Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Privdog: Software hebelt HTTPS…

Ich betreibe selber Interception Proxys...

  1. Thema

Neues Thema Ansicht wechseln


  1. Ich betreibe selber Interception Proxys...

    Autor: mawa 23.02.15 - 11:26

    ... bei Firmenkunden.
    Das CA - Zertifikat wird per GPO ausgerollt und den Mitarbeitern ist die private Nutzung von Netzwerk und Internet per Betriebsvereinbarung untersagt. Das Ziel ist hier cachen, Werbung entfernen, AV - Scann, Maleware Vermeidung, unterbinden von Driveby -Angriffen und erkennen von SchadsoftwareKommunikation über HTTPS.

    Wenn der BR gut verhandelt hat, gibt es noch ein Mitarbeiter-WLAN mit einem Mbit Internet und ohne Interception.

  2. Re: Ich betreibe selber Interception Proxys...

    Autor: frederik10k 23.02.15 - 11:44

    Ist ja an und für sich okay.

    Cachen, Werbung entfernen, AV - Scann, Maleware Vermeidung, unterbinden von Driveby-Angriffen und erkennen von Schadsoftware-Kommunikation hört sich sogar voll toll an. Für einen solchen Dienst könnte man als Kunde ja fast schon gerne bezahlen.

    Generiert dabei aber einen weiteren Angriffs-Vector. So muss eure komplette Infrastruktur -mindestens- so sicher sein wie die originale Verbindung zwischen Client und Netz. Jeder technisch versierte Praktikant mit Zugang zum firmeninternen Netz ist potentiell in der Lage fiesen Unfug zu treiben.

    IMHO

  3. Re: Ich betreibe selber Interception Proxys...

    Autor: chrulri 23.02.15 - 12:18

    Mit dem Unterschied, dass der private Schlüssel des Zertifikats beim Proxyserver liegt und nicht auf jeder Workstation verteilt ist, wie es bei der Software im Artikel der Fall ist.

    Wenn der Proxy dann auch nicht noch die gleichen Fehler macht sondern ungültige/self-signed Zertifikate blockt, dann grenzt man den Angriffsvektor schon sehr stark ein.

    Problem Superfish:
    - Privatschlüssel überall gleich

    Problem Privdog:
    - Schwache Schlüssel
    - Akzeptiert jeglichen Schwachsinn

  4. Re: Ich betreibe selber Interception Proxys...

    Autor: Vanger 23.02.15 - 12:46

    Wenn das richtig implementiert ist, ist sowas in Firmennetzwerken imho schon hinnehmbar, wenn auch nich schön. Du musst dir aber die Frage stellen ob die Implementierung in Ordnung ist. Welche Technologie verwendet ihr denn? Wisst ihr, dass die sicher ist? Ist sie Open Source, dass ihr das auch überprüfen könnt? Das ist immerhin eine extrem sicherheitskritische Komponente!

    Ich denke nicht, dass das Thema derart hochgekocht wäre wenn diese ganze Adware das wenigstens sauber implementieren würde: Zertifikate müssen weiterhin richtig geprüft werden und keine ungültigen Zertifikate plötzlich doch aktzeptiert werden, die verwendeten Zertifikate dürfen nicht schwach sein, die Schlüssel müssen wirksam gesichert sein und jede Installation muss ihre eigenen Zertifikate generieren. Das ist Grundvoraussetzung um überhaupt über den Einsatz von solcher Software diskutieren zu können.

    Scheinbar gibt es nur Technologien die in dieser Betrüger-Szene entwickelt wurden - wie will man da auf eine gute Implementierung vertrauen?

  5. Re: Ich betreibe selber Interception Proxys...

    Autor: hannob (golem.de) 23.02.15 - 13:19

    Ich hab mir ein paar dieser Dinger angeschaut und noch keine gesehen die wirklich sicher implementiert ist. Nur wenige sind so schlimm wie Superfish und Privdog. Aber alles was ich bisher näher untersucht hab (z.b. avast) hebelt beispielsweise Key Pinning komplett aus.

    Ich halte diesen ganzen Ansatz für hochgradig gefährlich. Man-in-the-Middle-Angriffe sind Angriffe auf Verschlüsselungstechnologien. Das ist keine legitime Technologie um irgendwas zu implementieren. Ich finde das ziemlich problematisch dass das so verbreitet ist und finde sämtliche Begründungen dafür ziemlich haarig.

  6. Re: Ich betreibe selber Interception Proxys...

    Autor: matok 23.02.15 - 13:31

    mawa schrieb:
    --------------------------------------------------------------------------------
    > Wenn der BR gut verhandelt hat, gibt es noch ein Mitarbeiter-WLAN mit einem
    > Mbit Internet und ohne Interception.

    Ich weiß wirklich nicht, wieso man Firmenrechner oder das Firmennetz überhaupt für private Dinge nutzen muss. Wohnen solche Mitarbeiter in der Firma oder können sie sich keinen Datentarif für ihr Smartphone leisten? Und auf Arbeitsrechnern, die auch nur für's Arbeiten genutzt werden, ist es doch völlig egal, ob der Arbeitgeber MITM spielen will oder nicht... also mal abgesehen von den Risiken, die er sich dadurch selbst ins Netz holt.



