Domanda:
Il mio college mi sta costringendo a installare il loro certificato SSL. Come proteggere la mia privacy?
svetaketu
2015-11-04 19:57:57 UTC
view on stackexchange narkive permalink

L'amministrazione del mio college ci sta costringendo a installare il certificato SSL Cyberoam Firewall in modo che possano visualizzare tutto il traffico crittografato per "migliorare la nostra sicurezza". Se non installo il certificato non sarò in grado di utilizzare la loro rete.

Quali sono i modi in cui posso proteggere la mia privacy in una situazione del genere? Sarà sufficiente utilizzare una VPN per nascondere tutto il mio traffico o ci sono altri modi?

I commenti non sono per discussioni estese; questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/31128/discussion-on-question-by-svetaketu-my-college-is-forcing-me-to-install-their- ss).
Ancora una volta, i commenti non sono per la chat. Ho rimosso tutti i commenti pubblicati dopo la migrazione originale alla chat. Vai alla chat e commenta lì per la discussione.
BTW Esistono anche certificati client che consentono a un utente di accedere automaticamente a un proxy oa un servizio Web senza utilizzare una password e vengono spesso confusi con i certificati SSL. I certificati client non compromettono la privacy (tranne l'identificazione e l'autenticazione) per il traffico futuro. [Apache Docs] (https://httpd.apache.org/docs/2.2/ssl/ssl_howto.html#accesscontrol)
Un modo semplice per non compromettere il tuo computer, utilizzare la rete compromessa e non fare molti sforzi (come installare una VM): ** Installa un singolo browser che utilizza il proprio archivio certificati ** (non l'archivio di sistema) e installa il certificato solo in quel browser. Utilizza quel browser solo per lavorare nella rete compromessa, non per nulla di privato o per qualsiasi download di software.
Se installi il loro certificato (ad esempio, in una VM) e se usi Firefox, ti consiglio di impostare [security.cert_pinning.enforcement_level] (https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning) in about: config a 2 (rigoroso). Ciò impedirà loro di aggirare il pin della chiave pubblica (ovvero, impedire loro di MITMing siti che hanno stabilito un pin di chiave pubblica). Vedere [Mozilla bug 1168603] (https://bugzilla.mozilla.org/show_bug.cgi?id=1168603) per la spiegazione del motivo.
quale college frequenti?
@D.W .: Questo impedirà l'accesso a quei siti, dal momento che il college ** sta ** MITM'm tutte le connessioni, comprese quelle a quei siti.
Cosa significa installare il certificato SSL sul dispositivo?So solo l'installazione del certificato SSL sul sito web.Cosa significa installare certificati SSL sul sito web?
Cribbio, denunciarli?Non ne sono sicuro.
Quattordici risposte:
#1
+226
R.. GitHub STOP HELPING ICE
2015-11-04 23:15:19 UTC
view on stackexchange narkive permalink

Non installare il loro certificato su qualsiasi dispositivo / installazione del sistema operativo che desideri utilizzare per attività private. Una volta fatto, il tuo traffico è soggetto ad attacchi MITM anche se non stai utilizzando la rete del tuo college . Un attacco del genere richiede di avere la chiave privata per il certificato che hai installato, ma in pratica è abbastanza semplice perché questi "prodotti di sicurezza" sono progettati in modo così male, e spesso utilizzano una generazione di chiavi molto debole o una chiave privata fissa che è la stessa per tutte le distribuzioni e disponibili a tutti i loro clienti. In un commento che è stato poi spostato nella chat, TOOGAM ha scritto:

Problema specifico noto sul certificato di questo specifico fornitore "È quindi possibile intercettare il traffico da qualsiasi vittima di un dispositivo Cyberoam con qualsiasi altro dispositivo Cyberoam - o per estrarre la chiave dal dispositivo e importarla in altri dispositivi DPI "

Se non hai bisogno di risorse sulla loro rete, usa semplicemente il wifi tethering sul tuo telefono o ottieni un dongle USB 3G dedicato o simile da utilizzare quando sei nel campus. In alternativa, se il traffico non HTTP non è soggetto al MITM, potresti essere in grado di utilizzare una VPN senza installare il certificato. In questo caso, procurati un provider VPN economico o una VPN sulla tua rete domestica, se ne hai uno.

Se hai bisogno di accedere a risorse che sono disponibili solo dalla rete del campus, installa un altro sistema operativo in un virtuale macchina con la CA MITM installata solo nella VM e utilizza il browser nella VM per accedere a queste risorse.

