Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Privdog: Software hebelt HTTPS…

Ich betreibe selber Interception Proxys...

  1. Thema

Neues Thema Ansicht wechseln


  1. Ich betreibe selber Interception Proxys...

    Autor: mawa 23.02.15 - 11:26

    ... bei Firmenkunden.
    Das CA - Zertifikat wird per GPO ausgerollt und den Mitarbeitern ist die private Nutzung von Netzwerk und Internet per Betriebsvereinbarung untersagt. Das Ziel ist hier cachen, Werbung entfernen, AV - Scann, Maleware Vermeidung, unterbinden von Driveby -Angriffen und erkennen von SchadsoftwareKommunikation über HTTPS.

    Wenn der BR gut verhandelt hat, gibt es noch ein Mitarbeiter-WLAN mit einem Mbit Internet und ohne Interception.

  2. Re: Ich betreibe selber Interception Proxys...

    Autor: frederik10k 23.02.15 - 11:44

    Ist ja an und für sich okay.

    Cachen, Werbung entfernen, AV - Scann, Maleware Vermeidung, unterbinden von Driveby-Angriffen und erkennen von Schadsoftware-Kommunikation hört sich sogar voll toll an. Für einen solchen Dienst könnte man als Kunde ja fast schon gerne bezahlen.

    Generiert dabei aber einen weiteren Angriffs-Vector. So muss eure komplette Infrastruktur -mindestens- so sicher sein wie die originale Verbindung zwischen Client und Netz. Jeder technisch versierte Praktikant mit Zugang zum firmeninternen Netz ist potentiell in der Lage fiesen Unfug zu treiben.

    IMHO

  3. Re: Ich betreibe selber Interception Proxys...

    Autor: chrulri 23.02.15 - 12:18

    Mit dem Unterschied, dass der private Schlüssel des Zertifikats beim Proxyserver liegt und nicht auf jeder Workstation verteilt ist, wie es bei der Software im Artikel der Fall ist.

    Wenn der Proxy dann auch nicht noch die gleichen Fehler macht sondern ungültige/self-signed Zertifikate blockt, dann grenzt man den Angriffsvektor schon sehr stark ein.

    Problem Superfish:
    - Privatschlüssel überall gleich

    Problem Privdog:
    - Schwache Schlüssel
    - Akzeptiert jeglichen Schwachsinn

  4. Re: Ich betreibe selber Interception Proxys...

    Autor: Vanger 23.02.15 - 12:46

    Wenn das richtig implementiert ist, ist sowas in Firmennetzwerken imho schon hinnehmbar, wenn auch nich schön. Du musst dir aber die Frage stellen ob die Implementierung in Ordnung ist. Welche Technologie verwendet ihr denn? Wisst ihr, dass die sicher ist? Ist sie Open Source, dass ihr das auch überprüfen könnt? Das ist immerhin eine extrem sicherheitskritische Komponente!

    Ich denke nicht, dass das Thema derart hochgekocht wäre wenn diese ganze Adware das wenigstens sauber implementieren würde: Zertifikate müssen weiterhin richtig geprüft werden und keine ungültigen Zertifikate plötzlich doch aktzeptiert werden, die verwendeten Zertifikate dürfen nicht schwach sein, die Schlüssel müssen wirksam gesichert sein und jede Installation muss ihre eigenen Zertifikate generieren. Das ist Grundvoraussetzung um überhaupt über den Einsatz von solcher Software diskutieren zu können.

    Scheinbar gibt es nur Technologien die in dieser Betrüger-Szene entwickelt wurden - wie will man da auf eine gute Implementierung vertrauen?

  5. Re: Ich betreibe selber Interception Proxys...

    Autor: hannob (golem.de) 23.02.15 - 13:19

    Ich hab mir ein paar dieser Dinger angeschaut und noch keine gesehen die wirklich sicher implementiert ist. Nur wenige sind so schlimm wie Superfish und Privdog. Aber alles was ich bisher näher untersucht hab (z.b. avast) hebelt beispielsweise Key Pinning komplett aus.

    Ich halte diesen ganzen Ansatz für hochgradig gefährlich. Man-in-the-Middle-Angriffe sind Angriffe auf Verschlüsselungstechnologien. Das ist keine legitime Technologie um irgendwas zu implementieren. Ich finde das ziemlich problematisch dass das so verbreitet ist und finde sämtliche Begründungen dafür ziemlich haarig.

  6. Re: Ich betreibe selber Interception Proxys...

    Autor: matok 23.02.15 - 13:31

    mawa schrieb:
    --------------------------------------------------------------------------------
    > Wenn der BR gut verhandelt hat, gibt es noch ein Mitarbeiter-WLAN mit einem
    > Mbit Internet und ohne Interception.

