Le comunicazioni crittografate SSL attraverso una rete aziendale sono sicure?

1

Se sto utilizzando Skype, Facebook o un altro tipo di comunicazione sul mio lavoro, l'amministratore di rete può vedere le mie conversazioni Skype e Facebook, sebbene sia crittografato con SSL?

Ho trovato questo testo :

If your company is serious about security then it may have installed a more advanced proxy like Blue Coat's ProxySG. Such systems perform a Man-in-the-Middle attack by dynamically generating a fake certificate for the target server. This gives them access to the complete data, as if there was no SSL.

Se ho installato il mio computer da zero, il metodo sopra è ancora possibile? C'è un modo per proteggermi da esso?

C'è un modo per vedere che la mia connessione alla mia banca o Facebook è veramente protetta da SSL e che sto usando il certificato corretto?

    
posta Newton 07.04.2014 - 19:36
fonte

2 risposte

0

Se la tua compagnia è un nemico, hai un problema. O forse tu sono il problema.

Normalmente , connetti la tua macchina alla rete della società sulla base di un accordo contrattuale che ti rende il impiegato e definisce i tuoi diritti e doveri. In particolare, molte aziende non consentono ai dipendenti di collegare il proprio hardware alla rete aziendale; o quando ciò è permesso, ci sono requisiti tecnici, come l'installazione di un software sysadmin specifico fornito dalla società stessa. Questo è ciò che accade nella maggior parte dei casi in cui viene applicato BYOD .

Questi accordi tecnici e contrattuali in particolare consentono o impediscono l'intercettazione da parte degli amministratori di rete. Quindi la tua domanda really suona come una richiesta di consigli specifici per fare qualcosa di illegale. Questo di solito non è ben tollerato qui.

Tuttavia , posso ancora dare una risposta neutra e tecnica. SSL protegge da intercettazioni e alterazioni dei dati passive e attive, in particolare Intercettazione Man-in-the-Middle (che è" solo "doppia impersonificazione: il client parla con un server falso, il server parla con un client falso ). Questa proprietà è garantita in base alle ipotesi di base:

  • Il certificato del server può essere validato in modo affidabile dal client, relativamente a un set di root CA , come noto dal cliente, che sono onesti.
  • Il software del client non è modificato maliziosamente.

Se una terza parte desidera vedere quali dati vengono scambiati tra la macchina e un determinato server esterno, allora una di queste ipotesi non deve essere mantenuta. Nel caso del prodotto ProxySG di Blue Coat, questo è il primo: come parte della distribuzione di ProxySG, una nuova CA radice, controllata da quell'installazione ProxySG, viene generato e deve essere installato nei sistemi client. Se nella macchina non è stata installata alcuna CA radice, il ProxySG di Blue Coat non sarà in grado di mettere in atto la sua intercettazione. Almeno non silenziosamente : il tuo browser avviserà su come ogni sito Web alimentato da SSL sembra utilizzare un certificato di una CA sconosciuta.

Un punto degno di nota è che se si ha l'abitudine di "cliccare su" gli avvisi del browser, ad esempio chiedendo al browser di connettersi comunque, nonostante un certificato del server non valido o non verificabile, la sicurezza contro MitM va drenata, dal tuo azioni proprie.

Un altro punto degno di nota è che sebbene SSL protegga i dati contenuti , gli intercettatori esterni possono ancora capire a quali server si sta parlando e fanno ipotesi generali sulla natura degli scambi in base alla loro tempistica e la loro dimensione Quando ti connetti a Facebook, il tuo datore di lavoro non ha bisogno di vedere i dati contenuti per rendersi conto che stai rallentando invece di fare il tuo lavoro.

Infine, Skype non usa SSL ma il proprio protocollo, che può essere o non essere sicuro (i dettagli del protocollo non sono realmente pubblicati, e nemmeno molto chiari).

    
risposta data 07.04.2014 - 20:10
fonte
0

Se hai il pieno controllo del tuo computer, dovrebbe essere facile rilevare l'intercettazione SSL, perché il browser si lamenterà dell'emittente sconosciuto se accedi a https-Sites. Almeno se gli amministratori del firewall non hanno ottenuto una CA intermedia da una CA affidabile (vedi link ). E anche questi ti saranno in grado di individuare se utilizzi Google Chrome con il blocco dei certificati e non hanno fatto eccezioni per l'intercettazione per i domini google.com (vedi link ). Inoltre, se si dispone di un sito Web specifico sensibile, è possibile esaminare l'impronta digitale del certificato e il percorso di fiducia nel browser e confrontarlo con i risultati ottenuti da casa.

Lavorare in giro è più difficile, perché di solito queste regole del firewall vengono installate per proteggere l'azienda dal malware tramite connessioni SSL o dalla perdita di dati dagli utenti interni ai siti esterni (cloud, ecc.). Quindi queste regole di solito non sono fondamentali per infastidire gli utenti, il blocco di questi siti sarebbe molto più facile. Quindi, se l'amministratore ha configurato correttamente il firewall, non dovrebbe esserci alcun modo di utilizzare VPN, proxy o altro. Naturalmente, in gran parte c'è un modo, ma questo dipende dalla specifica configurazione del firewall (o semplicemente usa la rete mobile).

BTW, se Skype funziona ancora in questa configurazione è probabilmente sicuro da usare (se ti fidi di Microsoft). Skype non usa SSL, ma quando esegue il tunneling su proxy HTTP usa un protocollo che sembra abbastanza simile per ingannare alcuni firewall di ispezione profondi.

    
risposta data 07.04.2014 - 19:59
fonte

Leggi altre domande sui tag