computer di essere parte della loro soluzione di scansione dei virus e DLP. - Se non ti piace, lascia il tuo lavoro. Semplice come quello.

    
risposta data 23.02.2017 - 04:03
fonte