Bin ich vor Netzwerküberwachungssoftware geschützt, wenn HTTPS verwendet wird?

9

Ich werde mich bei der Arbeit bei meinem Bankkonto und meinen persönlichen E-Mail-Konten anmelden. Es ist bei der Arbeit nicht verboten, aber ich möchte nur nicht, dass sie eine Kopie von allem, was ich mit diesen Diensten mache, speichern / protokollieren. Besonders meine Passwörter.

Wenn der Dienst eine HTTPS-Verbindung verwendet, kann mein Unternehmen dann meine Kennwörter verfolgen / speichern / protokollieren, die ich für diese Dienste verwende? Was ist mit dem Inhalt der Seiten?

Auch hier verbieten die Regeln in meinem Unternehmen nicht die Nutzung meines persönlichen E-Mail-Kontos oder meiner Internetbanking-Dienste, aber ich möchte nur nicht, dass sie wichtige Informationen darüber erfahren. Es ist in Ordnung, wenn sie wüssten, dass ich diese verwende, aber sie sollten keinen Zugriff auf meine Passwörter erhalten.

Kann ich sie sicher verwenden (da ich weiß, dass mein Unternehmen keine dieser Daten speichern kann), wenn HTTPS verwendet wird?

PS Ich bin wirklich kein Netzwerk-Typ und ich weiß nicht viel darüber, wie diese Dinge funktionieren. Bitte geben Sie keine RTFM-Antworten.

networking security monitoring logging https Quacksalber
quelle
Wie schon beantwortet: Das Netzwerk ist nicht das Problem. Spuren, die Ihr Browser (auf dem von Ihnen verwendeten Computer) hinterlassen hat, sind weitaus wahrscheinlicher. Einige Browser verfügen über explizite Einstellungen zum Aktivieren / Deaktivieren des Speicherns verschlüsselter Seiten im Offline-Cache. (Wie in Firefox: kb.mozillazine.org/Browser.cache.disk_cache_ssl , standardmäßig false, was sicher ist.)
Arjan
Ich verwende den Modus "Privates Surfen" in Firefox. Ich hoffe, das spart nichts auf meinem System.
Nein, es ist viel wahrscheinlicher, dass Ihr Unternehmen über eine Überwachungssoftware auf Ihrer Workstation verfügt, die Ihre Aktivitäten überwacht und aufzeichnet.
BBlake
Hey, danke für alle Antworten! Sie haben viele Dinge erklärt. Jetzt verstehe ich, was möglich ist und was meine Firma tun könnte / nicht tun könnte. Nach dem, was Sie erklärt haben, und dem technischen Know-how meines Unternehmens kann ich zu dem Schluss kommen, dass es höchst unwahrscheinlich ist, dass sie über HTTPS gesendete Inhalte kennenlernen. Danke für all die Hilfe! :) Ich bin kein Mitglied, daher konnte ich nicht viele Antworten bewerten, obwohl sie es verdienen.

Antworten:

9

Vor der Beantwortung: Wenn ein Browser Sie warnt, dass eine Site eine schlechte Verschlüsselung verwendet oder falsche Identitätsinformationen liefert, ist es wichtig, den Fehler zu lesen, zu verstehen und genau zu überlegen, ob Sie fortfahren möchten.

Kurze Antwort: Ja, wenn Sie ein vertrauenswürdiges Gerät verwenden

Lange Antwort:

Wenn jemand Ihre Verbindung von einem anderen Computer aus überwacht (irgendwo zwischen Ihnen und Ihrer Bank) und Sie HTTPS verwenden und signierte Zertifikate mit einem entsprechend starken Algorithmus verwenden, sind Sie im klaren. (Es sei denn, sie speichern die Daten jahrelang und lesen sie später, nachdem der Algorithmus defekt ist - aber sie sollten wahrscheinlich besser in Ihr Haus einbrechen und Ihre Sachen stehlen;)).

