Estou seguro do software de monitoramento de rede se o HTTPS for usado?

9

Entrarei na minha conta bancária e nas minhas contas de email pessoais no trabalho. Não é proibido no trabalho, mas eu simplesmente não quero que eles salvem / registrem uma cópia do que eu faço com esses serviços. Especialmente minhas senhas.

Se o serviço usar uma conexão HTTPS, minha empresa poderá rastrear / salvar / registrar minhas senhas que eu uso para esses serviços? e o conteúdo das páginas?

Novamente, as regras da minha empresa não proíbem o uso da minha conta de e-mail pessoal ou dos serviços bancários na Internet, mas não quero que eles conheçam nenhuma informação importante sobre eles. Tudo bem se eles soubessem que eu os estou usando, mas não deveriam ter acesso às minhas senhas.

Posso usá-los com segurança (sabendo que minha empresa não pode salvar nenhum desses dados) se o HTTPS for usado?

PS: Eu realmente não sou um cara de rede e não sei muito sobre como essas coisas funcionam. Portanto, não dê respostas em RTFM.

networking security monitoring logging https charlatão quixote
fonte
Como já respondi: a rede não é o problema. Os traços deixados pelo seu navegador (no computador que você está usando) são muito mais prováveis. Alguns navegadores têm configurações explícitas para ativar / desativar o salvamento de páginas criptografadas no cache offline. (Como no Firefox: kb.mozillazine.org/Browser.cache.disk_cache_ssl cujo padrão é falso, o que é seguro.)
Arjan
Estou usando o modo "navegação privada" no firefox. Espero que isso não salve coisas no meu sistema.
Não, é muito mais provável que sua empresa tenha um software de monitoramento em sua estação de trabalho que monitore e registre o que você faz.
BBlake
Ei, obrigado por todas as respostas! Você explicou muitas coisas. Agora entendo o que é possível e o que minha empresa poderia ou não estar fazendo. A julgar pelo que vocês explicaram e pelo conhecimento técnico da minha empresa, posso concluir que é altamente improvável que eles conheçam as coisas enviadas por HTTPS. Obrigado por toda a ajuda! :) Eu não sou um membro, por isso não pude votar em muitas respostas, mesmo que elas o mereçam.

Respostas:

9

Antes de responder: se um navegador avisar que um site está usando criptografia ruim ou fornecendo informações de identidade incorretas, é importante ler o erro, entendê-lo e pensar bem se você deseja continuar.

Resposta curta: Sim, se você estiver usando um dispositivo confiável

Resposta longa:

Se alguém estiver monitorando sua conexão a partir de outro computador (em algum lugar entre você e seu banco) e você estiver usando HTTPS, e eles estiverem usando certificados assinados com um algoritmo adequadamente forte, você estará limpo. (A menos que eles salvem os dados por anos e depois os leiam após a quebra do algoritmo - mas é melhor invadir sua casa e roubar suas coisas;)).

As chances são de que, se for o seu banco, eles estão usando certificados assinados com uma cifra adequadamente forte. Você pode verificar isso olhando as informações SSL da página, que devem ser exibidas se você olhar as informações da página, clique no nome Azul ou Verde à esquerda na barra de endereços do Firefox 3.5 ou clique no cadeado para à direita na barra de endereços no IE8. O Firefox também exibirá o algoritmo de criptografia usado se você selecionar Mais informações depois de clicar na área colorida.

Se você não confia no dispositivo que está usando para se conectar (como um computador que não é o seu e que poderia ter sido modificado por outras pessoas), é uma preocupação maior. Agora, é provável que seu local de trabalho não faça nada ilegal, como analisar suas informações bancárias; mas é possível que o SSL seja prejudicado se o seu sistema estiver comprometido. Pode ser que o seu computador esteja configurado para aceitar certificados assinados por um proxy (a inspeção do certificado ou a fixação do certificado impediriam isso). No entanto, a vigilância pode estar em qualquer lugar - um keylogger nem precisaria derrotar o SSL para capturar suas credenciais bancárias, por exemplo. O SSL faz com que você não precise confiar na conexão entre dois pontos de extremidade confiáveis, mas se o próprio ponto de extremidade não for confiável, todas as apostas serão desativadas.

