Computerbeveiliging - Hoe je bad guys buiten de deur houdt

voorkomen/detecteren van corporate man-in-the-middle

25-03-2024, 13:05 door Anoniem, 14 reacties
Een van de klanten die ik heb wil dat ik een laptop van hen gebruik.
Echter was een van de eerste zaken die mij direct op viel dat ze een verplichte firefox installatie doen met eigen CA waardoor in feite een man-in-the-middle attack mogelijk is, en het decrypten van alle SSL verbindingen mogelijk wordt.

Nu kan ik zelf onderzoek doen of proberen door de muur van onzin of 13-in-dozijn informatie te geraken die voorgeschoteld wordt door google, maar ik vraag me af of het mogelijk is deze decrypt-re-encrypt te detecteren...

Dus je hebt Client -> Firefox -> corporate meuk met eigen CA -> decrypt -> god-weet-wat-hier gebeurt -> re-encrypt -> SSL applicatie (website, enz)...

Het probleem is hier dat je dus geen controle hebt over beide kanten...
De client is niet onder controle, dus certificaat checks doen niets.. ze worden getrust door de browser.
Het netwerk pad gaat door corporate it heen, er is dus ook geen controle op dns spoofing...
De Firefox browser kan aangeven dat hij naar www.website-x.nl gaat, maar voor hetzelfde geld ga je naar www.website-y.nl.
Alle security gebaseerd op certificaten gaat door het raam naar buiten op deze manier.
Maar ook als ik zou internetbankieren zouden ze in principe alles kunnen zien op die laptop.

Zou je een 2de protocol, onafhankelijk van SSL moeten gebruiken om dit te detecteren?
Hoe zou je dat kunnen doen?
Iets detecteren wat er tussen zit is niet zo moeilijk, maar ook een loadbalancer, proxy enz zouden worden gedetecteert en dat is niet perse een issue.
Het gaat mij echt om detectie van het opbreken van end-to-end encryptie op een systeem waar je niet volledige controle over hebt.

In mijn ogen een zware tekortkoming van certificaat-based beveiliging en dit behoeft dus een extra beveiligingslaag...
Een beetje zoals vroeger SWIPE niet meer voldoende was...
Reacties (14)
25-03-2024, 14:24 door SecOff
Het is niet zo heel moeilijk te detecteren Als het certificaat dat je van de website terug krijgt is ondertekend door de corporate CA (degene die in je browser door het bedrijf als extra trusted CA is opgenomen) wordt het verkeer onderschept. Krijg je een door een "echte" public CA ondertekend certificaat terug dan wordt het verkeer in principe niet onderschept. Je zou een firefox extentie als "Certificate Pinner" kunnen gebruiken om dit te detecteren.
25-03-2024, 14:28 door Anoniem
Lijkt me niet heel lastig.

Vraag een https site op die je zelf host, en waar je fake BSN nummers, verboden woorden zoals v\agra, en god weet wat voor andere zaken opvraagt die de systeembeheerders/directeur verboden heeft, en dan wacht je op het onvermijdelijke belletje.

Of vraag de klant of ze je een kopietje medewerkers-handboek kunnen geven waar gewoon instaat dat ze aan Deep packet Inspection doen, dan weet je het ook. Doen ze het wel, maar laten ze het de medewerkers niet weten: belletje naar de OR en/of Privacy Officer.

Maar als het een zakelijke laptop is, ga daar dan gewoon zakelijk op werken, en doe je prive dingen op een prive-laptop.
25-03-2024, 15:18 door Anoniem
Dit zijn vaak CA voor interne websites welke SSL (HTTPS) certificaten gebruiken uit de interne PK, niets bijzonders.

Dit soort CA's kunnen ook inderdaad gebruikt worden voor SSL inspectie, indien dit gewenst en afgesproken is. Bij grote bedrijven niets vreemds, mist de juiste informatie bij iedereen bekend is.

We gebruiken het hier ook intern en bij klanten, om DLP bijvoorbeeld te doen.
25-03-2024, 16:14 door Anoniem
Door Anoniem: Lijkt me niet heel lastig.