Wenn es Ihre Bank ist, verwenden sie wahrscheinlich signierte Zertifikate mit einer entsprechend starken Chiffre. Sie können dies überprüfen, indem Sie die SSL-Informationen für die Seite anzeigen, die angezeigt werden sollen, wenn Sie die Seiteninformationen anzeigen, mit Firefox 3.5 links in der Adressleiste auf den blauen oder grünen Namen klicken oder auf die Sperre für klicken das Recht in der Adressleiste in IE8. Firefox zeigt auch den Verschlüsselungsalgorithmus an, der verwendet wird, wenn Sie nach dem Klicken auf den farbigen Bereich Weitere Informationen auswählen .

Wenn Sie dem Gerät, mit dem Sie eine Verbindung herstellen, nicht vertrauen (z. B. einem Computer, der nicht Ihr eigener ist und der von anderen geändert werden könnte), ist dies von größerer Bedeutung. Jetzt wird Ihr Arbeitsplatz wahrscheinlich nichts Illegales tun, wie Ihre Bankdaten einzusehen. Es ist jedoch möglich, dass SSL untergraben wird, wenn Ihr System kompromittiert wird. Es kann sein, dass Ihr Computer so konfiguriert ist, dass er von einem Proxy signierte Zertifikate akzeptiert (eine Überprüfung des Zertifikats oder das Anheften von Zertifikaten würde dies verhindern). Die Überwachung kann jedoch überall erfolgen - ein Keylogger müsste beispielsweise SSL nicht einmal besiegen, um Ihre Bankdaten zu erfassen. Mit SSL müssen Sie der Verbindung zwischen zwei vertrauenswürdigen Endpunkten nicht vertrauen. Wenn der Endpunkt selbst jedoch nicht vertrauenswürdig ist, sind alle Wetten deaktiviert.

Tyler Szabo
quelle
in Ordnung. Nehmen Sie zum Beispiel Hotmail. Wenn ich beim Anmelden "Erweiterte Sicherheit verwenden" auswähle, wird zu einer HTTPS-Verbindung gewechselt. In Firefox ist die Adressleiste grün, und von dem, was dort angezeigt wird, halte ich es für ziemlich sicher. Aus praktischen Gründen ist es völlig in Ordnung, Websites mit dieser Art von HTTPS-Verbindung zu verwenden, da niemand (zumindest in den nächsten Monaten) die Informationen entschlüsseln kann. Hab ich recht?
Ich würde es mir denken. Es würde mich wundern, wenn ein Netzwerkadministrator nur über den Netzwerkverkehr auf Ihr Bankkonto zugreifen würde, wenn Sie HTTPS verwenden. Vor diesem Hintergrund gibt es andere Möglichkeiten, wie Sie selbst bei Verwendung einer sicheren Verbindung verwundbar sein können. Befolgen Sie die Anweisungen Ihrer Bank zur Verwendung ihrer Website, z. B. das Abmelden nach dem Abschluss (im Gegensatz zum Schließen des Fensters) und nicht Surfen auf anderen Websites während des Bankgeschäfts. Verwenden Sie immer einen aktuellen Browser und stellen Sie sicher, dass dem Computer, den Sie verwenden, Antivirensoftware vertraut ist.
Tyler Szabo
6

Nein, nicht unbedingt. Ihr Unternehmen sendet Ihre Verbindung möglicherweise über einen Proxy, der als Man-in-the-Middle fungiert. Das heißt: Der gesamte HTTPS-Verkehr geht von Ihrem Computer zum Proxy, wird dort entschlüsselt, analysiert, verschlüsselt und an den Server gesendet. Ihr Computer verwendet nicht das Sicherheitszertifikat vom Server, sondern der Proxy generiert eines für die angegebene Website und sendet es an Sie, sodass Sie wirklich zwei HTTPS-Verbindungen haben: Von Ihnen zum Proxy und vom Proxy zum Server.