I commenti non sono per discussioni estese; questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/31471/discussion-on-answer-by-r-my-college-is-forcing-me-to-install-their- ssl-certif).
La capacità del college di monitorare le comunicazioni (sui dispositivi con il certificato installato) è qualcosa di specifico per questo certificato SSL o qualcosa che possono fare tutti i fornitori di certificati? Per esempio. Eduroam che viene fornito da molti college?
@Winterflags: Ogni volta che installi un certificato CA personalizzato, stai dicendo al tuo browser / sistema di accettare i certificati firmati da quella CA come se fossero firmati da una delle CA "reali" considerate attendibili per impostazione predefinita. Chiunque abbia la chiave privata per la CA personalizzata può emettere certificati contraffatti per qualsiasi sito e il tuo browser li accetterà proprio come farebbe con i certificati reali.
Per quanto ne so, Eduroam non ha nulla a che fare con i certificati CA personalizzati, ma piuttosto (come opzione) utilizza * certificati client * come metodo di autenticazione. Tuttavia, se sei preoccupato, sarebbe una buona idea aprire una nuova domanda su cosa fa Eduroam piuttosto che discuterne nei commenti su questa domanda.
#2
+143
reirab
2015-11-05 00:01:21 UTC
view on stackexchange narkive permalink

Una VPN è certamente una buona soluzione, a condizione che non blocchi anche quella.

La soluzione migliore per proteggere la tua privacy, tuttavia, è probabilmente fare del tuo meglio per far annullare questa politica. Questa è una politica di "sicurezza" assolutamente abominevole. È letteralmente un attacco man-in-the-middle incorporato contro tutti nel campus. Se il firewall viene compromesso, l'aggressore può quindi intercettare tutto ciò che chiunque nel campus ha inviato su Internet, comprese password, numeri di carte di credito, ecc.

Si scopre che questi dispositivi sono anche peggio di come sembravano all'inizio . Come ha sottolineato TOOGAM in un commento, le persone del Tor Project hanno scoperto che, almeno nel 2012, tutti questi dispositivi utilizzavano lo stesso certificato CA! Ciò significa che chiunque abbia accesso a uno di questi dispositivi di ispezione approfondita dei pacchetti da Cyberoam o un certificato CA esportato da uno di essi può intercettare il traffico da chiunque abbia installato il certificato CA radice. Anche se questo è stato risolto negli ultimi 3 anni, questo pone un dubbio estremo sulla competenza dei produttori di questo dispositivo per assicurarlo. Questa è una ragione in più per cui non dovresti assolutamente installare questo certificato e dovresti aumentare il supporto per la rimozione di questo dispositivo dal tuo campus il più possibile.

Inoltre, come è stato sottolineato in commenti che da allora sono stati ripuliti, l'uso di questo dispositivo viola i Termini di servizio di quasi tutti i siti web del pianeta perché rivela le tue credenziali di accesso a una terza parte (il college). Ciò significa che non puoi rispettare legalmente sia questa politica che i ToS di quasi tutti i siti web.

Se questo fosse un college pubblico negli Stati Uniti e non rimuovesse immediatamente questo dispositivo, per una falla di sicurezza di questa portata prenderei in seria considerazione l'idea di contattare la mia Cyber ​​Task Force dell'FBI locale, che dovrebbe essere disposto a dare al college una conversazione molto severa. Prendono questo genere di cose molto sul serio e per una buona ragione.

