Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS-Interception: Sophos-Firewall…

Wie erkenne ich solche MITM-Attacken als User

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Wie erkenne ich solche MITM-Attacken als User

    Autor: peter.kleibert 21.04.17 - 15:34

    Hallo zusammen,

    Habe mich schon einige Male gefragt, wie ich so ein Szenario erkennen kann. Konkret geht es mir darum ob mein Arbeitgeber meine Besuche auf HTTPS-Seiten mitlesen kann. Meine Firma setzt eine Proxy ein. Gehe ich richtig in der Annahme, dass ich bei einem MITM-Szenario durch den Arbeitgeber bei den Zertifikatinformationen im Browser immer die gleichen Infos sehen müsste (dann würde ich ja immer immer mit einem gleichen Pseudo-Zertifikat surfen, das extra für den Proxy ausgegeben wurde).

    Wenn ich jedoch z.B. Google nutze, dann sehe ich Google als Zertifikataussteller, bzw. bei Golem sehe ich ein GeoTrust-Zertifikat. Heisst das, das mit grosser Wahrscheinlichkeit sicher unterwegs bin?

  2. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: 486dx4-160 21.04.17 - 16:04

    peter.kleibert schrieb:
    --------------------------------------------------------------------------------
    > Hallo zusammen,
    >
    > Habe mich schon einige Male gefragt, wie ich so ein Szenario erkennen kann.
    > Konkret geht es mir darum ob mein Arbeitgeber meine Besuche auf
    > HTTPS-Seiten mitlesen kann. Meine Firma setzt eine Proxy ein. Gehe ich
    > richtig in der Annahme, dass ich bei einem MITM-Szenario durch den
    > Arbeitgeber bei den Zertifikatinformationen im Browser immer die gleichen
    > Infos sehen müsste (dann würde ich ja immer immer mit einem gleichen
    > Pseudo-Zertifikat surfen, das extra für den Proxy ausgegeben wurde).
    >
    > Wenn ich jedoch z.B. Google nutze, dann sehe ich Google als
    > Zertifikataussteller, bzw. bei Golem sehe ich ein GeoTrust-Zertifikat.
    > Heisst das, das mit grosser Wahrscheinlichkeit sicher unterwegs bin?

    Korrekt.

  3. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: masel99 21.04.17 - 17:24

    Prüfst du bei jedem Besuch einer Seite die Zertifikate? Wenn nicht, dann bist du nicht sicher unterwegs, dein Arbeitgeber könnte jederzeit eine Einstellung aktivieren die die Zertifikate (für bestimmte Seiten) austauscht.

    Normalerweise gibt es dafür Public Key Pinning Extension for HTTP (HPKP), das verwendet aber kaum einer (auch golem.de nicht) da es mit ein etwas Aufwand verbunden ist und man damit auch die Seite unbrauchbar machen kann. Die Browser (Chrome/Firefox) prüfen das auch kaum und selbst wenn, wird das teils von einem installierten Root-Zertifikat ausgehebelt.

    In Firefox wäre dazu in about:config die Einstellungen

    security.cert_pinning.enforcement_level 2

    notwendig.

    Aktuelle Browser verwenden zusätzlich vorgeladene Listen von populären Domains (statisches pinning) die aber ggf. auch wieder von einem installierten Root-Zertifikat ausgehebelt werden kann.

    Es gab noch Addons die Zertifikatsänderungen mitteilen aber die sind imho nicht mehr aktuell.

  4. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: JensM 21.04.17 - 23:46

    masel99 schrieb:
    --------------------------------------------------------------------------------
    > Prüfst du bei jedem Besuch einer Seite die Zertifikate? Wenn nicht, dann
    > bist du nicht sicher unterwegs, dein Arbeitgeber könnte jederzeit eine
    > Einstellung aktivieren die die Zertifikate (für bestimmte Seiten)
    > austauscht.

    So einfach ist das nicht. Ein Proxy kann auch nicht einfach andere Zertifikate vergeben ohne, dass der Browser meckert. Es kommt weniger auf die Netzwerkstruktur an sondern darauf, wie der Rechner, von dem Du sitzt, konfiguriert ist.

    Damit das zitierte Szenario geht, müsste der Browser mit einem extra Rootzertifikat gespickt sein oder ein Admin die Möglichkeit haben, dieses auszurollen.

    Wenn Du die Kontrolle über den Rechner hast und nachschauen kannst, welche Rootzertifikate installiert sind und auch verhindern kannst, dass Dir einfach welche von Admins reingeschoben werden können, bist Du gegen diesen Proxyangriff immun. Dann kommen Zertifikatswarnungen wenn der Proxy intercepted.

    Wenn Du natürlich einen fremdkonfigurierbaren Rechner verwendest, gilt das vom Vorposter natürlich voll und ganz.

  5. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: peter.kleibert 22.04.17 - 19:20

    Vielen Dank für die Informativen Beiträge!

  6. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: shertz 23.04.17 - 08:56

    masel99 schrieb:
    --------------------------------------------------------------------------------
    > Normalerweise gibt es dafür Public Key Pinning Extension for HTTP (HPKP),
    > das verwendet aber kaum einer (auch golem.de nicht) da es mit ein etwas
    > Aufwand verbunden ist und man damit auch die Seite unbrauchbar machen kann.
    > Die Browser (Chrome/Firefox) prüfen das auch kaum und selbst wenn, wird das
    > teils von einem installierten Root-Zertifikat ausgehebelt.

