Uso dell'organizzazione dell'ispezione SSL e duplicazione dei certificati CA root

3

Un'organizzazione (una scuola in questo esempio) richiede il collegamento di dispositivi personali per installare certificati CA radice per consentire l'esecuzione dell'ispezione SSL. Se questo è etico o non etico è un altro problema - nel contesto della verifica che il contenuto accessibile è appropriato per una scuola, l'ispezione SSL è probabilmente eccessiva e pone una domanda sul perché l'ispezione SSL sia effettivamente implementata su la rete.

Il personale amministrativo dell'organizzazione non comprende correttamente i problemi di sicurezza presenti con questa configurazione e quindi i problemi non possono essere comunicati al personale di amministrazione della rete.

Gli ospiti sono incoraggiati ad avere il proprio dispositivo connesso alla rete, che quindi i certificati CA principali devono essere installati e accettati.

I certificati CA radice sono stati rilasciati per 10 anni a partire dal 2016 - un recente aggiornamento alla rete richiedeva che venissero ristampati e reinstallati, il che significa che i vecchi certificati CA radice sono ancora installati su centinaia, se non migliaia di macchine.

I clienti (studenti) - centinaia - escono ogni anno e i loro dispositivi personali avranno ancora i certificati CA radice installati, senza istruzioni fornite dalla scuola per rimuoverli

È abbastanza significativo? oppure dovrebbe essere ignorato - come puoi esprimere i problemi associati al personale amministrativo analfabeta del computer

    
posta Adam Watson 12.10.2017 - 17:21
fonte

3 risposte

2

Disimballare le domande:

Is this quite significant? or should it all be ignored

e

how can you express the issues associated to computer illiterate administration staff

tl; dr: "Dipende".

Hai già discusso la questione della privacy / etica con la scuola monitorando completamente tutto il traffico di tutti i dispositivi nel loro edificio, quindi supponiamo per ora che siamo d'accordo e parliamo dei problemi tecnici:

  1. La CA è stata spostata e la vecchia a sinistra dei dispositivi.
  2. Gli studenti laureandi (o gli ospiti che lasciano l'edificio) non rimuovono i certificati di base dai loro negozi fiduciari.

Prima di poter andare oltre, dobbiamo definire il nostro modello di minaccia . Presumo che tu sia preoccupato per le persone casuali di cyber-criminale-hacker-trench che compromettono questi dispositivi a causa della presenza di queste radici attendibili?

Penso che ci siano solo due modi in cui ciò può accadere:

  1. Il certificato CA utilizza la crittografia debole e può essere forzato a forza prima che scada.

Certamente un certificato di 10 anni su RSA-1024 sarebbe in questa categoria. Avrai bisogno di guardare il certificato radice stesso per vedere quale cripta stai usando.

  1. Gli amministratori erano sciatti nell'archiviazione delle chiavi private e gli hacker erano in grado di hackerare la scuola e rubare il file della chiave privata.

Sì, ora qualsiasi sito web visitato da un dispositivo con il certificato radice della scuola potrebbe potenzialmente essere un sito di phishing e il dispositivo / utente non conoscerà la differenza.

Quindi, la domanda è: quanto sono indurite le reti della scuola contro il furto della chiave privata CA cert. Ad esempio, la scuola ha assunto dei tester di penetrazione esterna per aiutarli a indurirsi? Il modo di dirlo all'amministrazione è il costo di rafforzare la rete rispetto al rischio di rendere ogni dispositivo studente / personale / ospite vulnerabile agli aggressori sia dentro che fuori dalla rete della scuola .

    
risposta data 12.10.2017 - 20:22
fonte
0

Gran parte della sicurezza dipende dall'efficacia dei certificati e dei proxy SSL.

root CA certificates were issued for 10 years from 2016

... quindi non molto bene.

The organisation's administration staff do not properly understand the security issues

Intendi lo staff responsabile dell'amministrazione dell'organizzazione o i responsabili specifici dell'amministrazione del servizio? Se è quest'ultimo, allora sii molto impaurito.

how can you express the issues associated to computer illiterate administration staff

(vedi domanda precedente)

Se parliamo del rischio organizzativo, il più grande è quello della responsabilità.

    
risposta data 12.10.2017 - 18:03
fonte
0

Per rispondere al motivo per cui lo fanno, devi sapere quanto sia facile aggirare il filtro dei contenuti quando è coinvolto https. Il passaggio da Google a https solo alcuni anni fa ha causato un strong mal di testa a molte scuole e al loro attuale software di filtraggio.

L'unica cosa che puoi rilevare senza intercettare la richiesta https è il dominio. Ciò semplifica la rilevazione di say pornhub, ma disattiva la ricerca sicura di Google e fai una ricerca di immagini per qualsiasi termine sessuale ti piace e il dominio sarà ancora Google, ma il contenuto non sarà adatto ai minori.

La scuola non ha praticamente nessuna opzione se non quella di fare una sorta di approccio mitm o di non fornire wifi.

Come pubblicizzare i mezzi reali per farlo e / o come rimuoverlo in seguito probabilmente potrebbero fare meglio, ma la maggior parte degli adolescenti venderebbe un rene per la connessione wifi gratuita e se ne dimenticheranno tra un paio d'anni.

Come altre risposte hanno detto che potrebbero fare tecnicamente meglio e c'è il rischio di compromissione totale del browser, ma lo considererei un rischio piuttosto basso. Se la NSA o il Mossad ti stanno cercando, ti prenderanno ... qualcuno che ha hackerato la scuola e poi l'uomo in media, un bar locale è possibile ma non qualcosa per cui perdere il sonno. Soprattutto perché la maggior parte dei dispositivi connessi ha una durata di 2 anni.

    
risposta data 12.10.2017 - 21:50
fonte

Leggi altre domande sui tag