Nasza firma twierdzi, że system DLP może nawet monitorować zawartość ruchu HTTPS, jak to możliwe?


1

Na wszystkich komputerach klienckich zainstalowano oprogramowanie do obsługi DLP (Data Loss Prevention) i HIPAA. Podobno może wyraźnie odczytywać dane HTTPS. Zawsze myślałem, że między przeglądarką a serwerem jest to całkowicie zaszyfrowane. Jak oprogramowanie może wkraść się i pobrać te dane z przeglądarki, zanim zostanie zaszyfrowane lub po odszyfrowaniu? Jestem ciekawy, jak to możliwe. Myślę, że przeglądarka nie byłaby uważana za bardzo bezpieczną, gdyby to było możliwe.


1
Prawdopodobnie już to wiesz, ale przeglądarka jest tak bezpieczna, jak maszyna, na której działa. Jeśli mam nieograniczony dostęp do komputera, istnieje wiele sposobów monitorowania (wszystkich) działań na komputerze.
BJ292

Odpowiedzi:


2

Oprogramowanie zainstalowane na kliencie może uzyskać dostęp do danych przed ich zaszyfrowaniem (lub po ich odszyfrowaniu) poprzez zmodyfikowanie lub połączenie z kodem przeglądarki. Istnieje wiele metod wstrzykiwania kodu do przeglądarki, w tym Browser Helper Objects (Internet Explorer) lub rozszerzenia (inne przeglądarki).

Oprócz oprogramowania do zapobiegania utracie danych złośliwe oprogramowanie, które kradnie dane uwierzytelniające w bankowości internetowej, w tym Zeus, wykorzystuje tę technikę „człowiek w przeglądarce”. Niektóre złośliwe oprogramowanie używa nawet rootkita w trybie jądra, aby uniknąć wykrycia.

Należy zauważyć, że istnieją również inne metody wykrywania ruchu HTTPS, w tym dodanie „zaufanego” urzędu certyfikacji (CA) do przeglądarki, aby umożliwić atak typu „człowiek w środku”. (W co najmniej jednym przypadku ustanowiony urząd certyfikacji) faktycznie podpisany taki podrzędny urząd certyfikacji, co sprawia, że ​​instalacja certyfikatu nie jest konieczna do udanego ataku.)


Jest to powszechnie robione. Przedsiębiorstwo konfiguruje serwer proxy i instaluje certyfikat zgodny z * - wszystkie przeglądarki tworzą połączenia https, które kończą się na serwerze proxy, który następnie odczytuje / zapisuje / modyfikuje / skanuje dane i ustanawia sesję https z rzeczywistym serwerem docelowym. Zaawansowany użytkownik może sprawdzić certyfikat przedstawiony swojej przeglądarce i wiedzieć, ale nikt oprócz mnie nie sprawdza ręcznie certyfikatów;)
Ram

1

Uważam, że możliwe jest wąchanie połączenia przez proxy, ale nie można zobaczyć zaszyfrowanych danych. Byłoby to przed lub po szyfrowaniu.

Czy https zapobiega atakom pośrednika przez serwer proxy?

Obserwując połączenie HTTPS ... odszyfruj je?

Oto jedna analogia do tego, co dzieje się podczas połączenia https:

Wyobraź sobie blokadę, taką z metalową klapką, którą kładziesz na kłódkę   na zabezpieczenie. Wyobraź sobie, że pętla, w której kładziesz kłódkę, jest duża   wystarczy, aby zmieścić dwie kłódki. Aby bezpiecznie wymienić, wyślij coś do   inna impreza bez udostępniania kluczy kłódki

  1. umieść „Rzecz” w pudełku i zamknij ją kłódką.
  2. wyślij zablokowane pudełko do drugiej strony.
  3. kładą kłódkę również na pętli (tak, że są na niej dwa zamki) i zwracają ci podwójnie zablokowane pudełko
  4. Zdejmiesz kłódkę i zwrócisz im teraz pojedynczo zamknięte pudełko.
  5. usuwają swój własny zamek i otwierają pudełko.

Dzięki szyfrowaniu zamki i klucze są matematyczne, ale ogólna koncepcja jest niejasna.


To doskonała, nietechniczna analogia tego procesu! Kontynuując analogię, zakładam, że istnieją sposoby (miejmy nadzieję niezniszczalne / nie do podważenia) do powiedzenia: kto jest właścicielem pudełka, który wysłał ci pudełko, które zastosowało zamki, do których należą zamki ...
Kevin Fegan
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.