Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS-Interception: Sophos-Firewall…

Wie erkenne ich solche MITM-Attacken als User

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Wie erkenne ich solche MITM-Attacken als User

    Autor: peter.kleibert 21.04.17 - 15:34

    Hallo zusammen,

    Habe mich schon einige Male gefragt, wie ich so ein Szenario erkennen kann. Konkret geht es mir darum ob mein Arbeitgeber meine Besuche auf HTTPS-Seiten mitlesen kann. Meine Firma setzt eine Proxy ein. Gehe ich richtig in der Annahme, dass ich bei einem MITM-Szenario durch den Arbeitgeber bei den Zertifikatinformationen im Browser immer die gleichen Infos sehen müsste (dann würde ich ja immer immer mit einem gleichen Pseudo-Zertifikat surfen, das extra für den Proxy ausgegeben wurde).

    Wenn ich jedoch z.B. Google nutze, dann sehe ich Google als Zertifikataussteller, bzw. bei Golem sehe ich ein GeoTrust-Zertifikat. Heisst das, das mit grosser Wahrscheinlichkeit sicher unterwegs bin?

  2. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: 486dx4-160 21.04.17 - 16:04

    peter.kleibert schrieb:
    --------------------------------------------------------------------------------
    > Hallo zusammen,
    >
    > Habe mich schon einige Male gefragt, wie ich so ein Szenario erkennen kann.
    > Konkret geht es mir darum ob mein Arbeitgeber meine Besuche auf
    > HTTPS-Seiten mitlesen kann. Meine Firma setzt eine Proxy ein. Gehe ich
    > richtig in der Annahme, dass ich bei einem MITM-Szenario durch den
    > Arbeitgeber bei den Zertifikatinformationen im Browser immer die gleichen
    > Infos sehen müsste (dann würde ich ja immer immer mit einem gleichen
    > Pseudo-Zertifikat surfen, das extra für den Proxy ausgegeben wurde).
    >
    > Wenn ich jedoch z.B. Google nutze, dann sehe ich Google als
    > Zertifikataussteller, bzw. bei Golem sehe ich ein GeoTrust-Zertifikat.
    > Heisst das, das mit grosser Wahrscheinlichkeit sicher unterwegs bin?

    Korrekt.

  3. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: masel99 21.04.17 - 17:24

    Prüfst du bei jedem Besuch einer Seite die Zertifikate? Wenn nicht, dann bist du nicht sicher unterwegs, dein Arbeitgeber könnte jederzeit eine Einstellung aktivieren die die Zertifikate (für bestimmte Seiten) austauscht.

    Normalerweise gibt es dafür Public Key Pinning Extension for HTTP (HPKP), das verwendet aber kaum einer (auch golem.de nicht) da es mit ein etwas Aufwand verbunden ist und man damit auch die Seite unbrauchbar machen kann. Die Browser (Chrome/Firefox) prüfen das auch kaum und selbst wenn, wird das teils von einem installierten Root-Zertifikat ausgehebelt.

    In Firefox wäre dazu in about:config die Einstellungen

    security.cert_pinning.enforcement_level 2

    notwendig.

    Aktuelle Browser verwenden zusätzlich vorgeladene Listen von populären Domains (statisches pinning) die aber ggf. auch wieder von einem installierten Root-Zertifikat ausgehebelt werden kann.

    Es gab noch Addons die Zertifikatsänderungen mitteilen aber die sind imho nicht mehr aktuell.

  4. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: JensM 21.04.17 - 23:46

    masel99 schrieb:
    --------------------------------------------------------------------------------
    > Prüfst du bei jedem Besuch einer Seite die Zertifikate? Wenn nicht, dann
    > bist du nicht sicher unterwegs, dein Arbeitgeber könnte jederzeit eine
    > Einstellung aktivieren die die Zertifikate (für bestimmte Seiten)
    > austauscht.

