https und Contentfilter

Alles rund um sicherheitsrelevante Fragen und Probleme.
mgolbs
Beiträge: 178
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

Re: https und Contentfilter

Beitrag von mgolbs » 07.11.2018 21:48:46

Hallo,

vielen Dank für die tolle Ausführung. Noch was zu meinem praktischen Fall.

Linux >> Firewall/Contentfilter >> https://debianforum.de Zertifikat ist wie hier im Forum sha 256 50:E5:6E:AB:8A:D8:B9:08:32:2E:26:0B:3F:44:97:46:84:C0:EF:D0:9C:5B:34:E3:4D:9F:5D:63:B4:11:D7:59 und sha1 BA:CE:73:18:31:A1:BF:A0:E8:24:AB:CE:86:E0:8B:98:3C:66:44:80. Damit sollte E2E umgesetzt sein?

Window 7>>> ??? Contenfilter ??? https://debianforum.de >> IE Zeigt Zertifikat als grün an. Wenn man sich sha 256 und sha1 anschaut steht da was vollkommen anderes drin. Also keine E2E? Komisch ist nur, dass das im IE angezeigte Zertifikat "versucht" das orginale Zertifikat möglichst gut zu kopieren, z.B. mit Angabe gleicher Aussteller, Ablaufdatum & Co. Es ist damit nur auf den 4. Blick zu erkennen, dass das nicht E2E ist.

Angeblich soll das per Windows Domain und root Zertifikat ein gängiges Verfahren in der Windows Firmen Netzwerkwelt sein. Schön wäre es wenigstens, wenn man am Status des Zertifikates im IE angezeigt bekäme, ist nicht ganz sauber und der Admin hat die totale Kontrolle.

Gruß und Dank Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

uname
Beiträge: 9542
Registriert: 03.06.2008 09:33:02

Re: https und Contentfilter

Beitrag von uname » 08.11.2018 08:59:12

Vielleicht kannst du mal die Zertifikatsinhalte hier posten. Gerne kannst du Informationen, die auf deine Firma zurückführen enntsprechend durch *** ersetzen.
Ich denke das würde dann auch anderen Forenmitgliedern helfen die Funktion zu verstehen. Danke.
mgolbs hat geschrieben:IE Zeigt Zertifikat als grün an.
Es gibt grüne Zertifikate (z. B. Lets Encrypt) und es gibt die längeren grünen Zertifikate (EV-SSL).
Schaust du dir als Beispiel https://www.globalsign.com an, so wird dir nur das grüne Schloss, dem normalen Anwender jedoch zusätzlich "GMO GlobalSign, Inc." in grün angezeigt, da es ein EV-SSL-Zertifikat ist. Das kann ein MitM nicht fälschen.

Bild
Bild

mgolbs
Beiträge: 178
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

Re: https und Contentfilter

Beitrag von mgolbs » 08.11.2018 21:58:30

Hallo,

kann ich gern tun. Wahrscheinlich ist der MitM Ansatz nicht immer aktiv, denn heute Abend war auch im IE das Originalzertifikat enthalten (oder ist der "konspirative Austausch mit anderen ausgewählten Personen" :wink: an die richtige Stelle durchgesickert.. :wink: ..)

Im IE können wir als normale User keine Zertifikate "In Datei kopieren", ist ausgegraut, leider. Wollte gestern schon speichern. Ich hatte aber Bildschirmschnappschüsse gemacht.

Hier die Unterschiede in den Zertifikaten des debianforum.de:
"MitM Vermutung" Zertifikat Inhalt des IE:
Aussteller: DST Root CA X3,...
Antragsteller:Let's Encrypt Auth...
sha1 e5 a3 b4 5b 06 2d 50 9b 33 ....
Seriennummer 0a 01 41 42 00 00 01 53 ....
Datumbereich: 1x.0x.2016 - 1x.0x.2021

"Vermutet sauberes" Zertifikat Inhalt des IE des debianforum.de:
Aussteller: Let's Encrypt Auth,...
Antragsteller: debianforum.de
sha1 ba ce 73 18 31 ....
Seriennummer 03 91 0c f7 ....
Datumsbereich 12.10.2018 - 10.01.2019

