Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS-Interception: Sophos-Firewall…

Wie erkenne ich solche MITM-Attacken als User

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Wie erkenne ich solche MITM-Attacken als User

    Autor: peter.kleibert 21.04.17 - 15:34

    Hallo zusammen,

    Habe mich schon einige Male gefragt, wie ich so ein Szenario erkennen kann. Konkret geht es mir darum ob mein Arbeitgeber meine Besuche auf HTTPS-Seiten mitlesen kann. Meine Firma setzt eine Proxy ein. Gehe ich richtig in der Annahme, dass ich bei einem MITM-Szenario durch den Arbeitgeber bei den Zertifikatinformationen im Browser immer die gleichen Infos sehen müsste (dann würde ich ja immer immer mit einem gleichen Pseudo-Zertifikat surfen, das extra für den Proxy ausgegeben wurde).

    Wenn ich jedoch z.B. Google nutze, dann sehe ich Google als Zertifikataussteller, bzw. bei Golem sehe ich ein GeoTrust-Zertifikat. Heisst das, das mit grosser Wahrscheinlichkeit sicher unterwegs bin?

  2. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: 486dx4-160 21.04.17 - 16:04

    peter.kleibert schrieb:
    --------------------------------------------------------------------------------
    > Hallo zusammen,
    >
    > Habe mich schon einige Male gefragt, wie ich so ein Szenario erkennen kann.
    > Konkret geht es mir darum ob mein Arbeitgeber meine Besuche auf
    > HTTPS-Seiten mitlesen kann. Meine Firma setzt eine Proxy ein. Gehe ich
    > richtig in der Annahme, dass ich bei einem MITM-Szenario durch den
    > Arbeitgeber bei den Zertifikatinformationen im Browser immer die gleichen
    > Infos sehen müsste (dann würde ich ja immer immer mit einem gleichen
    > Pseudo-Zertifikat surfen, das extra für den Proxy ausgegeben wurde).
    >
    > Wenn ich jedoch z.B. Google nutze, dann sehe ich Google als
    > Zertifikataussteller, bzw. bei Golem sehe ich ein GeoTrust-Zertifikat.
    > Heisst das, das mit grosser Wahrscheinlichkeit sicher unterwegs bin?

    Korrekt.

  3. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: masel99 21.04.17 - 17:24

    Prüfst du bei jedem Besuch einer Seite die Zertifikate? Wenn nicht, dann bist du nicht sicher unterwegs, dein Arbeitgeber könnte jederzeit eine Einstellung aktivieren die die Zertifikate (für bestimmte Seiten) austauscht.

    Normalerweise gibt es dafür Public Key Pinning Extension for HTTP (HPKP), das verwendet aber kaum einer (auch golem.de nicht) da es mit ein etwas Aufwand verbunden ist und man damit auch die Seite unbrauchbar machen kann. Die Browser (Chrome/Firefox) prüfen das auch kaum und selbst wenn, wird das teils von einem installierten Root-Zertifikat ausgehebelt.

    In Firefox wäre dazu in about:config die Einstellungen

    security.cert_pinning.enforcement_level 2

    notwendig.

    Aktuelle Browser verwenden zusätzlich vorgeladene Listen von populären Domains (statisches pinning) die aber ggf. auch wieder von einem installierten Root-Zertifikat ausgehebelt werden kann.

    Es gab noch Addons die Zertifikatsänderungen mitteilen aber die sind imho nicht mehr aktuell.

  4. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: JensM 21.04.17 - 23:46

    masel99 schrieb:
    --------------------------------------------------------------------------------
    > Prüfst du bei jedem Besuch einer Seite die Zertifikate? Wenn nicht, dann
    > bist du nicht sicher unterwegs, dein Arbeitgeber könnte jederzeit eine
    > Einstellung aktivieren die die Zertifikate (für bestimmte Seiten)
    > austauscht.