    So einfach ist das nicht. Ein Proxy kann auch nicht einfach andere Zertifikate vergeben ohne, dass der Browser meckert. Es kommt weniger auf die Netzwerkstruktur an sondern darauf, wie der Rechner, von dem Du sitzt, konfiguriert ist.

    Damit das zitierte Szenario geht, müsste der Browser mit einem extra Rootzertifikat gespickt sein oder ein Admin die Möglichkeit haben, dieses auszurollen.

    Wenn Du die Kontrolle über den Rechner hast und nachschauen kannst, welche Rootzertifikate installiert sind und auch verhindern kannst, dass Dir einfach welche von Admins reingeschoben werden können, bist Du gegen diesen Proxyangriff immun. Dann kommen Zertifikatswarnungen wenn der Proxy intercepted.

    Wenn Du natürlich einen fremdkonfigurierbaren Rechner verwendest, gilt das vom Vorposter natürlich voll und ganz.

  5. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: peter.kleibert 22.04.17 - 19:20

    Vielen Dank für die Informativen Beiträge!

  6. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: shertz 23.04.17 - 08:56

    masel99 schrieb:
    --------------------------------------------------------------------------------
    > Normalerweise gibt es dafür Public Key Pinning Extension for HTTP (HPKP),
    > das verwendet aber kaum einer (auch golem.de nicht) da es mit ein etwas
    > Aufwand verbunden ist und man damit auch die Seite unbrauchbar machen kann.
    > Die Browser (Chrome/Firefox) prüfen das auch kaum und selbst wenn, wird das
    > teils von einem installierten Root-Zertifikat ausgehebelt.

    Basiert HPKP nicht auf Tofu (Trust on first use), damit kannst du dich im Unternehmen in trügerischer Sicherheit wähnen, denn du wirst nicht gelegentlich interceptet sondern jedes mal - auch beim ersten Besuch.

  7. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: My1 24.04.17 - 09:23

    shertz schrieb:
    --------------------------------------------------------------------------------
    > Basiert HPKP nicht auf Tofu (Trust on first use), damit kannst du dich im
    > Unternehmen in trügerischer Sicherheit wähnen, denn du wirst nicht
    > gelegentlich interceptet sondern jedes mal - auch beim ersten Besuch.

    exakt da ist das Problem bei HPKP, was es bei DNSSec mit TLSA nicht gibt. und auch TLSA kann man so konfigurieren dass der Browser die Kette checkt. (was die meisten browser mangels DNSSec/TLSA Support sowieso tun)

    Asperger inside(tm)

  8. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: MW_0815 24.04.17 - 12:37

    Gegenfrage:
    Aber ist es denn nicht auch so - aus AG bzw. IT-Sicht - dass das Aufbrechen von HTTPS-Traffic mittlerweile ein notwendiges Übel ist?
    Wie will man z.B. sonst Files nach Schadcode überprüfen ohne dass dieser erst am Client aufschlägt, oder wie man seine Pflicht bzgl. Jugendschutz bei minderjährigen (Azuszbildender, Praktikanten) nachkommen... usw. usw.?!
    Und für alles was im erweiterten mit Banking zu tun hat, oder Client-Zertifikate benötigt schaltet man´s ab?!

  9. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: shertz 24.04.17 - 12:47

    Meiner Meinung nach ja. Ich arbeite in der IT einer Firma die das macht und das Herunterladen jeglicher Form von ausführbaren Inhalten (exe, dll, vbs, ...) unterbindet (es gibt für die Mitarbeiter auch keinen Grund dafür). Das ist wirklich effektiv im Gegensatz zum reinen Scannen von Traffic auf Schadcode. Zudem wird der ZTugriff auf Cloud-Storage wie Dropbox unterbunden, sonst kann man sich die Port-Security für USB und Co ja auch schenken.