Gruß und vielen Dank an alle SSL/TLS Spezialisten
Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

wanne
Moderator
Beiträge: 5596
Registriert: 24.05.2010 12:39:42

Re: https und Contentfilter

Beitrag von wanne » 09.11.2018 13:02:26

uname hat geschrieben: ↑ zum Beitrag ↑
08.11.2018 08:59:12
Es gibt grüne Zertifikate (z. B. Lets Encrypt) und es gibt die längeren grünen Zertifikate (EV-SSL).
Schaust du dir als Beispiel https://www.globalsign.com an, so wird dir nur das grüne Schloss, dem normalen Anwender jedoch zusätzlich "GMO GlobalSign, Inc." in grün angezeigt, da es ein EV-SSL-Zertifikat ist. Das kann ein MitM nicht fälschen.
Natürlich kannst du auch EV in dein gefälschtes Cert schreiben.
rot: Moderator wanne spricht, default: User wanne spricht.

uname
Beiträge: 9542
Registriert: 03.06.2008 09:33:02

Re: https und Contentfilter

Beitrag von uname » 10.11.2018 08:41:21

Nein. Der Browser würde das erkennen. Im angezeigten Namen steht evtl. die eigene Firma aber nicht das individuelle Ziel. Die Manipulation ist einfacher erkennbar.

wanne
Moderator
Beiträge: 5596
Registriert: 24.05.2010 12:39:42

Re: https und Contentfilter

Beitrag von wanne » 10.11.2018 21:24:17

@uname wir hatten das Thema hier schon ein paar mal das du einfach irgend welche Behauptungen aufstellst, das irgend was sicher wäre, das es nicht ist.
Während ich sonst eher meine, dass man praktisch alles was mit dem Thema zu tun hat, stehen lassen kann, störe ich mich da wirklich dran. Das gefährdet wirklich Leute, die sich auf diese Antworten verlassen.
Ich hatte anfangs gedacht, ich schreibe warum das falsch ist. Aber ich wette nach 5 mal nachfragen kommt: Das ist ja aber wahnsinnig kompliziert. Das macht doch keiner.
Deswegen jetzt die für dich verständliche Variante: Nein es ist für die Firma nicht kompliziert. Du kaufst dir sowas hier und das macht dir MITM mit EV-Zerts: https://www.genua.de/produkte/high-resi ... ugate.html
uname hat geschrieben: ↑ zum Beitrag ↑
10.11.2018 08:41:21
Nein. Der Browser würde das erkennen.
Dein Browser. Garantiert nicht der auf der Arbeit.
uname hat geschrieben: ↑ zum Beitrag ↑
10.11.2018 08:41:21
Im angezeigten Namen steht evtl. die eigene Firma aber nicht das individuelle Ziel.
Gerade umgekehrt wird ein Schuh draus. Es gibt eine Reihe von CAs, die "EV-Würding" sind. Wenn du die CA auf eine änderst, die nicht denen entspricht bekommst du den EV-Balken. Tust du fein säuberlich alle oids mitübertragen bleibt er da.
Die Manipulation ist einfacher erkennbar.[/quote]

Zum Ende doch noch kurze Anmerkungen:
Arbeitest du über Plugins oder SSLKEYLOGFILE wird eh das Originalzert druchgereicht. Das bleicht dann natürlich auch EV.
Wie man es mit einem Proxy und eigener CA macht steht da:
https://stackoverflow.com/questions/147 ... witched-on
Das ist vor allem wegen der vielen Schritte wirklich nicht ganz trivial, weshalb die meisten das nicht machen. Aber es ist eben möglich.
Für FF und Chrome gibt es btw. nochmal eine einfachere Variante.
rot: Moderator wanne spricht, default: User wanne spricht.

mgolbs
Beiträge: 178
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

Re: https und Contentfilter

Beitrag von mgolbs » 11.11.2018 12:05:46

Hallo,

ich möchte nur noch mal kurz folgendes anfragen:

Es gibt also keine wirkliche Chance MitM zu erkennen, nur bei schlechter von MitM Ausführung wäre möglich:

# ab und an die Zertifikate über zwei vollkommen unterschiedliche Wege zu analysieren, also per Browser in der Firma und parallel dazu mit dem Smartphone per eigenem z.B. Bsp. UMTS Internetzugang, nicht Firmen-WLAN :-). bzw. den Vergleich der Zertifikate zu Hause mit den Eigenen PC zum Zertifikat des Firmenbrowsers?

Oder gilt z.B. über "Arbeitest du über Plugins oder SSLKEYLOGFILE wird eh das Originalzert druchgereicht. " Ansatz >>, dann Null Chance der Erkennung?

