Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS-Interception: Sophos-Firewall…

Wie erkenne ich solche MITM-Attacken als User

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Wie erkenne ich solche MITM-Attacken als User

    Autor: peter.kleibert 21.04.17 - 15:34

    Hallo zusammen,

    Habe mich schon einige Male gefragt, wie ich so ein Szenario erkennen kann. Konkret geht es mir darum ob mein Arbeitgeber meine Besuche auf HTTPS-Seiten mitlesen kann. Meine Firma setzt eine Proxy ein. Gehe ich richtig in der Annahme, dass ich bei einem MITM-Szenario durch den Arbeitgeber bei den Zertifikatinformationen im Browser immer die gleichen Infos sehen müsste (dann würde ich ja immer immer mit einem gleichen Pseudo-Zertifikat surfen, das extra für den Proxy ausgegeben wurde).

    Wenn ich jedoch z.B. Google nutze, dann sehe ich Google als Zertifikataussteller, bzw. bei Golem sehe ich ein GeoTrust-Zertifikat. Heisst das, das mit grosser Wahrscheinlichkeit sicher unterwegs bin?

  2. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: 486dx4-160 21.04.17 - 16:04

    peter.kleibert schrieb:
    --------------------------------------------------------------------------------
    > Hallo zusammen,
    >
    > Habe mich schon einige Male gefragt, wie ich so ein Szenario erkennen kann.
    > Konkret geht es mir darum ob mein Arbeitgeber meine Besuche auf
    > HTTPS-Seiten mitlesen kann. Meine Firma setzt eine Proxy ein. Gehe ich
    > richtig in der Annahme, dass ich bei einem MITM-Szenario durch den
    > Arbeitgeber bei den Zertifikatinformationen im Browser immer die gleichen
    > Infos sehen müsste (dann würde ich ja immer immer mit einem gleichen
    > Pseudo-Zertifikat surfen, das extra für den Proxy ausgegeben wurde).
    >
    > Wenn ich jedoch z.B. Google nutze, dann sehe ich Google als
    > Zertifikataussteller, bzw. bei Golem sehe ich ein GeoTrust-Zertifikat.
    > Heisst das, das mit grosser Wahrscheinlichkeit sicher unterwegs bin?

    Korrekt.

  3. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: masel99 21.04.17 - 17:24

    Prüfst du bei jedem Besuch einer Seite die Zertifikate? Wenn nicht, dann bist du nicht sicher unterwegs, dein Arbeitgeber könnte jederzeit eine Einstellung aktivieren die die Zertifikate (für bestimmte Seiten) austauscht.

    Normalerweise gibt es dafür Public Key Pinning Extension for HTTP (HPKP), das verwendet aber kaum einer (auch golem.de nicht) da es mit ein etwas Aufwand verbunden ist und man damit auch die Seite unbrauchbar machen kann. Die Browser (Chrome/Firefox) prüfen das auch kaum und selbst wenn, wird das teils von einem installierten Root-Zertifikat ausgehebelt.

    In Firefox wäre dazu in about:config die Einstellungen

    security.cert_pinning.enforcement_level 2

    notwendig.

    Aktuelle Browser verwenden zusätzlich vorgeladene Listen von populären Domains (statisches pinning) die aber ggf. auch wieder von einem installierten Root-Zertifikat ausgehebelt werden kann.

    Es gab noch Addons die Zertifikatsänderungen mitteilen aber die sind imho nicht mehr aktuell.

  4. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: JensM 21.04.17 - 23:46

    masel99 schrieb:
    --------------------------------------------------------------------------------
    > Prüfst du bei jedem Besuch einer Seite die Zertifikate? Wenn nicht, dann
    > bist du nicht sicher unterwegs, dein Arbeitgeber könnte jederzeit eine
    > Einstellung aktivieren die die Zertifikate (für bestimmte Seiten)
    > austauscht.