    Basiert HPKP nicht auf Tofu (Trust on first use), damit kannst du dich im Unternehmen in trügerischer Sicherheit wähnen, denn du wirst nicht gelegentlich interceptet sondern jedes mal - auch beim ersten Besuch.

  7. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: My1 24.04.17 - 09:23

    shertz schrieb:
    --------------------------------------------------------------------------------
    > Basiert HPKP nicht auf Tofu (Trust on first use), damit kannst du dich im
    > Unternehmen in trügerischer Sicherheit wähnen, denn du wirst nicht
    > gelegentlich interceptet sondern jedes mal - auch beim ersten Besuch.

    exakt da ist das Problem bei HPKP, was es bei DNSSec mit TLSA nicht gibt. und auch TLSA kann man so konfigurieren dass der Browser die Kette checkt. (was die meisten browser mangels DNSSec/TLSA Support sowieso tun)

    Asperger inside(tm)

  8. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: MW_0815 24.04.17 - 12:37

    Gegenfrage:
    Aber ist es denn nicht auch so - aus AG bzw. IT-Sicht - dass das Aufbrechen von HTTPS-Traffic mittlerweile ein notwendiges Übel ist?
    Wie will man z.B. sonst Files nach Schadcode überprüfen ohne dass dieser erst am Client aufschlägt, oder wie man seine Pflicht bzgl. Jugendschutz bei minderjährigen (Azuszbildender, Praktikanten) nachkommen... usw. usw.?!
    Und für alles was im erweiterten mit Banking zu tun hat, oder Client-Zertifikate benötigt schaltet man´s ab?!

  9. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: shertz 24.04.17 - 12:47

    Meiner Meinung nach ja. Ich arbeite in der IT einer Firma die das macht und das Herunterladen jeglicher Form von ausführbaren Inhalten (exe, dll, vbs, ...) unterbindet (es gibt für die Mitarbeiter auch keinen Grund dafür). Das ist wirklich effektiv im Gegensatz zum reinen Scannen von Traffic auf Schadcode. Zudem wird der ZTugriff auf Cloud-Storage wie Dropbox unterbunden, sonst kann man sich die Port-Security für USB und Co ja auch schenken.

  10. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: My1 24.04.17 - 12:55

    MW_0815 schrieb:
    --------------------------------------------------------------------------------
    > Gegenfrage:
    > Aber ist es denn nicht auch so - aus AG bzw. IT-Sicht - dass das Aufbrechen
    > von HTTPS-Traffic mittlerweile ein notwendiges Übel ist?
    > Wie will man z.B. sonst Files nach Schadcode überprüfen ohne dass dieser
    > erst am Client aufschlägt, oder wie man seine Pflicht bzgl. Jugendschutz
    > bei minderjährigen (Azuszbildender, Praktikanten) nachkommen... usw.
    > usw.?!

    vielleicht in dem man das aufm Computer Laufen lässt und nicht aufm Proxy? der Kann ja ne eingehende exe oder was weiß ich immer noch grillen. und dazu bietet HTTPS dank SNI den zieldomainnamen und dazu steht der auch im Cert. das heißt man muss zumindest für ne Blackliste welche seiten böse nicht, nicht HTTPS aufbrechen.

    Asperger inside(tm)

  11. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: shertz 24.04.17 - 13:09

    Wo ist da, außer der schlechteren Managebarkeit da der Unterschied?

  12. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: My1 24.04.17 - 13:16

    dass bspw wenn der proxy nur die domains und certs anschaut, keine allzu geheimen daten, bspw Passwort in den Proxy gehen.

    Asperger inside(tm)

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. Bechtle Onsite Services GmbH, Neckarsulm
  3. über Mentis International Human Resources GmbH, Nordbayern
  4. T-Systems International GmbH, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (alle Angebote versandkostenfrei, u. a. CoD: Infinite Warefare Legacy Edition 25,00€)
  2. 59,00€
  3. (alle Angebote versandkostenfrei, u. a. Yakuza Zero PS4 29€ und NHL 17 PS4/XBO 25€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

  1. Cortex-A75: ARM bringt CPU-Kern für Windows-10-Geräte
    Cortex-A75
    ARM bringt CPU-Kern für Windows-10-Geräte

    Computex 2017 Der Cortex-A75 ist für Automotive (FP16/INT8), für Smartphones, für VR-Headsets und für Windows-10-Geräte mit x86-Emulation gedacht. ARM hat hierzu die Architektur umgebaut, ohne den CPU-Kern dabei ineffizienter werden zu lassen.

  2. Cortex-A55: ARMs neuer kleiner Lieblingskern
    Cortex-A55
    ARMs neuer kleiner Lieblingskern

    Computex 2017 Der Cortex-A55 folgt auf den Cortex-A53, der in extrem vielen Smartphone-Chips eingesetzt wird. Dank neuer Architektur, höherer Effizienz und mehr Leistung soll der neue ARM-Kern im Netzwerk- und Storage-Segment stärker etabliert werden.

  3. Mali-G72: ARMs Grafikeinheit für Deep-Learning-Smartphones
    Mali-G72
    ARMs Grafikeinheit für Deep-Learning-Smartphones

    Computex 2017 Die Mali-G72 ist eine GPU für SoCs. Die Bifrost-Architektur von ARM enthält Verbesserungen für VR-Headsets und eine effizientere FP16-Berechnung für Inferencing auf dem Smartphone. Trotz wie gehabt 32 Kernen soll die Leistung um 40 Prozent steigen.


  1. 06:00

  2. 06:00

  3. 06:00

  4. 12:31

  5. 12:15

  6. 11:33

  7. 10:35

  8. 12:54