Gruß und Dank Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

Benutzeravatar
niemand
Beiträge: 11808
Registriert: 18.07.2004 16:43:29

Re: https und Contentfilter

Beitrag von niemand » 11.11.2018 12:27:02

mgolbs hat geschrieben: ↑ zum Beitrag ↑
11.11.2018 12:05:46
Es gibt also keine wirkliche Chance MitM zu erkennen
Ähm … doch. Und das wurde hier auch schon mehrfach genannt: du prüftst die Fingerprints manuell, wobei du dir idealerweise vorher über ’nen anderen Zugang die Fingerprints geholt hast.
Das gilt zumindest dann, wenn die Maschine, von der aus du den Zugang nutzt, unter deiner Kontrolle ist. Wenn’s natürlich eine Kiste ist, die der betreffende Admin kontrolliert, wird’s tatsächlich schwer.
Hardware: dunkelgrauer Laptop mit buntem Display (zum Aufklappen!) und eingebauter Tastatur; beiger Klotz mit allerhand Kabeln und auch mit Farbdisplay und Tastatur (je zum auf’n Tisch Stellen)
Am 7. Tag aber sprach der HERR: „QWNoIFNjaGVpw58sIGtlaW5lbiBCb2NrIG1laHIgYXVmIGRlbiBNaXN0ISBJY2ggbGFzcyBkYXMgamV0enQgZWluZmFjaCBzbyDigKYK“

mgolbs
Beiträge: 178
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

Re: https und Contentfilter

Beitrag von mgolbs » 11.11.2018 12:44:05

Hallo,

danke für die Info. Ihr habt vorab geschrieben:
du über Plugins oder SSLKEYLOGFILE wird eh das Originalzert druchgereicht.....

...Wenn’s natürlich eine Kiste ist, die der betreffende Admin kontrolliert, wird’s tatsächlich schwer...
In Firmen- und Behördennetzwerken kann man ja zu 99,99% als User davon ausgehen, dass man die Kiste nicht unter Kontrolle hat. Dann nützt mir das ganze Prüfen von Fingerprints gar nicht, denn ich erhalte dann egal mit welchem Zugang ein gleiches, "richtiges" Ergebnis.

Gibt es für User noch andere Chancen, zu erkennen ob gefiltert wird, außer der Annahme es wird grundsätzlich überwacht? Ein einfacher Test wäre ja ein grober Witz über den Chef, nur dann nützt der ganze Test dem "Ex"user nicht wirklich viel :wink: Mit einem portablen Browser wird man wohl nur keinen Zugang bekommen, oder auffallen...,

Gruß Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

Benutzeravatar
niemand
Beiträge: 11808
Registriert: 18.07.2004 16:43:29

Re: https und Contentfilter

Beitrag von niemand » 11.11.2018 12:53:08

Wenn man einen Rechner außerhalb des Netzwerkes hat, könnte man damit sicher was basteln, mit dem man ’ne Manipulation erkennen kann.
Auf der anderen Seite, aber das ist nun wohl OT, wenn eine solche Manipulation durchgeführt wird: einerseits würde ich mal prüfen, ob das rechtlich zulässig ist, also ob an gegebener Stelle deutlich auf diese Maßnahme hingewiesen wird, andererseits würde ich mich fragen, ob ich in einer Firma arbeiten möchte, die den Traffic abfängt und analysiert (wie gesagt, wenn deutlich drauf hingewiesen wird, und man das mit’m Arbeitsvertrag angenommen hat, ist das durchaus in Ordnung), und das mit ziemlich tiefgreifenden Tricks zu verschleiern versucht (das kann man sich schließlich sparen, wenn das eh bekannt ist, wie vorstehend geschrieben).
Hardware: dunkelgrauer Laptop mit buntem Display (zum Aufklappen!) und eingebauter Tastatur; beiger Klotz mit allerhand Kabeln und auch mit Farbdisplay und Tastatur (je zum auf’n Tisch Stellen)
Am 7. Tag aber sprach der HERR: „QWNoIFNjaGVpw58sIGtlaW5lbiBCb2NrIG1laHIgYXVmIGRlbiBNaXN0ISBJY2ggbGFzcyBkYXMgamV0enQgZWluZmFjaCBzbyDigKYK“

uname
Beiträge: 9542
Registriert: 03.06.2008 09:33:02

Re: https und Contentfilter

Beitrag von uname » 11.11.2018 14:42:20

Am Zertifikat ist es bei EV-SSL immer zu erkennen. Blödsinn was oben geschrieben steht. Wenn doch: Beweis wie individuell das EV-SSL inkl. Hierachie vorgetäuscht wird. Bei EV-SSL gibt es wahrscheinlich ein Firmen-Zertifikat ohne EV-SSL, dass immer gleich ist.