Vraag een https site op die je zelf host, en waar je fake BSN nummers, verboden woorden zoals v\agra, en god weet wat voor andere zaken opvraagt die de systeembeheerders/directeur verboden heeft, en dan wacht je op het onvermijdelijke belletje.

Een mitm installeren is één ding, de logs/data bekijken een tweede, en contact opnemen met de werknemer een derde.

Vrij kansloze suggestie .
Het kan prima zo zijn dat alles gekopieerd wordt, opgeslagen (1 maand ? 6 maanden ? permanent) en pas bekeken als er concrete aanleiding of klachten zijn.

"ik ben niet gebeld" zegt dus niks omtrent "ze loggen niks"


Of vraag de klant of ze je een kopietje medewerkers-handboek kunnen geven waar gewoon instaat dat ze aan Deep packet Inspection doen, dan weet je het ook. Doen ze het wel, maar laten ze het de medewerkers niet weten: belletje naar de OR en/of Privacy Officer.

Dat is al een stuk beter idee.


Maar als het een zakelijke laptop is, ga daar dan gewoon zakelijk op werken, en doe je prive dingen op een prive-laptop.[/


Inderdaad. Als je al weet dat er inspectie-CA op staat, waarom moet iemand dan nog zonodig TOCH prive zaken erlangs halen.

Om maar te zwijgen van browser caches die op de laptop of roaming profile terecht komen.
25-03-2024, 16:21 door Anoniem
Door Anoniem: Lijkt me niet heel lastig.

Vraag een https site op die je zelf host, en waar je fake BSN nummers, verboden woorden zoals v\agra, en god weet wat voor andere zaken opvraagt die de systeembeheerders/directeur verboden heeft, en dan wacht je op het onvermijdelijke belletje.

Of vraag de klant of ze je een kopietje medewerkers-handboek kunnen geven waar gewoon instaat dat ze aan Deep packet Inspection doen, dan weet je het ook. Doen ze het wel, maar laten ze het de medewerkers niet weten: belletje naar de OR en/of Privacy Officer.

Maar als het een zakelijke laptop is, ga daar dan gewoon zakelijk op werken, en doe je prive dingen op een prive-laptop.
Gebruik dat ding, waarvoor hij bedoelt is, werkzaamheden voor dat bedrijf met hun eigen laptop. Blijf ervanaf met je prive handelingen.
25-03-2024, 16:23 door Anoniem
Door Anoniem: Een van de klanten die ik heb wil dat ik een laptop van hen gebruik.
Echter was een van de eerste zaken die mij direct op viel dat ze een verplichte firefox installatie doen met eigen CA waardoor in feite een man-in-the-middle attack mogelijk is, en het decrypten van alle SSL verbindingen mogelijk wordt.
Heb je al aan de mogelijkheid gedacht om aan je werkgever te vragen waar dat voor dient? Ik heb inderdaad wel meegemaakt dat men in HTTPS-verbindingen inbrak. Dat was niet om personeel te bespioneren maar om te helpen voorkomen dat er malware en andere ellende het netwerk binnen werd gehaald. Ik was er niet kapot van omdat het EV-certificaten onderuit haalt. Maar men was volkomen open over wat er gebeurde. Ik denk dat de kans groot is dat het om zo'n toepassing gaat, dat je er gewoon naar kan vragen en dat je er dan gewoon uitleg over krijgt zonder dat men jou gaat wantrouwen.
26-03-2024, 10:01 door Anoniem
Wat de EUSSR wil in mini-formaat...
Maar goed... als je klant wil dat je op hun netwerkt hun laptop gebruikt: prima.
Er naast staat mijn eigen laptop met mijn eigen internetverbinding voor alles wat niet door hun netwerk heen hoeft.

Bij die klant makkelijk. Bij de EUSSR lastiger...
26-03-2024, 11:23 door Anoniem
Door Anoniem: Wat de EUSSR wil in mini-formaat...
Maar goed... als je klant wil dat je op hun netwerkt hun laptop gebruikt: prima.
Er naast staat mijn eigen laptop met mijn eigen internetverbinding voor alles wat niet door hun netwerk heen hoeft.