+1 per "se il firewall viene compromesso, l'attaccante può quindi intercettare tutto ciò che chiunque nel campus ha inviato su Internet"! Questo college ha davvero bisogno di cambiare quello che sta facendo!
Punto interessante sulle violazioni della TOS. La loro difesa legale sosterrebbe che non sta divulgando la password a terze parti poiché tutta la decrittografia e la ricrittografia avvengono all'interno del dispositivo, a condizione che quei dati particolari non vengano memorizzati. Il TOS dell'università è probabilmente scritto in modo tale che l'utente finale si assume tutta la responsabilità di come utilizza la rete, comprese le violazioni dei TOS di terze parti. Per la cronaca, ci sono altre marche di ispettori SSL che non hanno la vulnerabilità di utilizzare lo stesso certificato per tutti i dispositivi.
@GuitarPicker Sono d'accordo che la responsabilità per la violazione di altri Termini di servizio sarebbe dell'utente, ecco perché ho detto che non puoi rispettare legalmente sia i Termini di servizio del college che quasi tutti i Termini di servizio del sito Web (il che significa che si viola uno di essi o la loro connessione Internet è praticamente inutile per te comunque.) E, sì, sono sicuro che ci sono altri produttori che si spera non utilizzino lo stesso certificato per tutti i loro dispositivi. Tuttavia, nessuno di essi, se compromesso in qualsiasi modo, distrugge la riservatezza dei dati per tutti nella rete, indipendentemente dal produttore.
@BlacklightShining: puoi provare a coinvolgere l'FBI in qualsiasi cosa, per sapere se gliene importa abbastanza da fare qualcosa, questa è una storia diversa.
@whatsisname Vero, ma gli agenti speciali dell'FBI con cui ho parlato nella CTF qui in realtà prendono piuttosto seriamente le grandi falle di sicurezza nelle grandi istituzioni (sia pubbliche che private), poiché (giustamente, IMO) le considerano una seria minaccia per i cittadini sicurezza. Molti [APT] (https://en.wikipedia.org/wiki/Advanced_persistent_threat) utilizzano sistemi domestici compromessi per mettere in scena i loro attacchi più sofisticati, poiché questi di solito saranno sottoposti a meno controllo dai sistemi di rilevamento delle intrusioni, specialmente se il sistema compromesso appartiene a una grande organizzazione rispettabile.
Hai una fonte su come ciò ti causerebbe una violazione dei TOS di un sito Web di terze parti (ad esempio un esempio di una tipica clausola TOS)? Da un punto di vista legale è difficile immaginare come l'utente finale possa essere considerato responsabile in questo contesto: tutto ciò che hanno fatto è utilizzare una connessione Internet che hanno motivo di presumere sia al sicuro da una tale violazione.
@JonBentley: Non "hanno tutte le ragioni per presumere che siano sicuri"; anzi, al contrario. Stanno installando esplicitamente una backdoor che qualcun altro ha chiesto loro di installare.
@R Non sono completamente d'accordo. Tu ed io, dal fatto che siamo su questo sito, abbiamo una probabilità statisticamente alta di rendercene conto. L'utente medio, a cui la sua università chiede di installare un software prima di poter accedere alla rete, difficilmente avrà una vaga comprensione delle conseguenze sulla sicurezza. Al contrario, la risposta più probabile è fidarsi che l'università sappia cosa sta facendo.
@JonBentley Suppongo che il college abbia almeno chiarito che stavano spiando il traffico crittografato. Se non lo chiarissero, probabilmente esisterebbe una ragionevole aspettativa di privacy, il che apre una nuova scatola di vermi per il college in termini di responsabilità legale (almeno civile e forse penale). modificare in alcuni estratti TOS domani. Per un rapido esempio, tuttavia, i TOS di StackExchange affermano che l'utente indennizzerà StackExchange per qualsiasi responsabilità derivante dall'utente o da chiunque altro utilizzi il proprio account.
@JonBentley Penso che tutto ciò che reirab sta cercando di dire è che molti siti richiedono che tu mantenga le tue credenziali al sicuro nei loro TOS e i requisiti del college violano esplicitamente questo. Che tu o il college siate ritenuti responsabili non è il punto; il punto è che non puoi seguire entrambe le politiche e che sarà un enorme pasticcio se i tuoi account vengono compromessi a causa di ciò.
#3
+73
Thomas Pornin
2015-11-04 20:59:00 UTC
view on stackexchange narkive permalink

Il tuo college fornisce il servizio di "connessione di rete" in alcune condizioni, una delle quali è la possibilità per gli amministratori di sistema del college di ispezionare tutto il traffico. Sebbene si sia tentati di sconfiggere il ficcanaso di tali amministratori di sistema con qualche espediente tecnico (ad esempio una VPN, come è stato suggerito in un'altra risposta), questo sarebbe un tentativo esplicito di sconfiggere i "sistemi di sicurezza" della rete del college e questo può farti atterrare in un enorme mucchio di guai. La cosa più saggia da fare sarebbe quindi non farlo e utilizzare invece il proprio Internet (ad es. Tramite il telefono personale).

I commenti non sono per discussioni estese; questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/31116/discussion-on-answer-by-thomas-pornin-my-college-is-forcing-me-to-install- loro).
Cosa lo rende un "espediente"?
@PaulDraper "workaround" sarebbe un sinonimo qui.
A meno che le condizioni non vietino l'uso di una VPN, probabilmente non le stai violando. I sistemi di sicurezza sono _probabilmente_ lì, quindi se le forze dell'ordine vogliono sapere chi sta visitando una pagina o un sito specifico, possono essere localizzati. Se usassi una VPN, le forze dell'ordine non finirebbero alla connessione dell'Università, ma dovunque finisca la tua VPN, il che significa che l'Università non dovrebbe fare nulla.
@MatthewSteeples A meno che il provider VPN non abbia detto loro che la connessione proveniva dall'università.
@immibis Il provider VPN non ne avrebbe bisogno. Se le forze dell'ordine si rivolgono a un provider VPN e chiedono chi stava utilizzando questo indirizzo IP, allora hanno già i dettagli dell'utente perché avranno utilizzato un nome utente e una password. Non devieranno la responsabilità di identificare la persona a qualcun altro. È probabile che se le forze dell'ordine ti inseguono per qualcosa, essere in violazione dei regolamenti universitari è in fondo alla tua lista di preoccupazioni!
@MatthewSteeples Un nome utente non è sufficiente per identificare qualcuno, in generale. (A volte è, come questo)
@immibis Vero, ma sto partendo dal presupposto che il provider VPN non sia gratuito, quindi sa di più su di te oltre al tuo nome utente. Certo, avresti potuto usare i dettagli della carta rubata, la carta di credito prepagata o qualsiasi altra cosa, ma non mi sto avvicinando a questo dal punto di vista di come farla franca, semplicemente illustrando che l'università potrebbe farlo solo per coprire la propria fondoschiena
#4
+60
Mark Buffalo
2015-11-04 20:24:52 UTC
view on stackexchange narkive permalink

