É possível que minha empresa monitore meu Gmail?

5

Como o Gmail usa https, todas as mensagens devem ser criptografadas?

Aqui, assumimos que minha empresa não possui um registrador de pressionamento de tecla nem um software de instantâneo aleatório.

    
por CodeNoob 08.06.2012 / 17:34

3 respostas

4

Se você estiver usando o Firefox, talvez queira dar uma olhada no link , que é um muito fácil de usar o addon para detectar um ataque MitM que, de outra forma, poderia permanecer indetectável. Desta forma, é provavelmente mais prático do que sempre verificar os certificados em relação a uma lista de impressões digitais coletadas manualmente de uma fonte confiável (por exemplo, em casa).

Observe que mesmo que o seu navegador não tenha um certificado especial da sua empresa em sua lista de certificados raiz confiáveis e o sistema não seja comprometido de outra forma, pode haver um MitM. Como? Pelo menos uma CA (Trustwave) não foi confiável no passado emitindo um certificado intermediário para uma empresa para fins questionáveis. Consulte o link - Também houve intrusões bem-sucedidas em CAs (por exemplo, DigiNotar, Comodo), levando a mais certificados fraudulentos.

Assim, o conceito atual de confiança nos navegadores é terrivelmente rompido, pois há muitas CAs confiáveis por padrão e uma CA indigna de confiança quebra todo o sistema. Ficou provado que há mais de um CA não sendo confiável e ninguém pode prever qual é o próximo. Perspectivas é uma abordagem interessante para contornar o problema de um MitM com um certificado fraudulento e ao mesmo tempo tornar supérfluos os certificados caros da AC.

    
por 08.06.2012 / 23:03
1

Eles não precisam de um certificado falso, apenas uma cópia modificada (possivelmente usando um plugin) do navegador, com lógica de captura de pacotes. A verificação de impressões digitais não fará nada.

É uma máquina de trabalho. Não carregue nenhum dado nele que você não queira que seu empregador tenha.

Em alguns navegadores, a captura de pacotes criptografados pode ser tão simples quanto alterar a opção de configuração "não armazenar páginas HTTPS" e capturar páginas do cache.

As respostas excluídas são especialmente relevantes, em particular a que aponta no IE: "Não salvar páginas criptografadas em disco" está desabilitada por padrão.

    
por 08.06.2012 / 23:42
0

Usando o Linux (ou o Cygwin no Windows), você pode fazer isso para ver o certificado (incluindo a cadeia de certificados): echo | openssl s_client -connect HOST:443 . Basta alterar o HOST para mail.google.com ou qualquer outro site HTTPS. O próprio certificado do servidor também é exibido no formato base64 , e você pode compará-lo ao mesmo certificado obtido de fora da sua empresa. Se eles correspondem exatamente, você está bem. Se forem diferentes, verifique a cadeia de certificados quanto às autoridades de certificação que parecem falsas. Isso não significa necessariamente que você está sendo MITM , mas é possível.

Lembre-se de que, para empresas de grande porte como o Google, o certificado de servidor obtido em sua empresa pode vir de um servidor geograficamente remoto em relação ao servidor que você acessa de fora da empresa. Assim, eles podem ter certificados diferentes, mas a cadeia de certificados deve conter apenas autoridades de certificação válidas. Se você vir uma autoridade de certificação suspeita na cadeia, considere não usar o Gmail do trabalho.

    
por 08.06.2012 / 21:32