    Ich weiß wirklich nicht, wieso man Firmenrechner oder das Firmennetz überhaupt für private Dinge nutzen muss. Wohnen solche Mitarbeiter in der Firma oder können sie sich keinen Datentarif für ihr Smartphone leisten? Und auf Arbeitsrechnern, die auch nur für's Arbeiten genutzt werden, ist es doch völlig egal, ob der Arbeitgeber MITM spielen will oder nicht... also mal abgesehen von den Risiken, die er sich dadurch selbst ins Netz holt.



    1 mal bearbeitet, zuletzt am 23.02.15 13:34 durch matok.

  7. Re: Ich betreibe selber Interception Proxys...

    Autor: Iruwen 23.02.15 - 15:29

    matok schrieb:
    > Ich weiß wirklich nicht, wieso man Firmenrechner oder das Firmennetz
    > überhaupt für private Dinge nutzen muss.

    Weil ein Verbot der privaten Nutzung ohnehin keinen interessiert und man durch solche Regelungen eher das Gegenteil des gewünschten Effekts erzielt. Außerdem schätzen viele Mitarbeiter diese Möglichkeiten, die bei modernen Unternehmen ohnehin eher Regel als Ausnahme sind. Mit vernünftigen Maßnahmen die nicht als Gängelung empfunden werden und Aufklärung erreicht man mehr als mit übermäßig restriktiven Policys die letztlich ohnehin keine hundertprozentige Sicherheit schaffen können.

  8. Re: Ich betreibe selber Interception Proxys...

    Autor: derPhiL 23.02.15 - 16:47

    Ich wuerde nicht in einer Firma arbeiten bei der ich nichtmal eben golem checken koennte wenn ich wieder die Ladeuhr sehe. Und surfen gehoert zum Teil auch zum Arbeiten, man muss ja (je nach Job) Loesung erarbeiten, dazu gehoert googlen.

  9. Re: Ich betreibe selber Interception Proxys...

    Autor: fuzzy 23.02.15 - 17:08

    mawa schrieb:
    --------------------------------------------------------------------------------
    > Maleware Vermeidung

    Männer-Diskriminierung! ;)


    In Firmennetzwerken ist das prinzipiell erst mal i.O. – allerdings muss das Root-Zertifikat gut geschützt sein. Denn sonst hat z.B. ein Phisher leichtes Spiel. Dank „korrekt“ signierter Software kann er den Leuten fast alles unterjubeln.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  10. Re: Ich betreibe selber Interception Proxys...

    Autor: fuzzy 23.02.15 - 17:10

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Aber alles was ich bisher näher untersucht hab (z.b. avast)
    > hebelt beispielsweise Key Pinning komplett aus.

    Wie geht denn das? Key Pinning soll doch genau gegen solche Attacken schützen.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DATAGROUP Köln GmbH, Köln
  2. Hornbach-Baumarkt-AG, Bornheim (Pfalz)
  3. GK Software SE, Schöneck/Vogtland, Sankt Ingbert
  4. IFS Deutschland GmbH & Co. KG, Erlangen, Neuss oder Home-Office

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Vision 5 und Epos 2 im Hands on: Tolinos neue E-Book-Reader-Oberklasse ist gelungen
Vision 5 und Epos 2 im Hands on
Tolinos neue E-Book-Reader-Oberklasse ist gelungen

Die Tolino-Allianz bringt zwei neue E-Book-Reader der Oberklasse auf den Markt. Der Vision 5 hat ein 7 Zoll großes Display, beim besonders dünnen Epos 2 ist es ein 8-Zoll-Display. Es gibt typische Oberklasse-Ausstattung - und noch etwas mehr.
Ein Hands on von Ingo Pakalski

  1. Tolino Page 2 Günstiger E-Book-Reader erhält Displaybeleuchtung

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

  1. Epic Games: Fans frustriert über mehr Grind in Fortnite
    Epic Games
    Fans frustriert über mehr Grind in Fortnite

    Nach dem Start des zweiten Kapitels von Fortnite gibt es Frust in der Community: Es ist nun noch mehr Zeitaufwand oder Geld nötig, um alle Stufen des Battle Pass freizuschalten - und dabei wirbt Epic Games mit "Mehr Spaß, weniger Grinden".

  2. FTTC: Telekom-Vectoring für rund 82.000 Haushalte
    FTTC
    Telekom-Vectoring für rund 82.000 Haushalte

    Die Telekom hat erneut viele Haushalte mit FTTC (Fiber To The Curb) versorgt. Die Ausbaugebiete für das einfache Vectoring sind weit über Deutschland verstreut.

  3. Hamburg: Bundesrat soll gegen gewollte Obsoleszenz vorgehen
    Hamburg
    Bundesrat soll gegen gewollte Obsoleszenz vorgehen

    Auf Kosten der Verbraucher und der Umwelt würden Geräte so gebaut, dass sie nicht lange hielten und nicht repariert werden könnten, kritisiert der Hamburger Justizsenator. Der Bundesrat soll geplante Obsoleszenz erschweren.


  1. 16:54

  2. 16:39

  3. 15:47

  4. 15:00

  5. 13:27

  6. 12:55

  7. 12:40

  8. 12:03