Um dies zu erreichen, muss das Unternehmen über einen Zertifikatsserver verfügen, um ein Zertifikat zu generieren. Normalerweise würde der Browser hier Einwände erheben und sich beschweren, dass die Zertifizierungsstelle nicht vertrauenswürdig ist, aber dies kann natürlich durch Gruppenrichtlinien und dergleichen überschrieben werden.

Dies ist jedoch nicht unbedingt ein schlechtes Spiel des Arbeitgebers, da dies Teil eines Antiviren-Konzepts oder aus rechtlichen Gründen sein kann.

Sehen Sie sich in Ihrem Browser das Zertifikat an. Schauen Sie sich insbesondere die Zertifizierungsstelle an. Wenn das Zertifikat von einer "echten" Zertifizierungsstelle wie Thawte, VeriSign usw. ausgestellt wird, bedeutet dies, dass Sie das Zertifikat vom Server verwenden und sicher sein sollten. Wenn es jedoch von etwas wie "YourCompany-AV" oder ähnlichem ausgegeben wird, haben Sie einen Man-in-the-Middle-Proxy.

Michael Stum
quelle
2
Ich denke, vielleicht sollte hier betont werden. Normale Proxys erstellen keine Zertifikate im laufenden Betrieb und entschlüsseln den HTTPS-Verkehr nicht (unterstützen jedoch die CONNECT-Methode).
Arjan
1
... aber andererseits: Der Fragesteller ist besorgt, also ist es vielleicht genauso gut, alle Möglichkeiten zu erwähnen. (Und vielleicht gibt es mehr Unternehmen mit einem solchen Proxy, als ich mir vorstellen kann? +1!)
Arjan
Normalerweise passieren Proxies nur den HTTPS-Verkehr, da sie nichts damit anfangen können, und ich weiß nicht, ob die HTTPS-Inspektion auf dem Vormarsch ist, aber ich habe gesehen, dass dies passiert, also dachte ich nur, ich weise auf die Möglichkeit hin.
Michael Stum
Ich weiß nicht, wie häufig die Praxis ist, aber mein Arbeitgeber tut dies. AFAIK soll sicherstellen, dass keine proprietären Daten über SSL aus dem Netzwerk gesendet werden.
Dan spielt am Feuer
1
@senthil Der Zweck von HTTPS besteht darin, den Datenverkehr zu verschlüsseln und die Teilnehmer zu identifizieren . Jeder, der die Leitung kontrolliert, kann theoretisch ein Mann in der Mitte sein (daher wird er sogar als Man-in-the-Middle-Angriff bezeichnet), aber im Gegensatz zu unverschlüsseltem HTTP bleibt dies nicht unentdeckt. Überprüfen Sie wie gesagt das Zertifikat und wer es ausgestellt hat. Normalerweise gibt es keine Möglichkeit, ein Zertifikat zu fälschen (In einigen Debian Linux-Versionen gab es einen Fehler, der das Fälschen von Zertifikaten ermöglichte, aber dies war bisher ein Einzelfall).
Michael Stum
1

Im Allgemeinen sind Sie sicher. Wenn Sie die Website der Bank über eine https-Verbindung besuchen, werden alle Daten wie Benutzername und Passwort verschlüsselt. Es ist schwierig, sie in sehr kurzer Zeit zu entschlüsseln, es sei denn, sie kennen den Verschlüsselungsalgorithmus sehr gut . Es gibt jedoch auch andere Angriffe wie Key Logger. Der Mann in der Mitte funktioniert, wenn er sich auskennt. Achten Sie immer auf die Umgebung, bevor Sie die vertraulichen Informationen eingeben.

