บริษัท ของเราอ้างว่าระบบ DLP สามารถตรวจสอบเนื้อหาของการรับส่งข้อมูล HTTPS มันเป็นไปได้อย่างไร?

1

มีซอฟต์แวร์ที่ติดตั้งบนเครื่องไคลเอ็นต์ทั้งหมดสำหรับ DLP (การป้องกันการสูญเสียข้อมูล) และการปฏิบัติตาม HIPAA สมมุติว่ามันสามารถอ่านข้อมูล HTTPS ได้อย่างชัดเจน ฉันคิดเสมอว่าระหว่างเบราว์เซอร์และเซิร์ฟเวอร์สิ่งนี้ถูกเข้ารหัสทั้งหมด ซอฟต์แวร์สามารถแอบเข้ามาและรับข้อมูลนี้จากเบราว์เซอร์ก่อนที่จะถูกเข้ารหัสหรือหลังจากที่มันถูกถอดรหัสได้อย่างไร ฉันแค่อยากรู้ว่ามันเป็นไปได้อย่างไร ฉันคิดว่าเบราว์เซอร์จะไม่ถือว่าปลอดภัยหากเป็นไปได้

security  browser  encryption  ssl 
MetaGuru
แหล่งที่มา
1
คุณน่าจะรู้เรื่องนี้อยู่แล้ว แต่เบราว์เซอร์นั้นปลอดภัยพอ ๆ กับที่มันทำงานอยู่ หากฉันเข้าถึงพีซีโดยไม่ใช้เครื่องก็มีหลายวิธีในการตรวจสอบกิจกรรม (ทั้งหมด) บนเครื่อง
BJ292

คำตอบ:

2

ซอฟต์แวร์ที่ติดตั้งบนไคลเอนต์สามารถเข้าถึงข้อมูลก่อนที่จะถูกเข้ารหัส (หรือหลังจากถอดรหัส) โดยการแก้ไขหรือเชื่อมต่อเข้ากับรหัสเบราว์เซอร์ มีวิธีการมากมายในการแทรกรหัสลงในเบราว์เซอร์รวมถึง Browser Helper Objects (Internet Explorer) หรือส่วนขยาย (เบราว์เซอร์อื่น)

นอกจากซอฟต์แวร์ป้องกันการสูญหายของข้อมูลมัลแวร์ที่ขโมยข้อมูลรับรองธนาคารออนไลน์รวมถึง Zeus ยังใช้เทคนิค "man-in-the browser" ด้วย มัลแวร์บางตัวใช้รูทคิทโหมดเคอร์เนลเพื่อหลีกเลี่ยงการตรวจจับ

โปรดทราบว่ามีวิธีการอื่นในการดักจับการรับส่งข้อมูล HTTPS รวมถึงการเพิ่ม CA "ผู้ให้บริการที่เชื่อถือได้" (หน่วยงานออกใบรับรอง) ลงในเบราว์เซอร์เพื่อทำการโจมตีแบบ (ในกรณีอย่างน้อยหนึ่งกรณี CA ที่จัดตั้งขึ้นจริง ๆ แล้วลงนามเช่น CA รองทำให้การติดตั้งใบรับรองไม่จำเป็นสำหรับการโจมตีที่สำเร็จ)

PleaseStand
แหล่งที่มา
สิ่งนี้ทำกันทั่วไป องค์กรกำหนดค่าพร็อกซีเซิร์ฟเวอร์และติดตั้งใบรับรองที่ตรงกับ * - เบราว์เซอร์ทั้งหมดทำการเชื่อมต่อ https ซึ่งสิ้นสุดที่พร็อกซีเซิร์ฟเวอร์ซึ่งจะมีการอ่าน / บันทึก / แก้ไข / สแกน / ข้อมูลและสร้างเซสชัน https กับเซิร์ฟเวอร์ปลายทางที่แท้จริง ผู้ใช้ที่มีความซับซ้อนสามารถดูใบรับรองที่แสดงในเบราว์เซอร์ของพวกเขาและความรู้ แต่ไม่มีใคร แต่ฉันจะตรวจสอบใบรับรองด้วยตนเอง;)
ราม
1

ฉันเชื่อว่าเป็นไปได้ที่จะดมกลิ่นการเชื่อมต่อผ่านพร็อกซี แต่ไม่สามารถดูข้อมูลที่เข้ารหัสได้ มันจะเป็นการเข้ารหัสก่อนหรือหลัง

https ป้องกันคนจากการโจมตีกลางโดยพร็อกซีเซิร์ฟเวอร์หรือไม่

กำลังตรวจสอบการเชื่อมต่อ HTTPS ... ถอดรหัสหรือไม่

นี่คือการเปรียบเทียบว่าสิ่งใดที่เกิดขึ้นระหว่างการเชื่อมต่อ https:

ลองนึกภาพกล่องล็อคแบบที่มีแผ่นโลหะที่คุณใส่กุญแจเพื่อความปลอดภัย ลองนึกภาพว่าห่วงที่คุณใส่กุญแจมีขนาดใหญ่พอที่จะใส่กุญแจคล้องสองอัน ในการแลกเปลี่ยนส่งบางอย่างไปยังบุคคลอื่นอย่างปลอดภัยโดยไม่ต้องแชร์กุญแจกุญแจ

  1. ใส่ "สิ่ง" ในกล่องและล็อคด้วยกุญแจของคุณ
  2. ส่งกล่องล็อคไปยังอีกฝ่าย
  3. พวกเขาวางกุญแจไว้ที่ลูปด้วย (เพื่อให้มีล็อคสองอันในนั้น) และส่งคืนกล่องล็อคสองชั้นให้กับคุณ
  4. คุณลบกุญแจของคุณและส่งกลับกล่องที่ถูกล็อคโดยลำพังตอนนี้
  5. พวกเขาลบล็อคของตัวเองและเปิดกล่อง

ด้วยการเข้ารหัสล็อคและกุญแจเป็นคณิตศาสตร์ แต่แนวคิดทั่วไปนั้นชัดเจนเช่นนี้

Logman
แหล่งที่มา
นั่นเป็นการเปรียบเทียบที่ไม่ใช้เทคนิคที่ยอดเยี่ยมของกระบวนการ! อย่างต่อเนื่องการเปรียบเทียบผมถือว่ามีวิธี (แตกหวัง / unspoofable) ที่จะบอก: ผู้ที่เป็นเจ้าของกล่องที่ส่งกล่องที่ใช้ล็อคที่ล็อคอยู่ ...
เควิน Fegan
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.