私の会社では、昼休みにオンラインバンキングや個人的なメールなどの個人的なことのためにコンピューターを使用しています。
私は、Firefoxが緑色のロックシンボルを表示しているとき、有効なHTTPS接続が確立されていて誰も盗聴できないことを常に考えていました。 HTTPS検査がこれを危険にさらす可能性があると聞いたことがあります。
実際、私には2つの質問があります。
私の会社では、Windows 10のトレイアイコンでわかるように、Forefront TMGを使用しています。
よろしくお願いします!
会社がコンピュータを所有および管理している場合、HTTPS接続を検査する次のオプションがあります。
プロキシサーバーでの接続スヌーピングは、比較的簡単に検出できます。プロキシによって提示されるWebサイト証明書は、自宅から、またはモバイルデバイスを使用してサイトを開くときに取得するものとは異なります。上記の証明書の公開鍵と証明書のフィンガープリントが一致しない場合は、ほぼ確実に接続スヌーピングが発生しています(この不一致の正当な理由が時々あるため、この場合は証明書チェーン全体を同じ方法でチェックすることをお勧めします。 )。
会社がエンドポイントソフトウェアを使用して従業員の活動を監視している場合、特に管理者権限がない場合は、これを検出することが難しくなります。サイレントモードで実行されていない場合は、実行中のプロセスのリスト、システムトレイ、またはインストールされているプログラムのリストを調べて、奇妙なプログラムや不明なプログラムがリストされているかどうかを確認します(その後、プログラムの名前をオンラインで検索します)。サイレントモードの操作の場合、それを検出するにはおそらくカーネルデバッグ/ルートキット検出スキル(またはsysadminに尋ねる)が必要です。
注目すべき点がいくつかあります。まず、証明書を確認します。有名な認証局からは作成されません。緑の南京錠をクリックすると、右側の矢印をクリックすると、これが表示されます(firefox、Windows)。例えば。 Facebookは「デジサート」と言います。
TMGによって生成された1つまたは2つの証明書を確認したら、簡単にそれらを識別できます。
2番目に注意する点は、「証明書のピン留め」のために一部のサイトがMiTMに対応しにくいことです。これは、証明書がプリロードされているブラウザに依存し、「偽物」を受け入れません。インターネット上のすべてのサイトにとってそれほど賢明ではありませんが、グーグル、ツイッター、および他のいくつかのサイトはそれを行っています。 Chromeは、ローカルCAを固定せず、「企業」のMITMを許可しますが、侵害されたCAを防ぎます。Firefoxには、何を許可するかを決定する設定があります。
正直に言うと、これらのブラウザー防御は企業のMiTMにはあまり役立ちません。ブラウザーが偽造された証明書の取得を拒否すると、とにかくサイトからブロックされてしまうからです。
ほとんどの「良好な」Webフィルター(および一部の不良フィルター)では、管理者が一部のサイトをMiTMから除外できます。たとえば、Smoothwallには、プライバシー上の理由からオンラインバンキングを除外するデフォルトが用意されています。他のサイトは、MiTMでNiceを再生しないため、除外される場合があります。
私のアドバイスはあなたの管理者に相談することです。彼らが銀行のためにMiTMをオフにしたくない場合、私はそれはかなり不合理だと思います(私の見解では、Webフィルター会社の元従業員として)。彼らはあなたにあなたの銀行業務をさせたいか、そうではないかのどちらかです。マルウェアが侵入したり、ユーザーが悪用したりする可能性のあるものではありません。一方、Facebookと個人のメールは灰色の領域です。
最後に言及すること:HTTPSサイトで「ブロックページ」を取得するには(ドメインによってブロックされている場合でも)、MiTMが必要であるため、一部のMiTMで、それらがとにかくページ-それは代替手段があまり有益でないブラウザエラーになるためです。
あなたの質問に答えるために、
はい。それこそが、会社が「グリーンロック」を獲得する方法です。
ただし、これは他のブラウザでは異なる場合があります。 Firefoxのように独自のトラストストアを使用するものと、Chromeのようにオペレーティングシステムの1つを使用するものがあります。そのため、証明書の正確なインストール場所が間違っている可能性があります。
一般的に、はい、それはそれがどのように機能するかです。
ホストに対して受け取った証明書を提供する ssl labs のようなWebサイトを使用します。
次に、それが実際に同じ証明書であるかどうかを確認します。そうである場合、MITMは実行されていません。
簡単なヒント:ほとんどの場合、証明書には別のフィンガープリントがあるだけでなく、他のプロパティも異なるため、簡単に見つかる可能性があります。しかし、それは可能性があります、それらは指紋のみが異なります。
これらはすべて良い答えなので、「はい、それは可能であり、世界中の多くの組織内で行われている」とは言いません。私が言いたかったのは、HTTPSインスペクションは(一般的に)あなたをスパイするためではなく、ネットワークを通過するトラフィックが正当で安全であることを確認するために行われるということです。彼らはあなたが昼休みにあなたの銀行業務をすることであって、マルウェアが会社の秘密を漏らしていないことを確認したいのです。
また、HTTPSインスペクションはCPUを集中的に使用するため、一般的な方法は、最初のトラフィックのほんの一部を復号化することです。トラフィックが正当と見なされると、それ以上の復号化は行われません。今...私が「一般的な慣習」と言ったことも覚えておいてください...彼らがあなたのセッション全体を解読することは絶対に可能です。ただし、キーロガー/画面キャプチャソフトウェアをコンピューターにインストールすることも可能で、そのオプションの方が簡単ではるかに安価です。