it-swarm-id.com

Dapatkah perusahaan saya melihat situs HTTPS apa yang saya kunjungi?

Di tempat kerja perusahaan saya menggunakan perangkat lunak pemantauan internet (Websense). Saya tahu jika saya mengunjungi situs terenkripsi https ssl (seperti https://secure.example.com ) mereka tidak dapat melihat apa yang saya lakukan di situs karena semua lalu lintas dienkripsi . Tetapi apakah mereka melihat, bahwa saya mengunjungi https://secure.example.com ?

82

Koneksi terenkripsi dibuat terlebih dahulu sebelum permintaan HTTP dilakukan (mis. GET, POST, HEAD, dll.), Tetapi nama host dan port terlihat.

Ada banyak cara lain untuk mendeteksi situs mana yang Anda kunjungi juga, misalnya:

  • kueri DNS Anda (mis. mereka akan melihat permintaan IP untuk secure.example.com)
  • melalui pemantauan jaringan (mis. netflow, sesi IP ke IP, mengendus, dll.)
  • jika perangkat yang Anda kerjakan dimiliki oleh perusahaan dan mereka memiliki akses/hak administrator untuk melihat apa pun di perangkat (mis. lihat cache browser Anda)

Cara populer untuk menghindari proxy Websense adalah dengan terlebih dahulu membuat koneksi melalui HTTPS ke proxy luar (mis. https://proxy.org/ ) dan mengajukan permintaan Anda dari sana.

70
Tate Hansen

Itu mungkin, tetapi membutuhkan beberapa pengaturan. Inilah cara melakukannya, dan bagaimana Anda bisa tahu.

Pada komputer perusahaan, tempat pembaruan perangkat lunak didorong dari lokasi pusat, dimungkinkan untuk mengirim ke komputer Anda sertifikat "tepercaya" yang akan disimpan di sebelah sertifikat tepercaya mengatakan, Verifikasi, atau Percayakan.

Proksi perusahaan Anda akan memegang kunci pribadi sertifikat itu.

Saat Anda mengunjungi situs web HTTPS, seperti https://mybank.com/ , proksi akan menempatkan dirinya di tengah. Ini akan membuat koneksi HTTPS dengan browser Anda menghasilkan dengan cepat sertifikat untuk mybank.com. Ini akan memutar ulang (dan mungkin memonitor atau mencatat) semua lalu lintas Anda pada koneksi baru, dari proksi ke mybank.com.

Anda dapat mengetahui apakah ini masalahnya dengan melihat ikon gembok. Jika Anda melihat bahwa sertifikat untuk mybank.com dikeluarkan oleh acmesprockets.com (nama perusahaan Anda), maka Anda tahu mereka dapat melihat lalu lintas "terenkripsi" Anda. Tetapi karena perusahaan Anda dapat memaksa komputer Anda untuk mempercayai sertifikat apa pun, mereka dapat membuat sertifikat menggunakan nama terkenal, seperti "Otoritas Sertifikasi Server Aman Entrust.net" (bahkan jika itu mungkin ilegal menurut beberapa undang-undang merek dagang).

Jadi bagaimana Anda bisa tahu? Setelah terhubung ke situs web, lihat sertifikatnya. Detail bervariasi untuk setiap browser, tetapi mengklik ikon gembok di sebelah https biasanya adalah tempat untuk memulai. Dari sertifikat itu, temukan cap jempol sertifikat dan cari secara online . Lebih baik lagi, lakukan hal yang sama dengan otoritas sertifikat. Jika Anda tidak menemukan sertifikat thumbpring online (tetapi Anda bisa ketika Anda berada di rumah atau di telepon), kemungkinan lalu lintas HTTPS Anda didekripsi di sepanjang jalan.

48
ixe013

Server Proxy Sederhana

Bahkan proksi sederhana akan melihat dan mencatat nama server . Misalnya mengunjungi https://example.com/some/address.html akan membuat permintaan seperti ini dari browser ke server proxy:

CONNECT example.org:443 HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:2.0b13pre) ...
Proxy-Connection: keep-alive
Host: example.org

Sisa koneksi dienkripsi dan proxy sederhana hanya meneruskannya.

.

Server Proxy Kompleks

Namun, ada lebih banyak server proxy yang kompleks , yang dapat melihat lalu lintas lengkap dalam teks biasa . Namun, jenis server proxy ini mengharuskan Anda memiliki sertifikat root yang dipasang sehingga mereka dapat membuat sertifikat server dengan cepat.

Melihat rantai sertifikat di peramban biasanya mengungkapkan orang seperti ini dalam serangan tengah. Setidaknya dalam kasus umum itu dilakukan oleh perusahaan Anda sendiri dan bukan lembaga negara:

Proxy in the Middle with custom root certificate

29

Dengan HTTPS, terowongan SSL/TLS dibuat pertama, dan lalu lintas HTTP hanya terjadi di dalam terowongan itu. Beberapa informasi masih bocor:

  • Jika klien menggunakan proxy, koneksi ke proxy tersebut terlihat seperti: CONNECT www.example.com:443 dengan nama server target. Atau, klien dapat mengirim alamat IP server target, tetapi ini hanya sedikit kurang mengungkapkan; dan, untuk mengetahui alamat IP server, klien harus melakukan beberapa resolusi nama, menggunakan server DNS yang disediakan oleh perusahaan itu sendiri.

  • Klien yang cukup baru akan mengirim nama server target sebagai bagian dari jabat tangan SSL awal (itulah Indikasi Nama Server ekstensi).

