Webfilter: Man-in-the-Middle-Angriff auf TLS/ SSL beim Browsen auf der Arbeit

[shortrange]

Hallo zusammen,

ein Bekannter von mir ist Systemadministrator. Er hat mir vor kurzem von einem Gerät erzählt, mit dem man bei HTTPS die Verschlüsselung als Man-in-the-Middle umgehen kann und dadurch die eigentlich verschlüsselten Inhalte einsehen kann. Leider hatten wir nur kurz Kontakt und ich konnte ihn seitdem nicht näher dazu fragen.

Es handelt sich anscheinend um einen Webfilter, der in Firmen eingesetzt wird und der die Angestellten beim Surfen im Internet überwacht.

Er hat es mir sinngemäß so beschrieben:

Angenommen, dieser Webfilter wird in einem Unternehmen eingesetzt. Ein beliebiger Angestellter ruft nun Amazon auf, um eine private Bestellung aufzugeben.

Da Amazon eine verschlüsselte Verbindung erzwingt, ist es nicht möglich, einfach auf HTTP zu setzen, sondern es muss HTTPS verwendet werden. Normalerweise würde es sich um eine Ende-zu-Ende-Verschlüsselung handeln, die beim Rechner des Angestellten beginnt und bis zum Amazon-Server geht. Ein Man-in-the-Middle wie der ISP oder der Router des Arbeitgebers können die verschlüsselten Inhalte nicht einsehen.

Der Angriffspunkt, den der Webfilter nutzt, ist, zu welchem Client der Amazon-Server eine HTTPS-Verbindung aufbaut. Mit dem Webfilter surft der Nutzer nämlich nicht auf seinem eigenen PC, sondern auf dem Webfilter selbst. Dadurch ist der clientseitige Endpunkt der TLS-Verschlüsselung der Webfilter. Der Webfilter logt alle Inhalte, die an ihn gesendet werden. Vom Webfilter zum Computer des Angestellten wird eine neue Verschlüsselung aufgebaut, damit der Traffic im LAN nicht mitgeschnitten werden kann.

Dadurch können sämtliche Inhalte bei jeder HTTPS-Verbindung eingesehen werden.

Mein Bekannter meinte dann, dass er sehen konnte, was ein Angestellter sich bei Amazon bestellt hat und das es irgendwas merkwürdiges war.

Ist so ein Angriff tatsächlich möglich? Wenn ja, was ist das für ein Webfilter und wie heißt sowas?

Danke für Eure Hilfe!

 

[Sephe]

Naja.. etwas anders.

Viele Firmen nutzen Webfilter in der firewall um HTTPS-Datenverkehr zu überwachen.

Dabei ist auf den Client PCs das Zertifikat der Firewall installiert.

Wenn nun ein Mitarbeiter per httpS Amazon aufruft, werden die Amazon Daten mit dem Amazon Zertifikat an die Firewall geschickt, in der Firewall gescannt und mit dem Zertifikat der Firewall bei verschlüsselt an den Client geschickt.

Somit kann man den verschlüsselten Datenverkehr sehen und scannen.

ABER: Unbemerkt ist das nicht. Man muss sich lediglich im Browser das Zertifikat anzeigen lassen und ggf. den Fingerprint mit dem direkten Amazon Zugriff vergleichen.

 

[mcbarney]

Hi,

ja gibt es. Das Ganze nennt sich dann Proxy (z.B. Squid). Ob dein Kollege ohne weiteres in das Proxy Log schauen darf steht auf einem anderen Blatt. Wenn die Firma verschlüsselten Datentraffic entschlüsselt, müssen die Mitarbeiter darüber informiert werden, ansonsten macht sich der Arbeitgeber strafbar (Verstoss gegen den Datenschutz).

In vielen Firmen gibt es Internetnutzungsrichtlinien in denen alles geregelt ist. Warum entschlüsselt der Arbeitgeber ? Ggf. muss er Ermitlungsbehörden bei Straftaten seiner Mitarbeiter unterstützen, sofern der Mitarbeiter die Straftat von seinem Arbeitsplatz aus verübt hat. Der Arbeitgeber darf aber selbst auch nur dann die LOG Files der Proxy Servers prüfen und benötigt dann im Regelfall auch die Zustimmung des Betriebsrats (sofern vorhanden).

