Nossa empresa alega que o sistema DLP pode até monitorar o conteúdo do tráfego HTTPS, como isso é possível?

Navegue suas respostas
1

Existe software instalado em todas as máquinas clientes para DLP (Data Loss Prevention) e conformidade HIPAA. Supostamente, ele pode ler dados HTTPS claramente. Eu sempre achei que entre o navegador e o servidor, isso era totalmente criptografado. Como o software pode entrar e pegar esses dados do navegador antes de serem criptografados ou depois de serem descriptografados? Estou apenas curioso para saber como isso seria possível. Eu acho que um navegador não seria considerado muito seguro se isso fosse possível.

    
por BigOmega 18.06.2012 / 21:10

2 respostas

2

O software instalado no cliente pode acessar os dados antes de serem criptografados (ou depois de serem descriptografados), modificando ou conectando-se ao código do navegador. Inúmeros métodos de injeção de código no navegador existem, incluindo objetos auxiliares do navegador (Internet Explorer) ou extensões (outros navegadores).

Além do software de prevenção contra perda de dados, o malware que rouba as credenciais de serviços bancários on-line, incluindo o Zeus, usa essa técnica "man-in-the-browser". Alguns malwares usam até mesmo um rootkit no modo kernel para evitar a detecção.

Observe que outros métodos de detecção de tráfego HTTPS também existem, incluindo a adição de uma autoridade de certificação "confiável" (autoridade de certificação) ao navegador para possibilitar um ataque de interceptação intermediária. (Em pelo menos um caso, um CA estabelecido assinou essa autoridade de certificação subordinada, fazendo a instalação do certificado desnecessário para um ataque bem sucedido.)

    
por 18.06.2012 / 21:56
1

Eu acredito que é possível farejar a conexão através de um proxy, mas não é possível ver os dados criptografados. Teria sido antes ou depois da criptografia.

https impede o homem em os ataques do meio pelo servidor proxy?

Observando uma conexão HTTPS ... descriptografá-lo?

Aqui está uma analogia sobre o que acontece durante uma conexão https:

Imagine a lock-box, the kind with a metal flap that you put a padlock on to secure. Imagine that the loop where you put the padlock is large enough to fit two padlocks. To securely exchange send something to another party without sharing padlock keys, you would

  1. put the "Thing" in the box, and lock it with your padlock.
  2. send the locked box to the other party.
  3. they put their padlock on the loop also (so that there are two locks on it), and return the double-locked box to you
  4. You remove your padlock, and return the now singly-locked box to them.
  5. they remove their own lock and open the box.

With encryption the locks and keys are math, but the general concept is vaguely like this.

    
por 18.06.2012 / 21:46

Tags

Todos os meus programas possuem direitos de proprietário para todos os meus arquivos? Que datas vieram primeiro através de colunas adjacentes