Benutzeravatar
niemand
Beiträge: 11808
Registriert: 18.07.2004 16:43:29

Re: https und Contentfilter

Beitrag von niemand » 11.11.2018 14:47:30

Wenn jemand Kontrolle über den Browser hat, kann er ihm alles Mögliche unterschieben. In der Situation ist das hübsche Grün für EV-Cert in der Adresszeile keinen müden Champignon wert.
Hardware: dunkelgrauer Laptop mit buntem Display (zum Aufklappen!) und eingebauter Tastatur; beiger Klotz mit allerhand Kabeln und auch mit Farbdisplay und Tastatur (je zum auf’n Tisch Stellen)
Am 7. Tag aber sprach der HERR: „QWNoIFNjaGVpw58sIGtlaW5lbiBCb2NrIG1laHIgYXVmIGRlbiBNaXN0ISBJY2ggbGFzcyBkYXMgamV0enQgZWluZmFjaCBzbyDigKYK“

uname
Beiträge: 9542
Registriert: 03.06.2008 09:33:02

Re: https und Contentfilter

Beitrag von uname » 11.11.2018 21:23:33

Normalerweise wird im Browser nur ein Zertifikat hinzugefügt. Unter der Annahme die Software des Browsers wird nicht manipuliert, müsste man individuell die Zertifikate austauschen. Bei manipulierter Software hast du Recht.

wanne
Moderator
Beiträge: 5596
Registriert: 24.05.2010 12:39:42

Re: https und Contentfilter

Beitrag von wanne » 12.11.2018 10:22:04

Normalerweise wird im Browser nur ein Zertifikat hinzugefügt.
Ja. Dann funktioniert es nicht.
Aber schon mit dem hinzufügen von 2-3 Zertifikaten funktioniert es.
Eis EV (mit passender OID einer "echten" EV CA.) eines nicht EV und eines für OSCP. Wobei das für OSCP ja das selbe sein kann wie ein vorheriges.
Bei manipulierter Software hast du Recht.
Das war mein Kommentar in FF und Chrome geht das einfacher.
Das ist im Chromium halt einfach eine Liste mit OIDs die EV sind. Ist jetzt nicht so anspruchsvoll die um einen Eintrag zu erweitern. Das kannst du mit etwas Geschick sogar binary patchen. (Also ohne neu-Kompilieren) Ich wette irgend ein gammel Virenscanner macht das schon heute. Frage ist in wiefern Windows merkt wenn man ihm den IE manipuliert. Erfahrungsgemäß ist der ziemlich hartneckig.
Beweis wie individuell das EV-SSL inkl. Hierachie vorgetäuscht wird.
Ich habe dir bereits ein Produkt verlinkt, dass das kann. Samt Erklärung wie das geht. Was soll ich mehr machen? Eien Screenshot schicken, von dem du dann meinst, dass er manipuliert ist?
Gibt es für User noch andere Chancen, zu erkennen ob gefiltert wird, außer der Annahme es wird grundsätzlich überwacht?
Nein. Manipulieren ist das eine. Das machen halt 99% über den Proxy, der einen anderen Fingerprint hat. (Und Plugins kann man sich ja auch anzeigen lassen.) Aber eine 100% Sicherheit ist das natürlich nicht.
Aber überwachen? Es hunderte Wege wie man das noch machen kann. Du kannst natürlich gucken ob SSLKEYLOGFILE gesetzt ist. Unter Linux unter

Code: Alles auswählen

/prco/$PROWSERPID/environ | sed 's,\x00,\n,g' | grep SSLKEYLOGFILE
Wird unter Windows was ähnliches geben.
Und natürlich Prüfsummen vom Browser überprüfen.
Aber am Ende gibt es halt hunderte Möglichekeiten zu mitzuhören und der, der den Browser kontrolliert kann dir je nach Perfektionswillen des Beseitzers anzeigen was er will.
rot: Moderator wanne spricht, default: User wanne spricht.

uname
Beiträge: 9542
Registriert: 03.06.2008 09:33:02

Re: https und Contentfilter

Beitrag von uname » 12.11.2018 13:00:06

Falls du dann doch mal vertrauliche Daten senden willst.

Info: https://privatebin.info
Test: https://privatebin.net

Natürlich unter der Vorgabe, dass nicht auch Javascript im Browser manipuliert wurde und die vollständige URL nicht an Dritte übertragen wurde ;-)
Hoste die Anwendung selbst, kontrolliere die Anwendung auf Korrektheit und beachte die Einschränkungen.

Der MitM wird die Daten nicht mitlesen können selbst wenn er TLS aufbricht.
Er muss schon entweder die vollständige URL auf den Client mitlesen (Trojaner) oder Javascript-Funktionen (im Browser) oder Javascript-Bibliotheken on the fly manipulieren. TLS ist weniger wichtig, da die Sicherheit gar nicht darauf aufbaut.
Es ist so sicher, dass man sogar gleich auf TLS verzichten kann.

Antworten