Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS-Interception: Sophos-Firewall…

Wie erkenne ich solche MITM-Attacken als User

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Wie erkenne ich solche MITM-Attacken als User

    Autor: peter.kleibert 21.04.17 - 15:34

    Hallo zusammen,

    Habe mich schon einige Male gefragt, wie ich so ein Szenario erkennen kann. Konkret geht es mir darum ob mein Arbeitgeber meine Besuche auf HTTPS-Seiten mitlesen kann. Meine Firma setzt eine Proxy ein. Gehe ich richtig in der Annahme, dass ich bei einem MITM-Szenario durch den Arbeitgeber bei den Zertifikatinformationen im Browser immer die gleichen Infos sehen müsste (dann würde ich ja immer immer mit einem gleichen Pseudo-Zertifikat surfen, das extra für den Proxy ausgegeben wurde).

    Wenn ich jedoch z.B. Google nutze, dann sehe ich Google als Zertifikataussteller, bzw. bei Golem sehe ich ein GeoTrust-Zertifikat. Heisst das, das mit grosser Wahrscheinlichkeit sicher unterwegs bin?

  2. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: 486dx4-160 21.04.17 - 16:04

    peter.kleibert schrieb:
    --------------------------------------------------------------------------------
    > Hallo zusammen,
    >
    > Habe mich schon einige Male gefragt, wie ich so ein Szenario erkennen kann.
    > Konkret geht es mir darum ob mein Arbeitgeber meine Besuche auf
    > HTTPS-Seiten mitlesen kann. Meine Firma setzt eine Proxy ein. Gehe ich
    > richtig in der Annahme, dass ich bei einem MITM-Szenario durch den
    > Arbeitgeber bei den Zertifikatinformationen im Browser immer die gleichen
    > Infos sehen müsste (dann würde ich ja immer immer mit einem gleichen
    > Pseudo-Zertifikat surfen, das extra für den Proxy ausgegeben wurde).
    >
    > Wenn ich jedoch z.B. Google nutze, dann sehe ich Google als
    > Zertifikataussteller, bzw. bei Golem sehe ich ein GeoTrust-Zertifikat.
    > Heisst das, das mit grosser Wahrscheinlichkeit sicher unterwegs bin?

    Korrekt.

  3. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: masel99 21.04.17 - 17:24

    Prüfst du bei jedem Besuch einer Seite die Zertifikate? Wenn nicht, dann bist du nicht sicher unterwegs, dein Arbeitgeber könnte jederzeit eine Einstellung aktivieren die die Zertifikate (für bestimmte Seiten) austauscht.

    Normalerweise gibt es dafür Public Key Pinning Extension for HTTP (HPKP), das verwendet aber kaum einer (auch golem.de nicht) da es mit ein etwas Aufwand verbunden ist und man damit auch die Seite unbrauchbar machen kann. Die Browser (Chrome/Firefox) prüfen das auch kaum und selbst wenn, wird das teils von einem installierten Root-Zertifikat ausgehebelt.

    In Firefox wäre dazu in about:config die Einstellungen

    security.cert_pinning.enforcement_level 2

    notwendig.

    Aktuelle Browser verwenden zusätzlich vorgeladene Listen von populären Domains (statisches pinning) die aber ggf. auch wieder von einem installierten Root-Zertifikat ausgehebelt werden kann.

    Es gab noch Addons die Zertifikatsänderungen mitteilen aber die sind imho nicht mehr aktuell.

  4. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: JensM 21.04.17 - 23:46

    masel99 schrieb:
    --------------------------------------------------------------------------------
    > Prüfst du bei jedem Besuch einer Seite die Zertifikate? Wenn nicht, dann
    > bist du nicht sicher unterwegs, dein Arbeitgeber könnte jederzeit eine
    > Einstellung aktivieren die die Zertifikate (für bestimmte Seiten)
    > austauscht.

    So einfach ist das nicht. Ein Proxy kann auch nicht einfach andere Zertifikate vergeben ohne, dass der Browser meckert. Es kommt weniger auf die Netzwerkstruktur an sondern darauf, wie der Rechner, von dem Du sitzt, konfiguriert ist.

    Damit das zitierte Szenario geht, müsste der Browser mit einem extra Rootzertifikat gespickt sein oder ein Admin die Möglichkeit haben, dieses auszurollen.

    Wenn Du die Kontrolle über den Rechner hast und nachschauen kannst, welche Rootzertifikate installiert sind und auch verhindern kannst, dass Dir einfach welche von Admins reingeschoben werden können, bist Du gegen diesen Proxyangriff immun. Dann kommen Zertifikatswarnungen wenn der Proxy intercepted.

    Wenn Du natürlich einen fremdkonfigurierbaren Rechner verwendest, gilt das vom Vorposter natürlich voll und ganz.

  5. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: peter.kleibert 22.04.17 - 19:20

    Vielen Dank für die Informativen Beiträge!

  6. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: shertz 23.04.17 - 08:56

    masel99 schrieb:
    --------------------------------------------------------------------------------
    > Normalerweise gibt es dafür Public Key Pinning Extension for HTTP (HPKP),
    > das verwendet aber kaum einer (auch golem.de nicht) da es mit ein etwas
    > Aufwand verbunden ist und man damit auch die Seite unbrauchbar machen kann.
    > Die Browser (Chrome/Firefox) prüfen das auch kaum und selbst wenn, wird das
    > teils von einem installierten Root-Zertifikat ausgehebelt.