Bij die klant makkelijk. Bij de EUSSR lastiger...
Wat heeft dat EUSSR geleuter met de vraag te maken?
26-03-2024, 11:28 door Anoniem
Door Anoniem: Wat de EUSSR wil in mini-formaat...
Maar goed... als je klant wil dat je op hun netwerkt hun laptop gebruikt: prima.
Er naast staat mijn eigen laptop met mijn eigen internetverbinding voor alles wat niet door hun netwerk heen hoeft.

Bij die klant makkelijk. Bij de EUSSR lastiger...

Onzin. Bedrijven willen hun eigen interne systemen beschermen tegen de malware/phishing en dergelijke onzin. De enige echt effectieve manier om dat te doen is DPI over HTTPS verbindingen, ook malware staat inmiddels op HTTPS sites hè?
Het grootste risico voor bedrijven zit nog altijd tussen de bureaustoel en de monitor. Dat je je eigen netwerk wilt beschermen omdat je meer vertrouwen in techniek hebt als gebruikers kan ik me best voorstellen.

En om dan allerlei onzinnige eussr kreten er bij te betrekken raakt kant nog wal. Fijn hè, dat leven in argwaan. Als je zo op bang bent dat de hele wereld het op jou gemunt heeft, ook bedrijfsnetwerken, waarom zou je er dan vrijwillig gebruik van maken. Koop lekker een MiFi router en zorg voor je eigen spullen.
26-03-2024, 21:32 door Anoniem
Als de klant dit wil, moet de vraag dan niet gewoon zijn, waarom gebruik je het niet zoals de klant dit wil?
27-03-2024, 01:21 door Erik van Straten - Bijgewerkt: 27-03-2024, 01:25
(sorry, dubbel)
27-03-2024, 01:24 door Erik van Straten - Bijgewerkt: 27-03-2024, 01:29
Door Anoniem: Een van de klanten die ik heb wil dat ik een laptop van hen gebruik.
Echter was een van de eerste zaken die mij direct op viel dat ze een verplichte firefox installatie doen met eigen CA waardoor in feite een man-in-the-middle attack mogelijk is, en het decrypten van alle SSL verbindingen mogelijk wordt.
Zoals Anoniem van 25-03-2024, 16,23, al aangaf: sommige werkgevers doen dit.

Spionage
Persoonlijk vind ik dat ze jou hiervan op de hoogte horen te stellen; het is immers vergelijkbaar met een camera op jouw werkplek richten.

Foute beheerders
Niet alleen omdat beheerders kunnen zien welke sites en welke pagina's je bezoekt, maar ook wachtwoorden kunnen meelezen, en zo jouw internetaccounts kunnen "overnemen". Je zult daar maar als boekhouder werken (al dan niet in vaste dienst) en er zal maar een foute beheerder tussen zitten die jou probeert te laten opdraaien voor geld dat zij of hij wegsluist.

Nb. Passkeys beschermen hier ook niet tegen. De MitM kan welliswaar niet bij de private key, maar wel bij het door de echte server teruggestuurde session cookie of JWT of iets dergelijks.

Buggy
Een ander risico, voor het bedrijf en voor jou, is dat zo'n "SSL Inspectie" (virtueel) apparaat buggy is (aan de internetzijde, het deel dat zich voordoet als jouw browser, e-mailprogramma etc). Te vaak lees ik dat zo'n ding nog "gewoon" TLSv1 (of SSL versies) ondersteunt.

Gehacked
Een nóg groter risico is dat zo'n apparaat door een buitenstaander gehacked wordt. Het zijn vaak doodenge SPOF's (Single Point of Failures). Vooral als de merknaam met Forti begint.

Door Anoniem: [...] ik vraag me af of het mogelijk is deze decrypt-re-encrypt te detecteren...
Als je cerificaten kunt bekijken, kun je ook naar de certificaatketen kijken.

Het kan wellicht ook anders, maar met enige moeite.