Non utilizzare la loro rete per nulla di personale . Questo è il modo migliore per proteggere la tua privacy da loro.

Se non hai scelta, utilizza una macchina virtuale e installa il certificato sulla macchina virtuale invece che sulla macchina principale. Potrebbe consentirti di proteggere la tua privacy.

Personalmente, ho sempre utilizzato un computer separato per questo tipo di problemi. In nessun modo permetterei a un'azienda o a un istituto scolastico di installare qualcosa sulla mia attrezzatura, a meno che non avessi pianificato di attaccarlo dall'orbita in un secondo momento.

+1, anche se "Non utilizzare affatto la loro rete nella misura massima possibile per evitarlo" potrebbe essere un consiglio ancora migliore.
Questo è un cattivo consiglio. Una volta installato il certificato, sei vulnerabile ** anche quando non utilizzi la loro rete **. La maggior parte di questi prodotti MITM utilizza la stessa chiave privata ovunque, o una generazione di chiavi debole, il che significa che un utente malintenzionato su qualsiasi rete di terze parti a cui ti connetti potrebbe ugualmente essere MITM che ti sta usando il fatto che il tuo browser si fida del certificato CA dannoso del tuo college .
Questo non è realmente fattibile per gli studenti che vivono nel campus.
Usa una VPN basata su ssh e connettiti per la prima volta da un'altra rete e stabilisci un'autenticazione della chiave. * Non possono * violarlo.
+1 milione per l'idea della macchina virtuale. Installa lì il certificato, usalo solo per i compiti e mai! fare qualcosa di sensibile al suo interno. Potresti anche (non invece) fare lo stesso trucco per attività sensibili (come il banking): avere una VM solo per cose sicure e avviarla solo fuori dal campus e con una VPN.
@MarkHulkalo - In quali circostanze la VPN non lo proteggerebbe se non avesse mai installato il certificato SSL sul suo computer?
@Johnny, a quel punto, pensavo che avesse scelto di installarlo, ma usa anche una VPN.
@R .., Michelle - il consiglio offensivo è stato rimosso.
Usare una VM per questo è abbastanza eccessivo. Puoi creare un account Firefox separato e installare la certificazione MITMing solo lì. Aggiungerei un tema speciale per riconoscere facilmente la sessione: non vuoi accedere a nessun account remoto esterno (o fare cose personali) con questo account Firefox (ma puoi usare l'account del college da lì).
Non sono d'accordo sul fatto che sia eccessivo. Anche con un tema, non vorrei utilizzare l'installazione sbagliata per sbaglio. Inoltre ti proteggerà dalla maggior parte dei malware basati sul web.
@ysdx invece di utilizzare semplicemente un profilo e un tema del browser diversi, consiglierei di utilizzare un browser diverso tutti insieme per una differenziazione più forte e per rendere più difficile l'utilizzo di quello sbagliato per errore. Se non hai un forte impegno per un browser rispetto all'altro, FF anziché Chrome (o viceversa) funzionerebbe. Se lo fai, entrambi i browser hanno più fork disponibili.
@Mark: Beh, stavo pensando a un tema come questo: https://addons.mozilla.org/fr/firefox/addon/danger/ o forse questo https://addons.mozilla.org/fr/firefox/addon/virus -avvertimento/
#5
+44
abligh
2015-11-05 02:15:41 UTC
view on stackexchange narkive permalink

Se ssh non è filtrato, puoi utilizzare ssh per produrre un proxy SOCKS in esecuzione su un tunnel ssh . Non è necessario installare alcun software per farlo funzionare. Non hai bisogno di software VPN. Quanto segue funzionerà su una macchina Linux o un Mac (e probabilmente potrà essere fatto funzionare su Windows):

  • Ottieni un account shell (o una VM, ma è esagerato) da qualche parte

  • Verifica di poter accedere con ssh dall'esterno dell'istituto e accetta la chiave host (all'esterno dell'istituto per assicurarti non stanno MTiM'ing ssh - improbabile)

  • In un terminale ssh -D 8080 -N [email protected] qui (nota che sembrerà bloccato)

  • Ora usa 127.0.0.1:8080 come proxy SOCKS

Una volta che funziona, puoi (facoltativamente) utilizzare autossh al posto di ssh e manterrà il tunnel attivo - probabilmente lo farai è necessario installarlo.