John
quelle
Mann in der Mitte wird arbeiten, wenn sie sich auskennen - mit HTTPS?
Arjan
1

Wenn Sie eine firmeneigene Maschine verwenden und den Unternehmensrichtlinien zugestimmt haben, können Probleme auftreten, die für Ihr Unternehmen spezifisch sind. Ohne weitere Details zu kennen, würde ich sagen, dass Sie sicher sein sollten, aber ich muss das mit einer Einschränkung ausgleichen. Technisch ist es möglich, aber wenn Sie ein "normales" Leben führen, gibt es viele Dinge, mit denen Sie jeden Tag konfrontiert sind und die ein viel wahrscheinlicheres Risiko für Ihre persönlichen Daten darstellen als das Szenario, nach dem Sie fragen.

Einige grundlegende Dinge zu beachten. Dem Unternehmen ist möglicherweise noch bekannt, welche Websites Sie wie lange besuchen. Die Daten können verschlüsselt sein, müssen jedoch noch weitergeleitet werden, damit die Adresse, von der die Daten übertragen werden, verfügbar ist.

Die Ratschläge in anderen Antworten zur Nutzung der Sicherheitsfunktionen Ihres Browsers sind gut. Ich möchte hinzufügen, dass Sie sich einen Moment Zeit nehmen sollten, um die Richtlinien Ihres Unternehmens zu überprüfen, die sich auf personenbezogene Daten auf Arbeitsmaschinen beziehen.

Jason Aller
quelle
Hallo, wie gesagt, ich mache mir keine Sorgen, dass sie wissen, welche Websites ich wie lange besuche, solange sie nicht wissen, was ich in die Textfelder eingebe. Und ich bin absolut sicher, dass sie keine Key Logger haben.
1

Banken verwenden im Allgemeinen eine 128-Bit-Verschlüsselung oder höher. Überprüfen Sie die Eigenschaften ihres SSL-Zertifikats oder fragen Sie einen technischen Support, um herauszufinden, um was es sich handelt. Wenn es unter 128 ist, würde ich vorschlagen, es nicht zu verwenden. Aber wenn es 128 oder älter ist, sollte es dir gut gehen. Es sei denn, jemand im Netzwerk mit Ettercap, Wireshark, Shijack und einem massiven Chip auf der Schulter hat etwas gegen Sie. Wenn Sie sich darüber jedoch Sorgen machen, nutzen Sie das Net Banking bei der Arbeit einfach nicht. Was kann Sie dagegen verhindern, dass jemand zu Hause Ihren Computer knackt, um Ihre Bankdaten zu erhalten? Sie sind wahrscheinlich sicherer bei der Arbeit. Meine Manager konnten meinen Browserverlauf kaum überprüfen. Ich würde gerne sehen, dass sie eine SHA1-RSA-Verschlüsselung knacken, die von einem SSL-Zertifikat bereitgestellt wird.

user26528
quelle
ROFLOL .. Ich habe 2 Minuten lang nicht aufgehört zu lachen, nachdem ich deine letzte Zeile gelesen hatte: D
Haben Sie gerade ein paar tangential verwandte Wörter miteinander verkettet?
Bryan Boettcher
0

Tatsächlich sind Sie sicher, einfach weil Netzwerkadministratoren im Allgemeinen bessere Dinge zu tun haben. Technisch gesehen sind Ihre Daten nicht sicher. Sie haben nicht angegeben, in welchem ​​Bereich Sie sich befinden, aber bei der Callcenter-Arbeit werden beispielsweise Systeme überwacht, die extrem überwacht werden. Die Datenverschlüsselung spielt keine Rolle, wenn Tastenanschläge protokolliert und der Bildschirm im Rahmen des normalen Betriebs erfasst wird. Wenn Sie befürchten, dass Administratoren dazu neigen, Ihre Bankkontodaten einzusehen, verwenden Sie Ihren Arbeitscomputer NICHT für Bankgeschäfte.