  • Server merespons dengan mengirim kembali sertifikatnya, yang mencakup, dalam tampilan biasa dan menurut definisi, nama server.

Dari sini kita dapat menyimpulkan bahwa nama server target adalah jelas tidak rahasia. Anda dapat berasumsi bahwa perusahaan Anda mempelajarinya.

Sisa komunikasi dienkripsi sehingga secara nominal tidak dapat diakses dari orang luar. Namun, panjang paket data yang dikirim dan diterima oleh klien masih dapat disimpulkan oleh penyadap mana saja (dengan akurasi byte tunggal jika suite sandi RC4 digunakan), dan ini juga dapat mengungkapkan banyak informasi, tergantung pada konteksnya.

Jika perusahaan Anda serius tentang keamanan maka ia mungkin telah menginstal proxy yang lebih maju seperti ProxySG Blue Coat . Sistem seperti itu melakukan serangan Manusia-di-Tengah dengan secara dinamis menghasilkan sertifikat palsu untuk server target. Ini memberi mereka akses ke data lengkap, seolah-olah tidak ada SSL.

Perhatikan bahwa, bagaimanapun, intersepsi semacam itu hanya dimungkinkan jika perusahaan dapat menambahkan ke trust store dari sistem desktop Anda sertifikat CA root yang digunakan proxy untuk mengeluarkan sertifikat palsu. Ini adalah tindakan yang agak mengganggu. Karena itu, jika mereka bisa melakukan itu, mengapa mereka berhenti di situ? Mereka mungkin telah memasukkan, dengan mudah, beberapa perangkat lunak mata-mata yang akan menyambungkan browser Web Anda, keyboard Anda dan layar Anda; dan semuanya yang Anda lakukan pada mesin diketahui oleh mereka.

Atau, jika Anda dapat memastikan bahwa mesin Anda bebas dari gangguan dari perusahaan Anda (mis. --- perangkat Anda sendiri dan Anda tidak menginstal perangkat lunak yang disediakan perusahaan pada itu), maka MitM-proxy tidak dapat mendekripsi koneksi SSL Anda.

Cara yang sangat sederhana untuk menyembunyikan traffic Anda dari perusahaan Anda sama sekali tidak menggunakan fasilitas mereka. Bawalah laptop Anda sendiri dengan kunci 3G (atau ditambatkan ke ponsel cerdas Anda). Dengan membayar untuk internet Anda sendiri, Anda dapat menghindari berbasis jaringan mendeteksi dan menghabiskan hari-hari Anda menjelajahi Web alih-alih melakukan pekerjaan yang harus Anda lakukan (tetapi, tentu saja, deteksi slackers memiliki tidak pernah dibatasi hanya menggunakan perangkat terkomputerisasi).

27
Thomas Pornin

Jika websense dikonfigurasi untuk mencatatnya, maka ya, mereka akan dapat melihat ke mana Anda pergi, semua URL yang Anda kunjungi.

Konten cenderung tidak dilihat - itu tergantung pada bagaimana websense/proxy diatur - tetapi itu bisa dilakukan. Itu tergantung apakah sesi SSL adalah dari browser Anda ke server atau jika hanya untuk proxy (secara efektif menjalankan pria dalam serangan tengah)

13
Rory Alsop

Mereka dapat melihat semua lalu lintas SSL Anda tidak terenkripsi jika mereka menggunakan proxy BlueCoat atau serupa. Banyak perusahaan besar melakukan ini.

12
atdre

Mengikuti jawaban Guillaume, cara lain untuk memeriksa kecurangan adalah dengan menggunakan add-on Firefox "Perspectives". Ketika mengunjungi situs https, ia memeriksa (melalui Internet "notaris") bahwa kunci publik yang Anda terima (melalui sertifikat server web) memang milik situs yang Anda kunjungi.

11
George

Ya , perusahaan Anda dapat memantau lalu lintas SSL Anda.

Tanggapan lain mengatakan bahwa SSL aman, memang benar.

Namun, proksi perusahaan Anda dapat mencegat dan memeriksa lalu lintas terenkripsi Anda sebagaimana ditunjukkan oleh gambar di bawah ini:

Microsoft Forefront HTTPS Inspection

Gambar ini adalah ketika saya mengunjungi Google di komputer kerja saya.

Di sini, mereka menggunakan Forefront Threat Management Gateway 201 yang dapat mencegat koneksi antara saya dan situs yang aman.

Penjelasan:

Keamanan SSL (Secure Socket Layer) dan TLS (Transport Layer Security) didasarkan pada PKI (Public Key Infrastruture).

PKI terdiri atas serangkaian sertifikat tepercaya yang disebut sertifikat root.

Di sini di perusahaan saya, salah satu sertifikat root adalah sertifikat yang Forefront menghasilkan sertifikat untuk setiap situs web yang saya kunjungi.

Karena komputer saya mempercayai sertifikat yang digunakan proxy, tidak ada peringatan yang dihasilkan dan koneksi dilakukan dengan aman tetapi dapat diperiksa oleh server proxy.

7
LawfulHacker

Tidak hanya dari sertifikat tetapi juga dari pesan handshake, informasi servername bisa didapat. Saat saya menguji% 80 lalu lintas berisi ekstensi server_name dalam pesan halo klien (pesan pertama dikirim oleh klien ke server dalam protokol https). Tetapi ekstensi ini bersifat opsional dan terkadang tidak ada. Dalam hal ini, sertifikat dapat diperiksa. Di sertifikat ada nama server lagi.

4