    So einfach ist das nicht. Ein Proxy kann auch nicht einfach andere Zertifikate vergeben ohne, dass der Browser meckert. Es kommt weniger auf die Netzwerkstruktur an sondern darauf, wie der Rechner, von dem Du sitzt, konfiguriert ist.

    Damit das zitierte Szenario geht, müsste der Browser mit einem extra Rootzertifikat gespickt sein oder ein Admin die Möglichkeit haben, dieses auszurollen.

    Wenn Du die Kontrolle über den Rechner hast und nachschauen kannst, welche Rootzertifikate installiert sind und auch verhindern kannst, dass Dir einfach welche von Admins reingeschoben werden können, bist Du gegen diesen Proxyangriff immun. Dann kommen Zertifikatswarnungen wenn der Proxy intercepted.

    Wenn Du natürlich einen fremdkonfigurierbaren Rechner verwendest, gilt das vom Vorposter natürlich voll und ganz.

  5. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: peter.kleibert 22.04.17 - 19:20

    Vielen Dank für die Informativen Beiträge!

  6. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: shertz 23.04.17 - 08:56

    masel99 schrieb:
    --------------------------------------------------------------------------------
    > Normalerweise gibt es dafür Public Key Pinning Extension for HTTP (HPKP),
    > das verwendet aber kaum einer (auch golem.de nicht) da es mit ein etwas
    > Aufwand verbunden ist und man damit auch die Seite unbrauchbar machen kann.
    > Die Browser (Chrome/Firefox) prüfen das auch kaum und selbst wenn, wird das
    > teils von einem installierten Root-Zertifikat ausgehebelt.

    Basiert HPKP nicht auf Tofu (Trust on first use), damit kannst du dich im Unternehmen in trügerischer Sicherheit wähnen, denn du wirst nicht gelegentlich interceptet sondern jedes mal - auch beim ersten Besuch.

  7. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: My1 24.04.17 - 09:23

    shertz schrieb:
    --------------------------------------------------------------------------------
    > Basiert HPKP nicht auf Tofu (Trust on first use), damit kannst du dich im
    > Unternehmen in trügerischer Sicherheit wähnen, denn du wirst nicht
    > gelegentlich interceptet sondern jedes mal - auch beim ersten Besuch.

    exakt da ist das Problem bei HPKP, was es bei DNSSec mit TLSA nicht gibt. und auch TLSA kann man so konfigurieren dass der Browser die Kette checkt. (was die meisten browser mangels DNSSec/TLSA Support sowieso tun)

    Asperger inside(tm)

  8. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: MW_0815 24.04.17 - 12:37

    Gegenfrage:
    Aber ist es denn nicht auch so - aus AG bzw. IT-Sicht - dass das Aufbrechen von HTTPS-Traffic mittlerweile ein notwendiges Übel ist?
    Wie will man z.B. sonst Files nach Schadcode überprüfen ohne dass dieser erst am Client aufschlägt, oder wie man seine Pflicht bzgl. Jugendschutz bei minderjährigen (Azuszbildender, Praktikanten) nachkommen... usw. usw.?!
    Und für alles was im erweiterten mit Banking zu tun hat, oder Client-Zertifikate benötigt schaltet man´s ab?!

  9. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: shertz 24.04.17 - 12:47

    Meiner Meinung nach ja. Ich arbeite in der IT einer Firma die das macht und das Herunterladen jeglicher Form von ausführbaren Inhalten (exe, dll, vbs, ...) unterbindet (es gibt für die Mitarbeiter auch keinen Grund dafür). Das ist wirklich effektiv im Gegensatz zum reinen Scannen von Traffic auf Schadcode. Zudem wird der ZTugriff auf Cloud-Storage wie Dropbox unterbunden, sonst kann man sich die Port-Security für USB und Co ja auch schenken.

