web-dev-qa-db-ja.com

HTTPS検査を検出するにはどうすればよいですか?

私の会社では、昼休みにオンラインバンキングや個人的なメールなどの個人的なことのためにコンピューターを使用しています。

私は、Firefoxが緑色のロックシンボルを表示しているとき、有効なHTTPS接続が確立されていて誰も盗聴できないことを常に考えていました。 HTTPS検査がこれを危険にさらす可能性があると聞いたことがあります。

実際、私には2つの質問があります。

  1. 私の理解は正しいですか。HTTPSインスペクションの場合、私の会社は「偽造」セキュリティ証明書を使用してFirefoxを展開するため、私が実際にアクセスして中間者攻撃を実行したいサイトのふりをすることができますか?
  2. 接続がスヌーピングされているかどうかをどのように検出できますか?

私の会社では、Windows 10のトレイアイコンでわかるように、Forefront TMGを使用しています。

よろしくお願いします!

tlsman-in-the-middle
17
Perry Quint

会社がコンピュータを所有および管理している場合、HTTPS接続を検査する次のオプションがあります。

  1. 証明機関をオペレーティングシステム/ブラウザーの信頼できる証明書ストアに追加します。これにより、接続しているWebサイトのプロキシで有効な証明書を生成できます。さらに、ブラウザで証明書のプリロードリストをオフにすることもできるため、「既知の正常な」証明書を偽装された証明書に置き換えることができます。
  2. 彼らはあなたのPCにソフトウェアをインストールして、HTTPS接続を含むすべてのファイルシステムとネットワーク活動を監視するかもしれません。このような機能を提供する多くのデータ損失防止(DLP)ソフトウェアベンダーがあります。サイレントモードで動作し、ユーザーにはまったく見えません。このソフトウェアは、企業内で驚くほど一般的です。

プロキシサーバーでの接続スヌーピングは、比較的簡単に検出できます。プロキシによって提示されるWebサイト証明書は、自宅から、またはモバイルデバイスを使用してサイトを開くときに取得するものとは異なります。上記の証明書の公開鍵と証明書のフィンガープリントが一致しない場合は、ほぼ確実に接続スヌーピングが発生しています(この不一致の正当な理由が時々あるため、この場合は証明書チェーン全体を同じ方法でチェックすることをお勧めします。 )。

会社がエンドポイントソフトウェアを使用して従業員の活動を監視している場合、特に管理者権限がない場合は、これを検出することが難しくなります。サイレントモードで実行されていない場合は、実行中のプロセスのリスト、システムトレイ、またはインストールされているプログラムのリストを調べて、奇妙なプログラムや不明なプログラムがリストされているかどうかを確認します(その後、プログラムの名前をオンラインで検索します)。サイレントモードの操作の場合、それを検出するにはおそらくカーネルデバッグ/ルートキット検出スキル(またはsysadminに尋ねる)が必要です。

10
Artem Bychkov

注目すべき点がいくつかあります。まず、証明書を確認します。有名な認証局からは作成されません。緑の南京錠をクリックすると、右側の矢印をクリックすると、これが表示されます(firefox、Windows)。例えば。 Facebookは「デジサート」と言います。

TMGによって生成された1つまたは2つの証明書を確認したら、簡単にそれらを識別できます。

2番目に注意する点は、「証明書のピン留め」のために一部のサイトがMiTMに対応しにくいことです。これは、証明書がプリロードされているブラウザに依存し、「偽物」を受け入れません。インターネット上のすべてのサイトにとってそれほど賢明ではありませんが、グーグル、ツイッター、および他のいくつかのサイトはそれを行っています。 Chromeは、ローカルCAを固定せず、「企業」のMITMを許可しますが、侵害されたCAを防ぎます。Firefoxには、何を許可するかを決定する設定があります。

正直に言うと、これらのブラウザー防御は企業のMiTMにはあまり役立ちません。ブラウザーが偽造された証明書の取得を拒否すると、とにかくサイトからブロックされてしまうからです。

ほとんどの「良好な」Webフィルター(および一部の不良フィルター)では、管理者が一部のサイトをMiTMから除外できます。たとえば、Smoothwallには、プライバシー上の理由からオンラインバンキングを除外するデフォルトが用意されています。他のサイトは、MiTMでNiceを再生しないため、除外される場合があります。

私のアドバイスはあなたの管理者に相談することです。彼らが銀行のためにMiTMをオフにしたくない場合、私はそれはかなり不合理だと思います(私の見解では、Webフィルター会社の元従業員として)。彼らはあなたにあなたの銀行業務をさせたいか、そうではないかのどちらかです。マルウェアが侵入したり、ユーザーが悪用したりする可能性のあるものではありません。一方、Facebookと個人のメールは灰色の領域です。

最後に言及すること:HTTPSサイトで「ブロックページ」を取得するには(ドメインによってブロックされている場合でも)、MiTMが必要であるため、一部のMiTMで、それらがとにかくページ-それは代替手段があまり有益でないブラウザエラーになるためです。

2
Tom Newton

あなたの質問に答えるために、

  1. はい。それこそが、会社が「グリーンロック」を獲得する方法です。

    ただし、これは他のブラウザでは異なる場合があります。 Firefoxのように独自のトラストストアを使用するものと、Chromeのようにオペレーティングシステムの1つを使用するものがあります。そのため、証明書の正確なインストール場所が間違っている可能性があります。

    一般的に、はい、それはそれがどのように機能するかです。

  2. ホストに対して受け取った証明書を提供する ssl labs のようなWebサイトを使用します。

    次に、それが実際に同じ証明書であるかどうかを確認します。そうである場合、MITMは実行されていません。

    簡単なヒント:ほとんどの場合、証明書には別のフィンガープリントがあるだけでなく、他のプロパティも異なるため、簡単に見つかる可能性があります。しかし、それは可能性があります、それらは指紋のみが異なります。

1
Tobi Nary

これらはすべて良い答えなので、「はい、それは可能であり、世界中の多くの組織内で行われている」とは言いません。私が言いたかったのは、HTTPSインスペクションは(一般的に)あなたをスパイするためではなく、ネットワークを通過するトラフィックが正当で安全であることを確認するために行われるということです。彼らはあなたが昼休みにあなたの銀行業務をすることであって、マルウェアが会社の秘密を漏らしていないことを確認したいのです。

また、HTTPSインスペクションはCPUを集中的に使用するため、一般的な方法は、最初のトラフィックのほんの一部を復号化することです。トラフィックが正当と見なされると、それ以上の復号化は行われません。今...私が「一般的な慣習」と言ったことも覚えておいてください...彼らがあなたのセッション全体を解読することは絶対に可能です。ただし、キーロガー/画面キャプチャソフトウェアをコンピューターにインストールすることも可能で、そのオプションの方が簡単ではるかに安価です。

0
JohnyD