    So einfach ist das nicht. Ein Proxy kann auch nicht einfach andere Zertifikate vergeben ohne, dass der Browser meckert. Es kommt weniger auf die Netzwerkstruktur an sondern darauf, wie der Rechner, von dem Du sitzt, konfiguriert ist.

    Damit das zitierte Szenario geht, müsste der Browser mit einem extra Rootzertifikat gespickt sein oder ein Admin die Möglichkeit haben, dieses auszurollen.

    Wenn Du die Kontrolle über den Rechner hast und nachschauen kannst, welche Rootzertifikate installiert sind und auch verhindern kannst, dass Dir einfach welche von Admins reingeschoben werden können, bist Du gegen diesen Proxyangriff immun. Dann kommen Zertifikatswarnungen wenn der Proxy intercepted.

    Wenn Du natürlich einen fremdkonfigurierbaren Rechner verwendest, gilt das vom Vorposter natürlich voll und ganz.

  5. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: peter.kleibert 22.04.17 - 19:20

    Vielen Dank für die Informativen Beiträge!

  6. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: shertz 23.04.17 - 08:56

    masel99 schrieb:
    --------------------------------------------------------------------------------
    > Normalerweise gibt es dafür Public Key Pinning Extension for HTTP (HPKP),
    > das verwendet aber kaum einer (auch golem.de nicht) da es mit ein etwas
    > Aufwand verbunden ist und man damit auch die Seite unbrauchbar machen kann.
    > Die Browser (Chrome/Firefox) prüfen das auch kaum und selbst wenn, wird das
    > teils von einem installierten Root-Zertifikat ausgehebelt.

    Basiert HPKP nicht auf Tofu (Trust on first use), damit kannst du dich im Unternehmen in trügerischer Sicherheit wähnen, denn du wirst nicht gelegentlich interceptet sondern jedes mal - auch beim ersten Besuch.

  7. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: My1 24.04.17 - 09:23

    shertz schrieb:
    --------------------------------------------------------------------------------
    > Basiert HPKP nicht auf Tofu (Trust on first use), damit kannst du dich im
    > Unternehmen in trügerischer Sicherheit wähnen, denn du wirst nicht
    > gelegentlich interceptet sondern jedes mal - auch beim ersten Besuch.

    exakt da ist das Problem bei HPKP, was es bei DNSSec mit TLSA nicht gibt. und auch TLSA kann man so konfigurieren dass der Browser die Kette checkt. (was die meisten browser mangels DNSSec/TLSA Support sowieso tun)

    Asperger inside(tm)

  8. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: MW_0815 24.04.17 - 12:37

    Gegenfrage:
    Aber ist es denn nicht auch so - aus AG bzw. IT-Sicht - dass das Aufbrechen von HTTPS-Traffic mittlerweile ein notwendiges Übel ist?
    Wie will man z.B. sonst Files nach Schadcode überprüfen ohne dass dieser erst am Client aufschlägt, oder wie man seine Pflicht bzgl. Jugendschutz bei minderjährigen (Azuszbildender, Praktikanten) nachkommen... usw. usw.?!
    Und für alles was im erweiterten mit Banking zu tun hat, oder Client-Zertifikate benötigt schaltet man´s ab?!

  9. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: shertz 24.04.17 - 12:47

    Meiner Meinung nach ja. Ich arbeite in der IT einer Firma die das macht und das Herunterladen jeglicher Form von ausführbaren Inhalten (exe, dll, vbs, ...) unterbindet (es gibt für die Mitarbeiter auch keinen Grund dafür). Das ist wirklich effektiv im Gegensatz zum reinen Scannen von Traffic auf Schadcode. Zudem wird der ZTugriff auf Cloud-Storage wie Dropbox unterbunden, sonst kann man sich die Port-Security für USB und Co ja auch schenken.