Istruzioni di Windows non testate (che richiedono il download di PuTTY) qui.

Il motivo per cui funziona è che il tuo traffico HTTPS non scorre più sulla porta 443. Scorre (nuovamente crittografata) sulla porta 22. Presumendo che non siano inter eccetto il protocollo ssh . E se lo sono, puoi dirlo. Il tuo traffico è simile al traffico ssh (perché è traffico ssh ), anche se un'analisi dettagliata del traffico potrebbe suggerire che si tratta di traffico ssh che trasporta richieste web proxy. Pertanto non è immediatamente identificabile come traffico VPN. Inoltre, è probabile che la tua università non blocchi il traffico ssh poiché verrà utilizzato dagli studenti di informatica.

Un percorso alternativo potrebbe essere quello di collegarsi al tuo telefono cellulare e utilizzare un piano dati .

Modificherei il comando in `ssh -f -D 8080 -N [email protected]`. `-F` lo metterà in background in modo che il comando non sembri bloccato.
"Per ipotesi, non stanno intercettando il protocollo ssh. E se lo sono, puoi dirlo." - potresti spiegare come puoi sapere se stanno facendo un MiTM sul traffico ssh?
@Floris è del tutto possibile sapere se stanno intercettando SSH, ma devi conoscere l'impronta digitale della chiave del server * prima * di provare a connetterti attraverso la rete compromessa. Questo si chiama "trust on first use" e SSH salva l'impronta digitale della chiave che vede la prima volta che si connette a un server (questo può essere disabilitato, ovviamente). Nelle connessioni successive, se l'impronta digitale cambia, viene stampato [un avviso molto sgradevole] (http://stackoverflow.com/q/20840012/1830736).
@thirtythreeforty ah sì - Ho visto quell'avviso ... Sicuramente ti fa sedere e prestare attenzione. Quindi il trucco è stabilire prima questa connessione quando non c'è possibilità di un attacco MiTM, e poi non ignorare ciecamente gli avvisi. Grazie per il chiarimento!
#6
+18
njzk2
2015-11-05 02:06:53 UTC
view on stackexchange narkive permalink

Leggi le T&C.

Verifica se ti è consentito utilizzare una VPN (alcuni protocolli potrebbero essere vietati, anche le VPN potrebbero esserlo).

Se lo sei, usa una VPN e non connettersi mai a nessun sito direttamente tramite la loro rete. (A meno che non si utilizzi il pinning del certificato, ma è probabile che la connessione non riesca perché il certificato non corrisponde). Tabelle di instradamento precise possono aiutarti in questo. Potresti anche non dover installare il certificato (potresti averne bisogno per installare il certificato per accedere a qualcosa quando ti connetti alla rete, però).

Se lo sei non è permesso, beh ...

  • Non installare il certificato su nessun computer che usi per cose personali. Usa una macchina diversa o una VM. Non fare mai nulla di personale su quel computer / VM.
  • Parlane con gli altri studenti. Aumenta la consapevolezza su questo problema intorno a te.
  • Porta la questione all'autorità competente. Può essere chiesto su http://law.stackexchange.com per un consiglio sulla possibilità di protestare contro questo.

Non fare nulla contro i T&C, questo è il modo migliore per essere semplicemente banditi dalla rete o peggio.

#7
+11
tylerl
2015-11-05 12:43:18 UTC
view on stackexchange narkive permalink

Non utilizzare la rete.

Questa è praticamente la tua unica opzione. Qualsiasi tentativo di aggirare le loro misure di "sicurezza" verrebbe molto probabilmente considerato "accesso non autorizzato" ai sensi della CFAA (assumendo la giurisdizione degli Stati Uniti) e potrebbe comportare molti anni di reclusione.

Potresti provare a portarli a corte, ma le tue possibilità sono piuttosto scarse. Le istituzioni pubbliche e private eseguono questo tipo di monitoraggio e intercettazione della rete da molti anni senza incorrere in conflitti con la legge.