Tyler Szabo
fonte
OK. Veja o hotmail, por exemplo. Se eu selecionar "usar segurança aprimorada" ao fazer login, ele alternará para uma conexão HTTPS. no Firefox, a barra de endereço é verde e, pelo que é exibido lá, acho que é bem seguro. Tomando isso como exemplo, para fins práticos, é perfeitamente aceitável usar sites com esse tipo de conexão HTTPS, sabendo que ninguém (pelo menos nos próximos meses) pode descriptografar as informações. Estou correcto?
Eu acho que sim. Eu ficaria surpreso se um administrador de rede obtivesse acesso à sua conta bancária usando somente o tráfego de rede quando você usa HTTPS. Dito isso, existem outras maneiras de ficar vulnerável, mesmo ao usar uma conexão segura, e você deve seguir as instruções do seu banco sobre como usar o site - como sair sempre após terminar (em vez de fechar a janela) e não navegando em outros sites enquanto faz serviços bancários. Sempre use um navegador atualizado e verifique se o computador que você está usando é confiável com software antivírus.
Tyler Szabo
6

Não, não necessariamente. Sua empresa pode enviar sua conexão por meio de um proxy que atua como um intermediário. Ou seja: Todo o tráfego HTTPS vai da sua máquina para o proxy, é descriptografado, analisado, criptografado e enviado ao servidor. Sua máquina não usará o certificado de segurança do servidor, mas o proxy gerará um para o site fornecido e o enviará para você, para que você realmente tenha duas conexões HTTPS: de você para o proxy e do proxy para o servidor.

Para fazer isso acontecer, a empresa precisa ter um servidor de certificação para gerar um certificado. Normalmente, o navegador se opõe aqui e reclama que a autoridade de certificação não é confiável, mas é claro que isso pode ser substituído por políticas de grupo e similares.

No entanto, isso não é necessariamente um jogo sujo do empregador, pois isso pode fazer parte de um conceito de antivírus ou devido a razões legais.

No seu navegador, observe o certificado. Especialmente, observe a autoridade de certificação. Se o certificado for emitido por uma CA "real" como Thawte, VeriSign etc., isso significa que você está usando o certificado do servidor e deve estar seguro. No entanto, se for emitido por algo como "YourCompany-AV" ou algo semelhante, você terá um proxy intermediário.

Michael Stum
fonte
2
Eu acho que deve ser enfatizado aqui. Os proxies normais não criam certificados dinamicamente e não descriptografam o tráfego HTTPS (mas suportam o método CONNECT).
Arjan
11
... mas, novamente: o questionador está preocupado, então talvez seja melhor mencionar todas as possibilidades. (E talvez haja mais empresas com procuração do que eu poderia imaginar +1 afinal?!)
Arjan
É verdade que normalmente os proxies passam pelo tráfego HTTPS, pois não podem fazer nada com ele, e eu não sei se a inspeção HTTPS está em ascensão, mas já vi isso acontecer, então pensei em apontar a possibilidade.
Michael Stum
Não sei quão comum é a prática, mas meu empregador faz isso. AFAIK é garantir que não estamos enviando dados proprietários da rede por SSL.
Dan Is Fiddling Por Firelight
11
@senthil O objetivo do HTTPS é criptografar o tráfego e identificar os participantes . Qualquer pessoa que controla a linha pode, teoricamente, ser um homem no meio (portanto, é chamado de ataque homem no meio), mas, diferentemente do HTTP não criptografado, isso não será detectado. Como dito, verifique o certificado e quem o emitiu. Geralmente, não há como falsificar um certificado (houve um bug em algumas versões do Debian Linux que tornou possível falsificar certs, mas esse foi até agora um incidente isolado).
Michael Stum
1

Em geral, você está seguro. Como quando você visita o site do banco por meio da conexão https, todos os dados, como nome de usuário e senha, são criptografados, é difícil descriptografá-lo em um curto espaço de tempo, a menos que conheçam muito bem o algoritmo de criptografia . No entanto, existem outros ataques, como o key logger, e o homem do meio funcionará se tiver conhecimento. Sempre preste atenção ao ambiente antes de inserir as informações confidenciais.

John
fonte
homem no meio funcionará se tiverem conhecimento - com HTTPS?
Arjan
1

Se você estiver usando uma máquina de propriedade da empresa e tiver concordado com as políticas da empresa, poderá haver problemas específicos da sua empresa. Sem saber mais detalhes, eu diria que você deveria estar seguro, mas tenho que equilibrar isso com uma ressalva. Tecnicamente, é possível, mas se você levar uma vida "normal", muitas coisas que você enfrenta todos os dias apresentam um risco muito mais provável para seus dados pessoais do que o cenário que você está perguntando.

Algumas coisas básicas para estar ciente. A empresa ainda pode estar ciente de quais sites você está visitando e por quanto tempo. Os dados podem ser criptografados, mas ainda precisam ser roteados para que o endereço do qual os dados vão e para seja exposto.

O conselho em outras respostas sobre como tirar proveito de qualquer recurso de segurança do seu navegador é bom. Acrescentarei que você deve reservar um momento para revisar as políticas de sua empresa relacionadas a dados pessoais em máquinas de trabalho.