DHayes
quelle
-1

Unternehmen verwenden häufig Proxys und Firewalls für die Netzwerkanalyse. Sie können jedoch sicher sein, dass der https-Verkehr von keinem von ihnen abgehört werden kann. Das ist das Grundprinzip von https, um einen Man-in-the-Middle-Angriff zu verhindern.

Fernando Carvajal
quelle
Möchten Sie einen Verweis auf die Sicherung Ihres Kommentars hinzufügen, damit sie sicher sein können, wenn sie mehr darüber lesen möchten?
fernando.reyes
„Sie können jedoch sicher sein , dass https - Verkehr kann nicht durch einen von ihnen schnupperte werden : “ Ich kann bestätigen dies bei vielen Unternehmen falsch ist, in der Tat, viel Antiviren-Sicherheitssoftware auch diese Aussage falsch machen, das ist extrem und gefährlich falsch
Ramhound
@Ramhound Sie sind extrem falsch, es ist offensichtlich, dass Ihre Antivirensoftware Ihren Datenverkehr abhören kann, weil Sie es zuvor zugelassen haben, es ist in Ihrem Computer. Wenn Ihr Unternehmen Ihren Büro-PC besitzt, ist es offensichtlich, dass es Ihren Datenverkehr abhören und SSL-Zertifikate auf Ihrem Computer installieren kann, sodass Ihr Browser ihnen vertraut und jeder, der über den privaten Schlüssel verfügt, Ihre Pakete überwachen kann. Wenn Sie Ihren PC in Ihr Büro bringen, kann niemand Ihren Datenverkehr riechen. Sie sind extrem und gefährlich falsch.
Fernando Carvajal
Der Autor dieser Frage verwendet kein BYOD. . Es ist klar, basierend auf dem Kontext der Frage, die sie einen Firmencomputer verwenden. Sie haben in Ihrer Antwort nie die Klarstellung eines BYOD vorgenommen. Sie sagten, es sei nicht möglich, "aber Sie können sicher sein, dass der https-Verkehr von keinem von ihnen beschnüffelt werden kann.", Was eigentlich nicht stimmt. Am Ende spielt es keine Rolle, wer richtig oder falsch ist.
Ramhound
-2

Es ist möglich, Pakete zu speichern und die rsa-Verschlüsselung später zu unterbrechen. Da das Internet jedoch auf Paketvermittlung basiert, ist es unwahrscheinlich, dass ein Angreifer über genügend Substanz verfügt, um TCP-Pakete wiederherzustellen.

Alles und alles ist möglich.

Rekursion
quelle
Mit Hunderten von Computern ( pcworld.com/article/id,132184-pg,1/article.html ) können Sie monatelang sogar 1024-Bit-RSA bruteforce , und 2048-Bit ist heutzutage nicht mehr so ​​selten.
Whitequark
OK, es ist mir egal, ob es 399 Jahrtausende sind, es ist immer noch möglich.
Rekursion
Wer wird jedoch all diese Rechenleistung aufwenden, um eine Bank-SSL-Verbindung zu trennen, es sei denn, dieser Benutzer hat etwas sehr Verdächtiges? Wie bereits erwähnt, sollten Sie sich keine Sorgen machen, wenn Sie ein normaler Arbeiter sind und noch nichts Illegales tun, es sei denn, Ihr Chef hat sehr gute Gründe, Sie auszuspionieren. Er, es wäre einfacher, ein halbes Dutzend Web-Cams zu verstecken, um Ihre Tastenanschläge auszuspionieren, als Ihren SSL-Verkehr zu entschlüsseln.
jfmessier
OK und wieder fragte das OP, ob es möglich sei, nicht ob es wahrscheinlich sei. Bitte stimmen Sie weiter ab.
Rekursion
. nett von dir, dir Zeit zu nehmen, um zu antworten :). Ich denke, Praktikabilität war in meiner Frage enthalten. Warum sollte es mich interessieren, wenn jemand meine Bankkontodaten 399.000 Jahre nach meinem Tod herausfindet? : P