Non penso davvero che andrai in prigione per aver utilizzato un tunnel VPN o SSH negli Stati Uniti.In alcune altre giurisdizioni (ad esempio Emirati Arabi Uniti), forse.
#8
+10
Steffen Ullrich
2015-11-04 21:54:31 UTC
view on stackexchange narkive permalink

ci costringe a installare il certificato SSL Cyberoam Firewall in modo che possano visualizzare tutto il traffico crittografato per "migliorare la nostra sicurezza".

Anche il malware viene inviato tramite HTTPS, quindi probabilmente è davvero loro intenzione migliorare la sicurezza analizzando il traffico crittografato per malware. Se vogliono solo bloccare l'accesso ad alcuni siti, probabilmente potrebbero farlo senza l'intercettazione SSL.

L'intercettazione SSL è molto comune nelle aziende esattamente per lo stesso motivo, ovvero per proteggere l'azienda dal malware.

Usare una VPN sarà sufficiente per nascondere tutto il mio traffico o ci sono altri modi?

Dipende dalla loro configurazione di rete. Se sono abbastanza intelligenti bloccheranno l'uso della VPN, ecc. E immagino che proibiscano esplicitamente di aggirare il firewall utilizzando tali tecnologie, perché questo significa aggirare la protezione e rendere la rete meno sicura. Quindi aspettati di perdere la connessione di rete se usi una VPN.

Se non installo il certificato non sarò in grado di utilizzare la loro rete.

Se sei il proprietario della rete, ci sono abbastanza modi per attaccare il computer o invadere la privacy degli utenti, anche senza l'uso dell'intercettazione SSL. Se non ti fidi di loro, non usare la loro rete, indipendentemente dal fatto che utilizzino o meno l'intercettazione SSL.

Non solo il malware viene inviato tramite HTTPS, alcuni di essi utilizzeranno SSL per telefonare a casa.
A meno che l'università non fornisca anche i computer, il confronto con ciò che un'azienda fa alla propria attrezzatura è un confronto tra le mele e le arance, a meno che non si abbiano esempi di un'azienda che installa un certificato su un personal computer?
Penso che sia più probabile che utilizzino filtri di contenuto per bloccare contenuti "proibiti" come film, musica e software piratati piuttosto che bloccare il malware. Se volessero bloccare il malware, potrebbero semplicemente offrire un antivirus gratuito che aiuterà a proteggere gli utenti anche quando non sono sulla rete del college.
@user2813274 È probabile che l'università fornisca computer, ma * anche * consenta agli studenti di utilizzare i loro dispositivi personali (come una "funzionalità bonus" che non è necessario che forniscano). In questo caso, se il richiedente non desidera che le politiche della rete universitaria si applichino al proprio dispositivo personale, non deve semplicemente connettere il proprio dispositivo personale alla rete universitaria e utilizzare invece i computer forniti.
Il filtraggio @Johnny: a cui è possibile accedere agli host spesso può già essere eseguito senza intercettazione SSL. E c'è un'enorme differenza tra offrire un antivirus gratuito e assicurarsi che tutti lo utilizzino. A parte questo, molti antivirus odierni sono dotati di una propria intercettazione SSL.
"e rendere la rete meno sicura", ovvero meno sicura per la persona che utilizza la VPN. Tutti gli altri sono quasi ugualmente a rischio, indipendentemente dal fatto che alcuni utilizzino o meno VPN, poiché le persone sono perfettamente libere di essere infettate a casa o in un bar, quindi collegare il loro dispositivo compromesso alla rete.
#9
+5
Justin Beale
2015-11-04 22:23:08 UTC
view on stackexchange narkive permalink

Come potrebbero verificare se hai o non hai installato il loro certificato SSL? Stanno anche eseguendo software sulla tua macchina locale? Altrimenti penserei che gli effetti negativi sarebbero solo il fatto che tu debba affrontare molti errori di certificato da parte tua.

Quello che farei se fossi in te è dual-boot o virtualizzare. Tieni il tuo sistema operativo non sicuro dove installi tutti i loro "strumenti di sicurezza" e certificati e (e non usare nulla che non vuoi che qualcuno veda), quindi quando vuoi la privacy, torna indietro al tuo sistema operativo protetto. Se vivi nel campus e utilizzerai praticamente sempre la loro rete, assicurati che il tuo sistema operativo sicuro utilizzi una VPN per impostazione predefinita, che dovrebbe aggirare i loro requisiti. Ci sono modi in cui possono notarlo, ma puoi sempre dire loro che hai un lavoro o qualcosa del genere e che ne hai bisogno per lavoro, e potrebbero crederti e lasciarti in pace.

In alternativa, direi di avere un hotspot cellulare. Ma so che quando ero al college non potevo permettermi il tipo di piano dati di cui avrei avuto bisogno.