Jason Aller
fonte
Olá, como mencionei, não estou preocupado com eles saberem quais sites eu visito e por quanto tempo, desde que eles não saibam o que digito nos campos de texto. E tenho certeza absoluta de que eles não possuem registradores de chaves.
1

Os bancos geralmente usam uma criptografia de 128 bits ou superior. Verifique as propriedades do certificado SSL ou peça a um de seu suporte técnico para descobrir o que é. Se tiver menos de 128 anos, sugiro não usá-lo. Mas se tiver 128 anos ou mais, você deve ficar bem. A menos que alguém na rede com Ettercap, Wireshark, Shijack e um chip massivo no ombro tenham algo contra você. Se você está preocupado com isso, no entanto, simplesmente não use o net banking no trabalho. Por outro lado, o que impede alguém de quebrar seu computador em casa para obter suas informações bancárias? Você provavelmente está mais seguro no trabalho. Meus gerentes mal conseguiam verificar o histórico do meu navegador - gostaria de vê-los quebrar uma criptografia SHA1-RSA fornecida por um certificado SSL.

user26528
fonte
ROFLOL .. Eu não parei de rir por 2 minutos depois de ler sua última linha: D
Você acabou de encadear um monte de palavras relacionadas à tangência?
Bryan Boettcher
0

Efetivamente, você está seguro simplesmente porque geralmente os administradores de rede têm coisas melhores a fazer. Tecnicamente, não, seus dados não são seguros. Você não disse em que campo estava, mas o trabalho de call center, por exemplo, terá sistemas extremamente monitorados. A criptografia de dados não importa se as teclas estão sendo registradas e a tela capturada como parte da operação normal. Se você está preocupado com o fato de os administradores estarem inclinados a consultar as informações da sua conta bancária, NÃO use o computador do trabalho para realizar serviços bancários.

DHayes
fonte
-1

As empresas costumam usar proxies e firewalls para análise de rede, mas você pode ter certeza de que o tráfego https não pode ser detectado por nenhum deles. Esse é o princípio básico do https, para impedir um ataque do tipo intermediário.

Fernando Carvajal
fonte
Gostaria de adicionar alguma referência para fazer backup de seu comentário, para que, se quiserem ler mais sobre isso, possam ter certeza?
Fernando.reyes
"Mas você pode ter certeza de que o tráfego https não pode ser detectado por nenhum deles." Posso confirmar que isso é falso em muitas empresas; de fato, muitos softwares de segurança antivírus também tornam essa declaração falsa, extremamente falsa e perigosa
Ramhound
@ Ramhound você está extremamente errado, é óbvio que seu software antivírus pode cheirar seu tráfego porque você o permitiu anteriormente, está no seu computador. Se sua empresa possui o PC do escritório, é óbvio que eles podem detectar seu tráfego, instalar certificados SSL no seu computador, para que seu navegador confie neles e quem tiver a chave privada poderá assistir aos seus pacotes. Se você levar seu computador pessoal ao escritório, ninguém poderá detectar seu tráfego. você está extremamente e perigosamente errado.
Fernando Carvajal
O autor desta pergunta não está usando um BYOD. . É claro com base no contexto da pergunta que eles estão usando no computador da empresa. Você nunca fez o esclarecimento de um BYOD em sua resposta. Você disse que não era possível ", mas você pode ter certeza de que o tráfego https não pode ser detectado por nenhum deles.", O que não é realmente verdade. No final, não importa quem está certo ou errado.
Ramhound 27/09/17
-2

É possível salvar pacotes e interromper a criptografia rsa posteriormente, embora, como a Internet se baseie na troca de pacotes, é improvável que qualquer invasor tenha substância suficiente para reconstituir pacotes TCP.

Tudo e qualquer coisa é possível.

Recursão
fonte
Você pode enfrentar até mesmo o RSA de 1024 bits por meses com centenas de computadores ( pcworld.com/article/id,132184-pg,1/article.html ) e o de 2048 bits não é tão raro hoje em dia.
whitequark
OK, eu não ligo se seus 399 milênios, ainda é possível.
Recursão
No entanto, quem gastará todo esse poder de computação para interromper uma conexão SSL bancária, a menos que haja algo de muito suspeito nesse usuário? Como dito anteriormente, se você é um trabalhador normal e já não está fazendo nada ilegal, não deve se preocupar, a menos que seu chefe tenha um bom motivo para espioná-lo. Ele, seria mais fácil esconder meia dúzia de webcams para espionar as teclas digitadas do que descriptografar o tráfego SSL.
Jfmessier
OK, e novamente, o OP perguntou se era possível, não se é provável. Mantenha a votação baixa, por favor.
Recursão
. É muito gentil da sua parte ter tempo para responder :). Eu acho que praticidade estava implícita na minha pergunta. Por que eu me importaria se alguém descobrisse os detalhes da minha conta bancária 399.000 anos depois da minha morte? : P