1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Privdog: Software hebelt HTTPS…

Ich betreibe selber Interception Proxys...

  1. Thema

Neues Thema Ansicht wechseln


  1. Ich betreibe selber Interception Proxys...

    Autor: mawa 23.02.15 - 11:26

    ... bei Firmenkunden.
    Das CA - Zertifikat wird per GPO ausgerollt und den Mitarbeitern ist die private Nutzung von Netzwerk und Internet per Betriebsvereinbarung untersagt. Das Ziel ist hier cachen, Werbung entfernen, AV - Scann, Maleware Vermeidung, unterbinden von Driveby -Angriffen und erkennen von SchadsoftwareKommunikation über HTTPS.

    Wenn der BR gut verhandelt hat, gibt es noch ein Mitarbeiter-WLAN mit einem Mbit Internet und ohne Interception.

  2. Re: Ich betreibe selber Interception Proxys...

    Autor: frederik10k 23.02.15 - 11:44

    Ist ja an und für sich okay.

    Cachen, Werbung entfernen, AV - Scann, Maleware Vermeidung, unterbinden von Driveby-Angriffen und erkennen von Schadsoftware-Kommunikation hört sich sogar voll toll an. Für einen solchen Dienst könnte man als Kunde ja fast schon gerne bezahlen.

    Generiert dabei aber einen weiteren Angriffs-Vector. So muss eure komplette Infrastruktur -mindestens- so sicher sein wie die originale Verbindung zwischen Client und Netz. Jeder technisch versierte Praktikant mit Zugang zum firmeninternen Netz ist potentiell in der Lage fiesen Unfug zu treiben.

    IMHO

  3. Re: Ich betreibe selber Interception Proxys...

    Autor: chrulri 23.02.15 - 12:18

    Mit dem Unterschied, dass der private Schlüssel des Zertifikats beim Proxyserver liegt und nicht auf jeder Workstation verteilt ist, wie es bei der Software im Artikel der Fall ist.

    Wenn der Proxy dann auch nicht noch die gleichen Fehler macht sondern ungültige/self-signed Zertifikate blockt, dann grenzt man den Angriffsvektor schon sehr stark ein.

    Problem Superfish:
    - Privatschlüssel überall gleich

    Problem Privdog:
    - Schwache Schlüssel
    - Akzeptiert jeglichen Schwachsinn

  4. Re: Ich betreibe selber Interception Proxys...

    Autor: Vanger 23.02.15 - 12:46

    Wenn das richtig implementiert ist, ist sowas in Firmennetzwerken imho schon hinnehmbar, wenn auch nich schön. Du musst dir aber die Frage stellen ob die Implementierung in Ordnung ist. Welche Technologie verwendet ihr denn? Wisst ihr, dass die sicher ist? Ist sie Open Source, dass ihr das auch überprüfen könnt? Das ist immerhin eine extrem sicherheitskritische Komponente!

    Ich denke nicht, dass das Thema derart hochgekocht wäre wenn diese ganze Adware das wenigstens sauber implementieren würde: Zertifikate müssen weiterhin richtig geprüft werden und keine ungültigen Zertifikate plötzlich doch aktzeptiert werden, die verwendeten Zertifikate dürfen nicht schwach sein, die Schlüssel müssen wirksam gesichert sein und jede Installation muss ihre eigenen Zertifikate generieren. Das ist Grundvoraussetzung um überhaupt über den Einsatz von solcher Software diskutieren zu können.

    Scheinbar gibt es nur Technologien die in dieser Betrüger-Szene entwickelt wurden - wie will man da auf eine gute Implementierung vertrauen?

  5. Re: Ich betreibe selber Interception Proxys...

    Autor: hab (Golem.de) 23.02.15 - 13:19

    Ich hab mir ein paar dieser Dinger angeschaut und noch keine gesehen die wirklich sicher implementiert ist. Nur wenige sind so schlimm wie Superfish und Privdog. Aber alles was ich bisher näher untersucht hab (z.b. avast) hebelt beispielsweise Key Pinning komplett aus.

    Ich halte diesen ganzen Ansatz für hochgradig gefährlich. Man-in-the-Middle-Angriffe sind Angriffe auf Verschlüsselungstechnologien. Das ist keine legitime Technologie um irgendwas zu implementieren. Ich finde das ziemlich problematisch dass das so verbreitet ist und finde sämtliche Begründungen dafür ziemlich haarig.

  6. Re: Ich betreibe selber Interception Proxys...

    Autor: matok 23.02.15 - 13:31

    mawa schrieb:
    --------------------------------------------------------------------------------
    > Wenn der BR gut verhandelt hat, gibt es noch ein Mitarbeiter-WLAN mit einem
    > Mbit Internet und ohne Interception.

    Ich weiß wirklich nicht, wieso man Firmenrechner oder das Firmennetz überhaupt für private Dinge nutzen muss. Wohnen solche Mitarbeiter in der Firma oder können sie sich keinen Datentarif für ihr Smartphone leisten? Und auf Arbeitsrechnern, die auch nur für's Arbeiten genutzt werden, ist es doch völlig egal, ob der Arbeitgeber MITM spielen will oder nicht... also mal abgesehen von den Risiken, die er sich dadurch selbst ins Netz holt.