Se funziona allo stesso modo del sistema di monitoraggio bluecoat utilizzato dal mio datore di lavoro; senza il loro certificato installato non sarai in grado di accedere a nessun sito HTTPS che non sia nella lista bianca. È passato abbastanza tempo dall'ultima volta che ho dovuto caricare un nuovo certificato che non ricordo se la modalità di errore stava bloccando BC la richiesta in uscita, o intercettando l'handshake MITM e restituendo un risultato protetto dal certificato BC invece del siti con certificato normale e attivando l'errore di certificato non valido nel browser.
"gli effetti negativi sarebbero solo se dovessi gestire molti errori di certificato da parte tua." - beh sì, ti imbatteresti in un errore di certificato per * ogni singolo sito web * e ignorare gli errori del certificato ha lo stesso effetto dell'installazione del certificato.
Gli errori di certificazione sono il minimo problema. Se configurano l'apparecchiatura per bloccare tutto SSL non conforme, nessun sito SSL funzionerà. Se vanno ancora oltre e richiedono che tutto il traffico web venga proxy tramite SSL, potenzialmente tutto il traffico web potrebbe essere bloccato. Fondamentalmente, se vuoi usare il loro gateway, dovrai seguire le loro regole.
#10
+3
sixtyfootersdude
2015-11-05 00:22:36 UTC
view on stackexchange narkive permalink

Soluzione proposta: utilizza una macchina virtuale con il certificato installato quando desideri utilizzare la loro rete. In questo modo ti sarà molto chiaro quando utilizzi la loro rete e quando non lo sei. È inoltre possibile eliminare la VM quando non è più necessario utilizzare la loro rete.

Questo non lo protegge dal fatto che la sua password e-mail venga rilevata, o i suoi dettagli bancari, o le sue conversazioni private, o, o, o ...
@J.J - Questo è vero, tuttavia gli impedisce di accedere accidentalmente alla sua email / banca / privateInfo mentre è connesso alla loro rete. È un trigger UX molto chiaro che ricorderà all'utente di non accedere ai dati privati.
#11
+2
bain
2015-11-09 19:05:36 UTC
view on stackexchange narkive permalink

Non aggirare il firewall. Alcune altre risposte hanno già coperto le opzioni tecniche, ma questo è sconsigliabile: tutti i prodotti di filtraggio che ho visto bloccheranno il bypass o lo consentiranno ma notificheranno amministratore, che ti metterà nei guai. Può sembrare un trucco intelligente per fare qualcosa che non ti è permesso fare, ma le autorità ti calpesteranno - bandendoti dalla rete, il che renderà difficili i tuoi studi, o espellendoti dal college. In ogni caso, il potenziale impatto sulla tua vita a lungo termine non vale il guadagno a breve termine di una connessione Internet non filtrata al college.

L'unica vera opzione tecnica è utilizzare la tua connessione Internet tramite 3G tecnologia mobile o simile. È possibile installare un proxy locale e instradare le connessioni HTTPS sul collegamento 3G e tutto il resto sulla rete del college.


L'intercettazione SSL da parte dei filtri Internet negli istituti di istruzione sta diventando una pratica diffusa. Se vuoi prendere posizione contro questo, esamina le tue opzioni legali. In molte giurisdizioni, l'intercettazione di comunicazioni private senza il consenso di entrambe le parti costituisce una violazione della legge sulle intercettazioni telefoniche. Anche se l'argomento sostiene che hai volontariamente acconsentito all'intercettazione installando il certificato SSL, è certamente il caso che il sito web remoto non lo abbia fatto. Per quanto ne so, nessuno studente ha mai contestato l'intercettazione SSL su questa base, ma qualcuno deve essere il primo. Una volta mi è stato detto dal personale senior di una società di filtraggio che se l'intercettazione SSL è illegale, non è un loro problema - è il loro cliente che sta infrangendo la legge - e devono offrirlo come opzione altrimenti perderanno le vendite.


La sicurezza su questi filtri / firewall Internet è spesso spaventosamente pessima:

  • Alcuni usano lo stesso certificato SSL per tutti i loro clienti. Banale da estrarre con accesso amministratore o fisico. Se un firewall è compromesso, ogni firewall lo è.

  • Utilizzo di vecchi software con vulnerabilità di sicurezza note. Conosco un fornitore commerciale con una linea di prodotti attuale basata su software rilasciata nel 2004. Se puoi ottenere l'accesso utente, l'accesso root è banale.

  • Accesso remoto non sicuro. I team di supporto in genere utilizzano la stessa password di installazione e manutenzione remota per tutti i clienti. Un utente malintenzionato che sa che la password può accedere in remoto a qualsiasi sistema del cliente.