  10. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: My1 24.04.17 - 12:55

    MW_0815 schrieb:
    --------------------------------------------------------------------------------
    > Gegenfrage:
    > Aber ist es denn nicht auch so - aus AG bzw. IT-Sicht - dass das Aufbrechen
    > von HTTPS-Traffic mittlerweile ein notwendiges Übel ist?
    > Wie will man z.B. sonst Files nach Schadcode überprüfen ohne dass dieser
    > erst am Client aufschlägt, oder wie man seine Pflicht bzgl. Jugendschutz
    > bei minderjährigen (Azuszbildender, Praktikanten) nachkommen... usw.
    > usw.?!

    vielleicht in dem man das aufm Computer Laufen lässt und nicht aufm Proxy? der Kann ja ne eingehende exe oder was weiß ich immer noch grillen. und dazu bietet HTTPS dank SNI den zieldomainnamen und dazu steht der auch im Cert. das heißt man muss zumindest für ne Blackliste welche seiten böse nicht, nicht HTTPS aufbrechen.

    Asperger inside(tm)

  11. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: shertz 24.04.17 - 13:09

    Wo ist da, außer der schlechteren Managebarkeit da der Unterschied?

  12. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: My1 24.04.17 - 13:16

    dass bspw wenn der proxy nur die domains und certs anschaut, keine allzu geheimen daten, bspw Passwort in den Proxy gehen.

    Asperger inside(tm)

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. über Harvey Nash GmbH, Hamburg, Aschaffenburg, Wiesbaden
  2. ANDRITZ Kaiser GmbH, Bretten
  3. Fresenius Kabi Deutschland GmbH, Bad Homburg
  4. Habermaaß GmbH, Bad Rodach

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Shipito: Mit wenigen Mausklicks zur US-Postadresse
Shipito
Mit wenigen Mausklicks zur US-Postadresse
  1. Kartellamt Mundt kritisiert individuelle Preise im Onlinehandel
  2. Automatisierte Lagerhäuser Ein riesiger Nerd-Traum
  3. Onlineshopping Ebay bringt bedingte Tiefpreisgarantie nach Deutschland

Creoqode 2048 im Test: Wir programmieren die größte portable Spielkonsole der Welt
Creoqode 2048 im Test
Wir programmieren die größte portable Spielkonsole der Welt
  1. Arduino 101 Intel stellt auch das letzte Bastler-Board ein
  2. 1Sheeld für Arduino angetestet Sensor-Platine hat keine Sensoren und liefert doch Daten
  3. Calliope Mini im Test Neuland lernt programmieren

Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI

  1. Auch Hybridfahrzeuge betroffen: Großbritannien will Verbrenner ab 2040 verbieten
    Auch Hybridfahrzeuge betroffen
    Großbritannien will Verbrenner ab 2040 verbieten

    In Großbritannien sollen nach Zeitungsberichten ab 2040 keine Fahrzeuge mit Verbrennungsmotor neu zugelassen werden dürfen. So soll die Luftqualität erhöht werden. Auch Hybridfahrzeuge sind betroffen. Letztlich würden dann nur noch Elektrofahrzeuge erlaubt werden.

  2. KL AV Free: Kaspersky will Virenscanner verschenken
    KL AV Free
    Kaspersky will Virenscanner verschenken

    Kunden sollen lieber einen kostenfreien Virenscanner von Kaspersky benutzen, als Windows Defender oder eine andere Lösung - dieser Ansicht ist jedenfalls Eugene Kaspersky. Das Produkt soll im Oktober in Deutschland erscheinen, in den USA kämpft Kaspersky weiter mit politischem Druck.

  3. Roboterstaubsauger: Roomba saugt neben Staub auch Daten
    Roboterstaubsauger
    Roomba saugt neben Staub auch Daten

    Das Unternehmen iRobot baut Staubsaugerroboter, die beim Reinigen einen Raumplan der Wohnung erstellen. Diese Daten sollen nicht ungenutzt bleiben, meint das Unternehmen und will sie verkaufen.


  1. 10:30

  2. 10:18

  3. 09:58

  4. 09:12

  5. 07:10

  6. 21:02

  7. 18:42

  8. 15:46