Gruß

mcbarney

 

[kachiri]

Oder die Internetnutzungsrichtlinien sagen, dass man den Internetzugang schlicht nicht für Privates nutzen darf. Unterschreibt man dann auch. Einfach mal Dienstanweisungen bzw. Richtlinien lesen, die man unterschreibt.

Sollte also tatsächlich Regelfall sein - natürlich nicht, dass Mitarbeiter aus der IT dann ohne Weiteres und ohne Anordnung dann auf Logs zugreifen. Das wird so sicher auch nicht rechtens sein.

 

[leipziger1979]

Ist so ein Angriff tatsächlich möglich?

Kurz und knapp, ja.
Geht zum Beispiel auch bei Sophos UTM.

Allerdings kann ein genauer Blick auf das Zertifikat das ganze aufdecken.
Weil bei jeder HTTPS Verbindung die Firewall/UTM sich dazwischen schaltet und die HTTPS Verbindung zwischen Client <-> Firewall am Firewall Zertifikat erkannt werden kann.
Erst die Verbindung Firewall <-> Website wird mit dem Zertifikat der Website aufgebaut.

 

[dflt]

Nur so ein kurzum nebenbei: Wenn du mit deinem Handy ins WLAN kannst und damit problemlos browsen kannst, kann der HTTPS Traffic (vom Handy) nicht entschlüsselt werden (da dein Handy ja nicht das Zertifikat von der Firewall hat).

 

[shortrange]

ABER: Unbemerkt ist das nicht. Man muss sich lediglich im Browser das Zertifikat anzeigen lassen und ggf. den Fingerprint mit dem direkten Amazon Zugriff vergleichen.

Das hatte ich im ersten Beitrag gar nicht erwähnt: Mein Bekannter meinte, dass dieser Webfilter weitestgehend unbemerkt arbeitet/ abhört, solange man sich als Nutzer (der, der aktiv abgehört wird) nicht tiefergehend damit beschäftigt. Er meinte, dass im Browser kein Fehler angezeigt wird bezüglich des Zertifikats.

Sollte also tatsächlich Regelfall sein

Du meinst, es ist der Regelfall, dass der verschlüsselte Traffic auf der Arbeit an zentraler Stelle gescannt wird?

natürlich nicht, dass Mitarbeiter aus der IT dann ohne Weiteres und ohne Anordnung dann auf Logs zugreifen. Das wird so sicher auch nicht rechtens sein.

Ja, das darf er auch eigentlich nicht.

Allerdings kann ein genauer Blick auf das Zertifikat das ganze aufdecken.
Weil bei jeder HTTPS Verbindung die Firewall/UTM sich dazwischen schaltet und die HTTPS Verbindung zwischen Client <-> Firewall am Firewall Zertifikat erkannt werden kann.
Erst die Verbindung Firewall <-> Website wird mit dem Zertifikat der Website aufgebaut.

Könnte man das bspw. entdecken, wenn man im Browser das Zertifikat der Website aufruft?

Woran erkennt man so etwas bzw. bei welchem Parameter muss man da nachschauen?

Nur so ein kurzum nebenbei: Wenn du mit deinem Handy ins WLAN kannst und damit problemlos browsen kannst, kann der HTTPS Traffic (vom Handy) nicht entschlüsselt werden (da dein Handy ja nicht das Zertifikat von der Firewall hat).

Genau das habe ich ihn auch gefragt.
Er meinte, der Traffic kann trotzdem mitgeschnitten werden, weil die Firewall wohl auch als DNS-Server fungiert und damit die Anfragen über Spoofing zuerst durch sich selbst leitet und dann zum Zielserver (z.B. Amazon).

So ganz habe ich das mit dem DNS-Spoofing nicht verstanden. Aber er meinte, das geht eben auch mit Geräten, auf denen vorher nichts installiert/ geändert wurde.