  • Esiste una "lista bianca" di siti su cui non dovrebbe essere eseguita l'intercettazione SSL (ad esempio banche). Tuttavia, se hai accesso al sistema, è banale modificare il software per ignorare o eliminare la lista bianca.

  • Conosco almeno un caso in cui un aggressore esterno è riuscito per ottenere l'accesso al server di sviluppo che contiene il codice sorgente di un importante prodotto firewall. Lo sviluppatore principale mi ha detto: "non abbiamo idea di quanto siano arrivati ​​nella rete interna o di cosa abbiano fatto una volta entrati."

Il messaggio da portare a casa è che questi dispositivi sono abbastanza vulnerabili a un determinato hacker e, una volta ottenuto l'accesso, potrebbero banalmente intercettare ogni password di ogni connessione SSL di centinaia di migliaia di utenti. Sono sorpreso che non abbiamo ancora sentito nulla su questo tipo di attacco in corso, ma forse lo ha già fatto e gli hacker sono troppo occupati a svuotare i conti bancari per vantarsene. La conoscenza pubblica di un simile attacco sarebbe estremamente dannosa per qualsiasi fornitore di firewall / filtri e farebbero tutto il possibile per nasconderlo.

Aggiornamento dicembre 2015 : Backdoor trovate nel firewall Juniper, presente dal 2012.

"Lo sviluppatore capo mi ha detto," non abbiamo idea di quanto siano arrivati ​​nella rete interna, o di cosa abbiano fatto una volta entrati. "" <- beh sì, presumibilmente la sicurezza della rete non è il loro lavoro.
@immibis _ "Noi" _ come _ "l'azienda" _, non _ "Io personalmente" _
#12
+1
ThoriumBR
2015-11-04 20:46:46 UTC
view on stackexchange narkive permalink

Puoi utilizzare il loro certificato e, in aggiunta, una VPN.

Puoi creare una tabella di routing personalizzata, instradando tutto tranne il traffico di rete interno attraverso la VPN. In questo modo possono solo decrittografare le connessioni tra te e i sistemi sulla rete del college. Tutto il resto verrà instradato tramite la tua connessione VPN e sarà al sicuro.

Ma l'utilizzo di una VPN farà sì che tutto il tuo traffico venga indirizzato a un singolo server (il tuo provider VPN) e sembrerà sicuramente molto sospetto su i registri. Se il tuo college non consente le connessioni VPN, è meglio non usarne una o usarla solo per attività specifiche (come il controllo della posta elettronica, ad esempio). Usare FoxyProxy su Firefox può aiutarti in questo.

Ho affrontato una scuola altrettanto restrittiva e ho fatto ricorso a una VPN, a loro non piaceva, ma uno del personale della rete ha sottolineato che il traffico VPN non è più un loro problema.
Qualsiasi soluzione che comporti l'installazione del loro certificato ti rende vulnerabile ** anche quando non utilizzi la loro rete **. Questo è un cattivo consiglio.
Non è necessario installare il certificato a livello di sistema. Installalo solo sul tuo browser alternativo.
@ThoriumBR: Anche questa è un'idea ragionevole.
È una buona idea per limitare l'ambito di ciò che possono ispezionare, ma non aspettarti che gli altri browser e applicazioni abbiano alcuna connettività.
@GuitarPicker Per tutto il resto, utilizzerai la tua connessione VPN.
#13
+1
dimo414
2015-11-05 09:46:58 UTC
view on stackexchange narkive permalink

Credo che tu possa utilizzare in sicurezza un dispositivo Chrome OS, con un account Google "scolastico" dedicato che utilizzi esclusivamente per l'accesso alla rete della scuola. Il passaggio a un altro account (ad esempio il tuo account personale) non utilizzerà più il certificato della scuola o le impostazioni di quell'utente e Chrome OS è progettato per isolare in modo sicuro gli account.

Questo articolo della guida (scritto per gli amministratori di dominio, non per gli utenti) afferma che ciò è possibile e rileva inoltre che si applica solo mentre l'utente del dominio è connesso.

#14
  0
Luc
2015-11-10 22:14:32 UTC
view on stackexchange narkive permalink

Ho cercato un modo per utilizzare Tor su HTTP (senza il comando proxy CONNECT ) quando ho letto per la prima volta la tua domanda, ma tutte le risposte precedenti dicevano che al momento era impossibile (ho trovato solo una proposta del 2013 che non è mai arrivato da nessuna parte). Ora mi sono imbattuto in questo, non sono sicuro che sia ciò di cui hai bisogno, ma sembra proprio così:

https://trac.torproject.org/projects/tor/wiki/doc/meek

meek è un trasporto collegabile che utilizza HTTP per trasportare byte e TLS per offuscare



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...