Dovrei essere preoccupato se il mio datore di lavoro sta eseguendo attacchi HTTPS man-in-the-middle? [duplicare]

0

Ho motivo di ritenere che il mio datore di lavoro potrebbe eseguire attacchi man-in-the-middle HTTPS sui laptop di lavoro emessi dalla società, poiché il certificato SSL di Java elenca il mio datore di lavoro come autorità di certificazione.

Una volta lanciato, la piattaforma Java ( jp2launcher.exe ) visualizza un avviso che la connessione a https://javadl-esd-secure.oracle.com:443 non è affidabile e che " Il certificato non è valido e non può essere utilizzato per verificare l'identità di questo sito Web. "

Facendo clic su Ulteriori informazioni si apre una finestra in cui si afferma che " Il digitale la firma per questa applicazione è stata generata con un certificato da un'autorità di certificazione attendibile, ma non siamo in grado di garantire che non sia stata revocata da tale autorità. "Un collegamento alla pagina della guida di Java per certificati autoprestiti è anche incluso.

Non posso condividere i dettagli completi del certificato, in quanto ciò rivelerebbe l'identità del mio datore di lavoro. Tuttavia, posso confermare che Java elenca il mio datore di lavoro come autorità di certificazione.

Il mio datore di lavoro esegue attacchi HTTPS man-in-the-middle? In tal caso, dovrei preoccuparmi dei potenziali exploit di sicurezza?

Ho letto che la scansione HTTPS può portare ad un indebolimento della sicurezza del browser, come quando Kaspersky ha esposto gli utenti agli attacchi MITM all'inizio di quest'anno. Se la scansione HTTPS gestita dall'azienda è una pratica comune , non potrebbe essere vittima degli stessi problemi di sicurezza precedentemente citati?

    
posta Steven M. Vascellaro 14.07.2017 - 15:59
fonte

1 risposta

2

Come promesso, ecco una copia e incolla di la mia risposta alla tua domanda precedente .

Ok, hai trovato il certificato CA della tua azienda nel tuo negozio di fiducia di java. Questo ci dice che hanno la capacità di eseguire l'attacco MitM che stai descrivendo, ma non dimostra che lo stiano effettivamente facendo. Quella cert può essere lì per un motivo completamente legittimo, come ad esempio in modo che il tuo client VPN possa autenticare il server VPN, o così non ottieni errori di certificato quando ti connetti a risorse di rete interne. Come dice @schroeder, questo è un comportamento completamente normale per le aziende che emettono laptop o hanno politiche BYOD. In questo caso, sembra che abbiano installato il certificato in modo che possano firmare il codice delle loro applet java. Sembra anche che abbiano fatto un brutto lavoro di configurazione della CA in quanto non hanno fornito le informazioni di revoca per i certificati. Non c'è nulla nella tua domanda per indicare che stanno facendo un'intercettazione HTTPS.

Per essere sicuri che stiano ispezionando il traffico HTTPS, devi effettivamente prenderli in flagrante. Quando crei una connessione TLS che sospetti di essere MitM, guarda il certificato del server che ti viene presentato; se si incatena alla CA della tua azienda, allora quella connessione è MitM e avrai una prova, ma se si incatena a una CA di fiducia pubblica allora è sicura.

Dovrai fare un po 'di ricerca sull'applicazione java che stai usando per capire come visualizzare i dettagli di ogni connessione TLS (potresti farlo attraverso le impostazioni JVM, ma non sono sicuro) . I browser, ad esempio, sono abbastanza utili per mostrare i dettagli della connessione TLS.

    
risposta data 14.07.2017 - 16:26
fonte