    Basiert HPKP nicht auf Tofu (Trust on first use), damit kannst du dich im Unternehmen in trügerischer Sicherheit wähnen, denn du wirst nicht gelegentlich interceptet sondern jedes mal - auch beim ersten Besuch.

  7. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: My1 24.04.17 - 09:23

    shertz schrieb:
    --------------------------------------------------------------------------------
    > Basiert HPKP nicht auf Tofu (Trust on first use), damit kannst du dich im
    > Unternehmen in trügerischer Sicherheit wähnen, denn du wirst nicht
    > gelegentlich interceptet sondern jedes mal - auch beim ersten Besuch.

    exakt da ist das Problem bei HPKP, was es bei DNSSec mit TLSA nicht gibt. und auch TLSA kann man so konfigurieren dass der Browser die Kette checkt. (was die meisten browser mangels DNSSec/TLSA Support sowieso tun)

    Asperger inside(tm)

  8. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: MW_0815 24.04.17 - 12:37

    Gegenfrage:
    Aber ist es denn nicht auch so - aus AG bzw. IT-Sicht - dass das Aufbrechen von HTTPS-Traffic mittlerweile ein notwendiges Übel ist?
    Wie will man z.B. sonst Files nach Schadcode überprüfen ohne dass dieser erst am Client aufschlägt, oder wie man seine Pflicht bzgl. Jugendschutz bei minderjährigen (Azuszbildender, Praktikanten) nachkommen... usw. usw.?!
    Und für alles was im erweiterten mit Banking zu tun hat, oder Client-Zertifikate benötigt schaltet man´s ab?!

  9. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: shertz 24.04.17 - 12:47

    Meiner Meinung nach ja. Ich arbeite in der IT einer Firma die das macht und das Herunterladen jeglicher Form von ausführbaren Inhalten (exe, dll, vbs, ...) unterbindet (es gibt für die Mitarbeiter auch keinen Grund dafür). Das ist wirklich effektiv im Gegensatz zum reinen Scannen von Traffic auf Schadcode. Zudem wird der ZTugriff auf Cloud-Storage wie Dropbox unterbunden, sonst kann man sich die Port-Security für USB und Co ja auch schenken.

  10. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: My1 24.04.17 - 12:55

    MW_0815 schrieb:
    --------------------------------------------------------------------------------
    > Gegenfrage:
    > Aber ist es denn nicht auch so - aus AG bzw. IT-Sicht - dass das Aufbrechen
    > von HTTPS-Traffic mittlerweile ein notwendiges Übel ist?
    > Wie will man z.B. sonst Files nach Schadcode überprüfen ohne dass dieser
    > erst am Client aufschlägt, oder wie man seine Pflicht bzgl. Jugendschutz
    > bei minderjährigen (Azuszbildender, Praktikanten) nachkommen... usw.
    > usw.?!

    vielleicht in dem man das aufm Computer Laufen lässt und nicht aufm Proxy? der Kann ja ne eingehende exe oder was weiß ich immer noch grillen. und dazu bietet HTTPS dank SNI den zieldomainnamen und dazu steht der auch im Cert. das heißt man muss zumindest für ne Blackliste welche seiten böse nicht, nicht HTTPS aufbrechen.

    Asperger inside(tm)

  11. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: shertz 24.04.17 - 13:09

    Wo ist da, außer der schlechteren Managebarkeit da der Unterschied?

  12. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: My1 24.04.17 - 13:16

    dass bspw wenn der proxy nur die domains und certs anschaut, keine allzu geheimen daten, bspw Passwort in den Proxy gehen.

    Asperger inside(tm)

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. softwareinmotion gmbh, Schorndorf
  2. fluid Operations AG, Walldorf (Baden)
  3. fluid Operations AG, Walldorf
  4. WSW Wuppertaler Stadtwerke GmbH, Wuppertal

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 20,99€
  2. 10,99€
  3. 42,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Die Woche im Video Schwachstellen, wohin man schaut
  2. Drei Modelle vorgestellt Elektrokleinwagen e.Go erhöht die Spannung
  3. Automated Valet Parking Lass das Parkhaus das Auto parken!

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro

  1. Banking-App: Outbank im Insolvenzverfahren
    Banking-App
    Outbank im Insolvenzverfahren

    Der Betreiber der großen Banking-App kann seine Rechnungen nicht mehr bezahlen. Wird kein Käufer gefunden, muss Outbank eingestellt werden.

  2. Glasfaser: Telekom wegen fehlendem FTTH massiv unter Druck
    Glasfaser
    Telekom wegen fehlendem FTTH massiv unter Druck

    Durch ihren radikalen Vectoring-Kurs verliert die Telekom in München, Hamburg und Köln immer mehr Kunden an die Glasfaserbetreiber der Stadtwerke. Daher musste auch Deutschlandchef van Damme gehen.

  3. Offene Konsole: Ataribox entspricht Mittelklasse-PC mit Linux
    Offene Konsole
    Ataribox entspricht Mittelklasse-PC mit Linux

    Holzfurnier plus Prozessoren von AMD auf Radeon-Basis: Atari hat weitere Details zu seiner Ataribox veröffentlicht. Das Gerät soll Linux verwenden, für Herbst 2017 ist eine Crowdfunding-Kampagne geplant.


  1. 19:13

  2. 18:36

  3. 17:20

  4. 17:00

  5. 16:44

  6. 16:33

  7. 16:02

  8. 15:20