  10. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: My1 24.04.17 - 12:55

    MW_0815 schrieb:
    --------------------------------------------------------------------------------
    > Gegenfrage:
    > Aber ist es denn nicht auch so - aus AG bzw. IT-Sicht - dass das Aufbrechen
    > von HTTPS-Traffic mittlerweile ein notwendiges Übel ist?
    > Wie will man z.B. sonst Files nach Schadcode überprüfen ohne dass dieser
    > erst am Client aufschlägt, oder wie man seine Pflicht bzgl. Jugendschutz
    > bei minderjährigen (Azuszbildender, Praktikanten) nachkommen... usw.
    > usw.?!

    vielleicht in dem man das aufm Computer Laufen lässt und nicht aufm Proxy? der Kann ja ne eingehende exe oder was weiß ich immer noch grillen. und dazu bietet HTTPS dank SNI den zieldomainnamen und dazu steht der auch im Cert. das heißt man muss zumindest für ne Blackliste welche seiten böse nicht, nicht HTTPS aufbrechen.

    Asperger inside(tm)

  11. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: shertz 24.04.17 - 13:09

    Wo ist da, außer der schlechteren Managebarkeit da der Unterschied?

  12. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: My1 24.04.17 - 13:16

    dass bspw wenn der proxy nur die domains und certs anschaut, keine allzu geheimen daten, bspw Passwort in den Proxy gehen.

    Asperger inside(tm)

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Hager Electro GmbH & Co. KG, Schalksmühle / Ottfingen
  2. Deutscher Genossenschafts-Verlag eG, Wiesbaden
  3. afb Application Services AG, München
  4. T-Systems International GmbH, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 239,00€
  2. ab 192,90€ bei Alternate gelistet
  3. ab 649,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
OWASP Top 10
Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
  1. Malware Schadsoftware bei 1.200 Holiday-Inn- und Crowne-Plaza-Hotels
  2. Zero Day Exploit Magento-Onlineshops sind wieder gefährdet
  3. Staatstrojaner Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

Creators Update: Game Mode macht Spiele runder und Windows 10 ruckelig
Creators Update
Game Mode macht Spiele runder und Windows 10 ruckelig
  1. Microsoft Zwei große Updates pro Jahr für Windows 10
  2. Windows 10 Version 17xx-2 Stromsparmodus kommt für die nächste Windows-Version
  3. Windows as a Service Die erste Windows-10-Version hat noch drei Wochen Support

Linux auf dem Switch: Freiheit kann ganz schön kompliziert sein!
Linux auf dem Switch
Freiheit kann ganz schön kompliziert sein!
  1. Digital Ocean Cloud-Hoster löscht versehentlich Primärdatenbank
  2. Google Cloud Platform für weitere Microsoft-Produkte angepasst
  3. Marktforschung Cloud-Geschäft wächst rasant, Amazon dominiert den Markt

  1. Daimler: Stromspeicher mit Mercedes-Stern für Sonnenenergie
    Daimler
    Stromspeicher mit Mercedes-Stern für Sonnenenergie

    Daimler hat die ersten Mercedes-Benz-Energiespeicher für Privathaushalte ausgeliefert. Die Speicher für Photovoltaikanlagen ermöglichen es, den erzeugten Strom selbst zu nutzen anstatt ihn ins Stromnetz einzuspeisen.

  2. Spielentwickler: Männlich, 34 Jahre alt und unterbezahlt
    Spielentwickler
    Männlich, 34 Jahre alt und unterbezahlt

    Quo Vadis 17 Der typische Spielentwickler ist 34 Jahre alt, kinderlos und hat einen Universitätsabschluss: Kate Edwards vom Verband IDGA hat aktuelle Zahlen über einen begehrten Beruf bekanntgegeben.

  3. Kontrollzentrum: Drei Finger und das iPhone stürzt ab
    Kontrollzentrum
    Drei Finger und das iPhone stürzt ab

    Das iOS-Kontrollzentrum kann bei falscher Bedienung das iPhone oder iPad zum Absturz bringen. Eine Geste mit drei Fingern reicht dazu aus. Dann hilft oft nur noch ein Neustart.


  1. 08:04

  2. 07:55

  3. 07:37

  4. 07:28

  5. 07:00

  6. 19:00

  7. 18:44

  8. 18:14