    1 mal bearbeitet, zuletzt am 23.02.15 13:34 durch matok.

  7. Re: Ich betreibe selber Interception Proxys...

    Autor: Iruwen 23.02.15 - 15:29

    matok schrieb:
    > Ich weiß wirklich nicht, wieso man Firmenrechner oder das Firmennetz
    > überhaupt für private Dinge nutzen muss.

    Weil ein Verbot der privaten Nutzung ohnehin keinen interessiert und man durch solche Regelungen eher das Gegenteil des gewünschten Effekts erzielt. Außerdem schätzen viele Mitarbeiter diese Möglichkeiten, die bei modernen Unternehmen ohnehin eher Regel als Ausnahme sind. Mit vernünftigen Maßnahmen die nicht als Gängelung empfunden werden und Aufklärung erreicht man mehr als mit übermäßig restriktiven Policys die letztlich ohnehin keine hundertprozentige Sicherheit schaffen können.

  8. Re: Ich betreibe selber Interception Proxys...

    Autor: derPhiL 23.02.15 - 16:47

    Ich wuerde nicht in einer Firma arbeiten bei der ich nichtmal eben golem checken koennte wenn ich wieder die Ladeuhr sehe. Und surfen gehoert zum Teil auch zum Arbeiten, man muss ja (je nach Job) Loesung erarbeiten, dazu gehoert googlen.

  9. Re: Ich betreibe selber Interception Proxys...

    Autor: fuzzy 23.02.15 - 17:08

    mawa schrieb:
    --------------------------------------------------------------------------------
    > Maleware Vermeidung

    Männer-Diskriminierung! ;)


    In Firmennetzwerken ist das prinzipiell erst mal i.O. – allerdings muss das Root-Zertifikat gut geschützt sein. Denn sonst hat z.B. ein Phisher leichtes Spiel. Dank „korrekt“ signierter Software kann er den Leuten fast alles unterjubeln.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  10. Re: Ich betreibe selber Interception Proxys...

    Autor: fuzzy 23.02.15 - 17:10

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Aber alles was ich bisher näher untersucht hab (z.b. avast)
    > hebelt beispielsweise Key Pinning komplett aus.

    Wie geht denn das? Key Pinning soll doch genau gegen solche Attacken schützen.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. we.CONECT Global Leaders GmbH, Berlin
  2. Dataport, verschiedene Standorte
  3. FREICON GmbH & Co. KG, Freiburg
  4. LEW Service & Consulting GmbH, Augsburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 299,00€
  2. täglich neue Deals bei Alternate.de
  3. 177,90€ + Versand (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

e.Go Life: Ein Auto, das lächelt
e.Go Life
Ein Auto, das lächelt

Das Auto ist zwar klein, bringt aber sogar gestandene Rennfahrer ins Schwärmen: Das Aachener Unternehmen e.Go Mobile hat seine ersten Elektroautos ausgeliefert. In einer Probefahrt erweist sich der Kleinwagen als sehr dynamisch.
Ein Bericht von Werner Pluta

  1. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
  2. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten
  3. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern

Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Autonomes Fahren US-Post testet Überlandfahrten ohne Fahrer
  2. Mercedes-Sicherheitsstudie Wenn das Warndreieck autonom aus dem Auto fährt
  3. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus

  1. US-Boykott: Deutsche Netzbetreiber bieten weiter Huawei-Smartphones an
    US-Boykott
    Deutsche Netzbetreiber bieten weiter Huawei-Smartphones an

    Während im Ausland Vorbestellungen schon ausgesetzt sind, bieten alle drei Mobilfunkbetreiber weiterhin Huawei-Smartphones an. Dabei stehen alle mit Google und Huawei in Kontakt.

  2. WLAN-Tracking: Ab Juli 2019 will Londons U-Bahn Smartphones verfolgen
    WLAN-Tracking
    Ab Juli 2019 will Londons U-Bahn Smartphones verfolgen

    Für bessere Statistiken geht Transport for London einen gewagten Schritt. Die Behörde wird alle angemeldeten Geräte anhand der MAC-Adresse verfolgen, um mit den so erhobenen Daten Fahrgastströme besser zu verstehen und etwa vor Überfüllungssituationen zu warnen.

  3. Android-Konsole: Razer kündigt endgültiges Ende von Ouya an
    Android-Konsole
    Razer kündigt endgültiges Ende von Ouya an

    Auf Kickstarter hat die Android-Konsole Ouya einst Millionen US-Dollar gesammelt, jetzt steht das unmittelbare Aus endgültig bevor: Razer schaltet die Server ab, auch Support wird es nicht mehr geben.


  1. 13:21

  2. 13:02

  3. 12:45

  4. 12:26

  5. 12:00

  6. 11:39

  7. 11:19

  8. 10:50