  10. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: My1 24.04.17 - 12:55

    MW_0815 schrieb:
    --------------------------------------------------------------------------------
    > Gegenfrage:
    > Aber ist es denn nicht auch so - aus AG bzw. IT-Sicht - dass das Aufbrechen
    > von HTTPS-Traffic mittlerweile ein notwendiges Übel ist?
    > Wie will man z.B. sonst Files nach Schadcode überprüfen ohne dass dieser
    > erst am Client aufschlägt, oder wie man seine Pflicht bzgl. Jugendschutz
    > bei minderjährigen (Azuszbildender, Praktikanten) nachkommen... usw.
    > usw.?!

    vielleicht in dem man das aufm Computer Laufen lässt und nicht aufm Proxy? der Kann ja ne eingehende exe oder was weiß ich immer noch grillen. und dazu bietet HTTPS dank SNI den zieldomainnamen und dazu steht der auch im Cert. das heißt man muss zumindest für ne Blackliste welche seiten böse nicht, nicht HTTPS aufbrechen.

    Asperger inside(tm)

  11. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: shertz 24.04.17 - 13:09

    Wo ist da, außer der schlechteren Managebarkeit da der Unterschied?

  12. Re: Wie erkenne ich solche MITM-Attacken als User

    Autor: My1 24.04.17 - 13:16

    dass bspw wenn der proxy nur die domains und certs anschaut, keine allzu geheimen daten, bspw Passwort in den Proxy gehen.

    Asperger inside(tm)

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. OEDIV KG, Bielefeld
  2. SBK - Siemens-Betriebskrankenkasse, München
  3. ASTERION Germany GmbH, Viernheim/Rüsselsheim
  4. Zielpuls GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-10%) 35,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Smartphoneversicherungen im Überblick: Teuer und meistens überflüssig
Smartphoneversicherungen im Überblick
Teuer und meistens überflüssig
  1. Winphone 5.0 Trekstor will es nochmal mit Windows 10 Mobile versuchen
  2. Librem 5 Das freie Linux-Smartphone ist finanziert
  3. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor

Erneuerbare Energien: Siemens leitet die neue Steinzeit ein
Erneuerbare Energien
Siemens leitet die neue Steinzeit ein
  1. Siemens und Schunk Akkufahrzeuge werden mit 600 bis 1.000 Kilowatt aufgeladen
  2. Parkplatz-Erkennung Bosch und Siemens scheitern mit Pilotprojekten

Cubesats: Startup steuert riesigen Satellitenschwarm von Berlin aus
Cubesats
Startup steuert riesigen Satellitenschwarm von Berlin aus
  1. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  2. SAEx Internet-Seekabel für Südatlantikinsel St. Helena
  3. Sputnik Piep, piep, kleiner Satellit

  1. Siri-Lautsprecher: Apple versemmelt den Homepod-Start
    Siri-Lautsprecher
    Apple versemmelt den Homepod-Start

    Apples erster Siri-Lautsprecher kommt nicht mehr in diesem Jahr auf den Markt. Apple kann die Markteinführung des Homepod nicht einhalten. Ein Verkaufsstart in Deutschland rückt damit in weite Ferne.

  2. Open Routing: Facebook gibt interne Plattform für Backbone-Routing frei
    Open Routing
    Facebook gibt interne Plattform für Backbone-Routing frei

    Facebook hat seine Netzwerk-Routing-Plattform Open/R unter eine freie Lizenz gestellt und auf Github veröffentlicht. Das Unternehmen nutzt Open/R selbst in seinen eigenen Backbone-Netzen und hat die Software zunächst für urbanes GBit-Wi-Fi erstellt.

  3. Übernahme: Vivendi lässt Ubisoft ein halbes Jahr in Ruhe
    Übernahme
    Vivendi lässt Ubisoft ein halbes Jahr in Ruhe

    In den nächsten Monaten will der französische Medienkonzern Vivendi die feindliche Übernahme von Ubisoft nicht weiter vorantreiben - danach sind aber wieder alle Optionen offen. Immerhin hat Vivendi durch den Anteilskauf bislang rund eine Milliarde Euro an Buchgewinnen gemacht.


  1. 19:05

  2. 17:08

  3. 16:30

  4. 16:17

  5. 15:49

  6. 15:20

  7. 15:00

  8. 14:40