 

[smart-]

Schön wenn deine Kollege Administrator dir das erzählt hat.
Im Grunde ist die Info aber völlig egal. Ich meine Hallo, wenn man sich in einem Firmennetzwerk befindet, kann alles überwacht werden, von der Anzahl deiner Klicks, bis zu deinen Abwesenheitszeiten. Der PC loggt ja im Grunde alles und es besteht jederzeit Vollzugriff auf alle Clients, ist ja schließlich der Admin. Es wird ja auch nicht die Ende-zu-Ende Verschlüsselung umgangen, es wird einfach was davor gesetzt wie hier ein Firewall Zertifikat, Proxy, etc.. es gibt viele Möglichkeiten. Im Grunde ist das aber wie gesagt völlig egal, da jederzeit Zugriff auf den Rechner und Account des Mitarbeiters besteht und das Netzwerk konfiguriert werden kann wie man möchte bis
du ins Internet durchgereicht wirst, da kann die Firma dazwischen auch aus Sicherheitsgründen ziemlich viel dran hängen...
Im Grunde ist man dem völlig ausgeliefert. Ich würde es daher grundsätzlich lassen privates Zeug zu machen, gerade größere Firmen, aber selbst auch kleine, haben da inzwischen immer mehr solche Spielereien. Rechtlich zulässig sind bestimmte Dinge zwar nicht, aber das juckt die nicht. Ich habe schon Sachen gesehen, die abnormal sind. In einer Firma hat man jeden Tag sogar selbst eine Mail geschickt bekommen wie produktiv man war, also was man alles am PC wann und wie erledigt hat und wie effizient das ist.

 

[M@rsupil@mi]

Er meinte, dass im Browser kein Fehler angezeigt wird bezüglich des Zertifikats.

Es ist ja auch kein Fehler, der angezeigt wird. Auf ähnliche Weise klinken sich auch viele Virenscanner auf dem PC in die gesicherte Verbindung ein. Da ist das SSL-Zertifikat von z.B. Amazon nicht mehr von DigiCert beglaubigt, sondern z.B. Avira oder Kasperky, etc. (Was man halt für einen Scanner verwendet, der meint schnüffeln zu müssen.). Aber der Browser "bemängelt" daran nichts, weil sich halt der Anbieter vom Scanner als vertrauenswürdige Ausgabestelle für Zertifikate eingetragen hat.

Ansonsten halt ich es generell für keine sonderlich schlaue Idee einen Firmen Rechner bzw. überhaupt einen fremden Rechner / fremdes Netzwerk zu verwenden. Insbesondere wenn es auch noch um Daten, wie Logins, etc., geht und auf der Arbeit hat man zu arbeiten und nicht private Sachen im Netz zu erledigen.
Und neben dem Arbeitgeber gibt es natürlich auch noch die Möglichkeit, dass Schadsoftware (auf dem Fremd-PC) oder ein Mitarbeiter seine Hände im Spiel hat und was abgreift. Einen recht bekannten Fall gab es da bei der taz, wo ein Mitarbeiter den Kollegen einen Keylogger untergeschoben hat.

 

[ayngush]

Übrigens sind Administratoren verpflichtet regelmäßig Log-Dateien auf unregelmäßigkeiten hin zu kontrollieren. Dafür gelten oftmals bestimmte Regeln. Keine Leistungskontrolle, Vier-Augen-Prinzip, usw.

Das ist (sollte) im IT-Sicherheitskonzept im Bereich der technischen und organisatorischen Maßnahmen geregelt (sein). Hat entfernt auch etwas mit den Maßnahmen zur Einhaltung der alten und neuen Datenschutzgesetze und spezifisch mit der ordnungsgemäßen IT-Organisation zu tun, zu der jedes Unternehmen, welches Daten verarbeitet, verpflichtet ist.

Pro-Tipp: Einfach keinen Mist mit dem Firmeneigentum machen und nicht versuchen schlauer zu sein als die IT-Abteilung.