SSLLabs
Wat je kunt proberen is https://www.ssllabs.com/ openen en op "Test your browser" klikken - en dat ook thuis doen met dezelfde browser; vaak zie je dan al verschillen. De rest gebruikt TCP poort 8443; de kans bestaat dat de MitM (Meekijker in the Middle) die poort geheel blokkeert (of juist doorlaat zonder MitM, maar dat zou wel heel suf zijn.

Zo'n "legitieme" MitM kan zo geconfigueerd zijn dat bijv. sites van bekende banken niet worden geïnspecteerd (daarbij ontvangt jouw browser echt het certificaat van de bank).

crt sh
Of een MitM plaatsvindt en bij welke websites (of juist niet) kun je, indien je certificaten kunt bekijken in de browser op jouw werklaptop, vaststellen door deze te vergelijken met één van de laatst bekende op https://crt.sh/. Omdat zo'n MitM, on the fly, een eigen certificaat bakt voor elke (https) website en bijna alles uit het originele certificaat kan kopiëren, moet je wel weten waar je op moet letten - en dat is de public key (of een hash daarvan).

Voorbeeld: open https://crt.sh/?Identity=security.nl&exclude=expired&deduplicate=Y (vervang "security.nl" door de domeinnaam naar keuze). Als ik die open kan ik op het Cert-ID "8954777036" klikken, dan opent https://crt.sh/?id=8954777036.

Op mijn Android smartphone kan ik alleen met Chrome cerificaten bekijken (*), en bovendien slechts gedeeltelijk; de public key krijg ik niet te zien, maar wel de SHA256 hash daarvan, en die luidt momenteel:
2B 84 06 69 D8 F6 16 66 1A 95 44 B6 A0
19 04 2E A4 E4 32 00 DF 6A D6 10 C5 80
29 FF 64 8D 12 76

(*) Druk op de 2 lepeltjes (links in de adresbalk), druk daarna op "Connection is secure" en vervolgens op "Certificate information".

In https://crt.sh/?id=8954777036 zie je die hash niet direct staan, maar als je op Subject Public Key Info klikt, luidt de nieuwe URL:
https://crt.sh/?spkisha256=2b840669d8f616661a9544b6a019042ea4e43200df6ad610c58029ff648d1276
Na het is-teken zie je dezelfde SHA256 hash als bovengenoemd.

Houd er rekening mee dat sommige sites een ander certificaat gebruiken voor met en zonder voorvoegsel "www.", zoals https://www.nos.nl/ (zie [1], deze stuurt jouw browser door naar de variant zonder "www.") en https://nos.nl/ (zie [2] en [3]: hier bestaan 2 certs voor).

[1] https://crt.sh/?id=12087214465 (Globalsign DV)
Geldig voor: *.nos.nl, nos.nl

[2] https://crt.sh/?id=9579997022 (Sectigo EV)
Geldig voor: nos.nl, www.nos.nl

[3] https://crt.sh/?id=9852906153 (Amazon DV)
Geldig voor: nos.nl, www.nos.nl en cf.nos.nl

Merk op dat de NOS al sinds 2018, zowel voor [1] als voor [2], per certificaatverstrekker steeds hetzelfde sleutelpaar gebruikt dat zie je door op "Subject Public Key Info" te klikken.
27-03-2024, 06:45 door Anoniem
Dit is ook een goed set tooltjes: https://d3ward.github.io/toolz/

Even kijken wat je browser doet. Bijvoorbeeld Units - Toolz (given under Share conditions).

luntrus
27-03-2024, 11:44 door Erik van Straten - Bijgewerkt: 27-03-2024, 11:44
Door Anoniem: Dit is ook een goed set tooltjes: [...]
En een hamer is ook erg handig als je wilt timmeren. Met alle respect, maar wat hebben die willekeurige tools te maken met waar de TS om vraagt?

Zoek goed uit hoe tools werken, welke problemen je ermee ondervindt, of de auteur betrouwbaar is, of er een NL vertaling van bestaat etc. en begin er dan zelf een topic over. Zo verstoor je toch alleen maar topics van anderen met irrelevante info?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.