    1 mal bearbeitet, zuletzt am 23.02.15 13:34 durch matok.

  7. Re: Ich betreibe selber Interception Proxys...

    Autor: Iruwen 23.02.15 - 15:29

    matok schrieb:
    > Ich weiß wirklich nicht, wieso man Firmenrechner oder das Firmennetz
    > überhaupt für private Dinge nutzen muss.

    Weil ein Verbot der privaten Nutzung ohnehin keinen interessiert und man durch solche Regelungen eher das Gegenteil des gewünschten Effekts erzielt. Außerdem schätzen viele Mitarbeiter diese Möglichkeiten, die bei modernen Unternehmen ohnehin eher Regel als Ausnahme sind. Mit vernünftigen Maßnahmen die nicht als Gängelung empfunden werden und Aufklärung erreicht man mehr als mit übermäßig restriktiven Policys die letztlich ohnehin keine hundertprozentige Sicherheit schaffen können.

  8. Re: Ich betreibe selber Interception Proxys...

    Autor: derPhiL 23.02.15 - 16:47

    Ich wuerde nicht in einer Firma arbeiten bei der ich nichtmal eben golem checken koennte wenn ich wieder die Ladeuhr sehe. Und surfen gehoert zum Teil auch zum Arbeiten, man muss ja (je nach Job) Loesung erarbeiten, dazu gehoert googlen.

  9. Re: Ich betreibe selber Interception Proxys...

    Autor: fuzzy 23.02.15 - 17:08

    mawa schrieb:
    --------------------------------------------------------------------------------
    > Maleware Vermeidung

    Männer-Diskriminierung! ;)


    In Firmennetzwerken ist das prinzipiell erst mal i.O. – allerdings muss das Root-Zertifikat gut geschützt sein. Denn sonst hat z.B. ein Phisher leichtes Spiel. Dank „korrekt“ signierter Software kann er den Leuten fast alles unterjubeln.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  10. Re: Ich betreibe selber Interception Proxys...

    Autor: fuzzy 23.02.15 - 17:10

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Aber alles was ich bisher näher untersucht hab (z.b. avast)
    > hebelt beispielsweise Key Pinning komplett aus.

    Wie geht denn das? Key Pinning soll doch genau gegen solche Attacken schützen.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Chief Information Officer - CIO (m/w/d)
    CONITAS GmbH, Karlsruhe
  2. DevOps Engineer eHealth / Patientenportal (m/w/d)
    Helios IT Service GmbH, Berlin-Buch
  3. Mitarbeiter für Konzeption und Qualitätssicherung (m/w/d Abteilung Warenwirtschaft
    ADG Apotheken-Dienstleistungsgesellschaft mbH, Mannheim
  4. Anwendungsexperte (w/m/d) Dokumentenmanagement
    BEITEN BURKHARDT Rechtsanwaltsgesellschaft mbH, verschiedene Standorte

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. iPad Pro 12,9 Zoll (4. Generation, 2020) Wi-Fi 128GB für 1.049€, MacBook Air M113,3 Zoll...
  2. (u. a. Seagate Expansion+ Portable Festplatte 4TB für 89,90€, LG OLED65BX9LB 65 Zoll OLED (2020...
  3. (u. a. AMD Ryzen 7 5800X für 350,91€, Xiaomi Mi Curved Gaming Monitor 34 Zoll 21:9 UWQHD 144Hz...
  4. (u. a. Digitus Universal Single Monitorhalter für 14,99€, Fractal Design Define S2 White Tower...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dragonbox-Pyra-Macher im Interview: Die Linux-Spielekonsole aus Deutschland
Dragonbox-Pyra-Macher im Interview
Die Linux-Spielekonsole aus Deutschland

Mit viel Verspätung ist die Dragonbox Pyra erschienen. Entwickler Michael Mrozek musste ganz schön kämpfen, damit es überhaupt dazu kam. Wir haben ihn in Ingolstadt zum Gespräch getroffen.
Ein Interview von Martin Wolf


    Kia EV6: Überzeugender Angriff auf die elektrische Luxusklasse
    Kia EV6
    Überzeugender Angriff auf die elektrische Luxusklasse

    Mit einer 800-Volt-Architektur und Ladeleistungen von bis zu 250 kW fordert Kias neues Elektroauto EV6 nicht nur Tesla heraus.
    Ein Hands-on von Franz W. Rother

    1. Elektroauto Der EV6 von Kia kommt im Herbst auf den Markt
    2. Elektroauto Kia zeigt unverhüllte Fotos des EV6
    3. Elektroauto Kia veröffentlicht erste Bilder des EV6

    Army of the Dead: Tote Pixel schocken Zuschauer mehr als blutrünstige Zombies
    Army of the Dead
    Tote Pixel schocken Zuschauer mehr als blutrünstige Zombies

    Army of the Dead bei Netflix zeigt Zombies und Gewalt. Viele Zuschauer erschrecken jedoch viel mehr wegen toter Pixel auf ihrem Fernseher.
    Ein Bericht von Daniel Pook

    1. Merchandise Netflix eröffnet Fanklamotten-Onlineshop
    2. eBPF Netflix verfolgt TCP-Fluss fast in Echtzeit
    3. Urteil rechtskräftig Netflix darf Preise nicht beliebig erhöhen