È possibile che Firefox rilevi gli attacchi MITM da parte dell'azienda? [duplicare]

2

Sono lontano da un esperto di sicurezza, quindi la premessa della mia domanda potrebbe essere sbagliata. In tal caso, per favore fatemelo sapere.

In un'impostazione aziendale, gli utenti del browser sono vulnerabili e spesso soggetti a attacchi MITM da parte dell'azienda. L'azienda ha il controllo completo su come è configurato il browser, quindi semplicemente pre-installa il proprio certificato di origine CA e configura il browser in modo che si possa fidare di esso. L'azienda può quindi emettere certificati per qualsiasi sito Web su Internet e leggere o modificare il traffico HTTPS su di essi. Ad esempio, se un utente accede alla propria banca online, non ha modo di sapere se un dipendente canaglia nel reparto IT sta intercettando la propria password di banking online. Peggio ancora, saranno erroneamente rassicurati da tutti gli indicatori di sicurezza previsti (lucchetto verde, nome corretto sul certificato, ecc.)

La revoca della fiducia nel certificato di origine dell'azienda risolverebbe questo problema, ma l'azienda può impedire tali modifiche alla configurazione, e così facendo impedirebbe al browser di accedere comunque ai siti intranet, quindi non è una soluzione.

Infine, poiché l'impresa (attaccante) ha il controllo completo sulla macchina, potrebbe semplicemente modificare il file binario del browser per visualizzare falsi indicatori di sicurezza (o installare keylogger, screen grabber, ecc.). Quindi supponiamo che la motivazione dell'impresa si estenda solo per quanto riguarda la configurazione del browser e il monitoraggio della rete, e che il file binario del browser non sia modificato. Supponiamo anche che il browser sia Firefox, poiché è quello che uso.

  1. È possibile che un utente NOVICE, in queste condizioni, rilevi in modo affidabile gli attacchi MITM da parte dell'azienda?

  2. In caso contrario, le modifiche apportate al di fuori del controllo dell'azienda - a Firefox stesso o all'infrastruttura di sicurezza Web - impediscono all'impresa di effettuare un attacco MITM senza che l'utente lo sappia?

posta Roofus 04.08.2017 - 04:34
fonte

1 risposta

0

Finché il browser stesso non è modificato, è possibile rilevare MITM controllando la catena di certificati facendo clic su icona del lucchetto accanto alla barra degli indirizzi . Quando la connessione non viene eseguita con MITM, la radice della catena di certificati deve essere una CA pubblica. Tutte le CA pubbliche pubblicano l'hash della chiave pubblica o puoi controllare l'hash della root con il root store scaricare direttamente da Mozilla . Se sei veramente paranoico, vuoi scaricare il root store da una connessione che sai per certo che è sicuro. Puoi anche controllare l'archivio principale del browser (utilizzando il gestore dei certificati integrato ) contro il archivio root scaricato in sicurezza, per verificare che l'archivio root del browser non contenga radici aggiuntive che non avrebbero dovuto essere lì.

In pratica, la maggior parte delle politiche di intercettazione aziendale non sono pensate per essere nascoste ai loro utenti / dipendenti, quindi il campo CN del certificato di root indica chiaramente che il certificato di root appartiene all'azienda piuttosto che a una CA pubblica . Pertanto, un modo molto più semplice per rilevare il MITM in questo caso è semplicemente controllare il nome nel campo "Verificato da:" nel popup dell'icona del lucchetto. Questo è leggermente meno robusto, però, perché dipende dall'impegno deliberato da parte dell'azienda a cercare di nascondere che stanno intercettando.

Se il browser viene modificato, tutte le puntate sono disattivate in quanto il browser può mentirvi. Tieni presente che l'installazione di un componente aggiuntivo classico (non Webextension) comporta la modifica del browser.

    
risposta data 04.08.2017 - 05:15
fonte

Leggi altre domande sui tag