Riksdagen avlyssnar SSL-trafik

Publicerat: 26 november 2008 i Säkerhet

privacydummies

Enligt ett blogginlägg av riksdagsledamoten Lage Rahm (MP) så visar det sig att Riksdagens IT-avdelning avlyssnar all webbtrafik som går till och från riksdagen, även den som är SSL-krypterad!

SSL-kryptering är ju normalt skyddad end-to-end, dvs mellan klienten och webbservern, men i och med att de använder en webbproxy (BlueCoat i detta fall, men även ISA klarar detta med tredjeparts add-ons), så kan proxyn terminera SSL-sessionen som klienten skapade och skapa en ny egen session mellan proxyn och webbservern. Terminera i detta fall betyder inte att stänga av utan att avsluta krypteringen. Detta gör att även SSL-krypterad trafik kan inspekteras/spioneras på.

En klient skulle i en sån här man-in-the-middle attack normalt klaga på att proxyn inte kan visa upp ett giltigt certifikat som matchar webbadressen, men eftersom de som driftar denna proxylösning även kan ge ut certifikat som klienten litar på (via sin interna PKI-lösning) kan proxyn i realtid generera giltiga webbcertifikat för vilken webbadress som helst.

Det enda sättet att upptäcka detta är att manuellt kontrollera vilken CA som har signerat webbservercertifikatet för webbadressen man besöker. Är det en extern leverantör med gott rykte (t.ex. Verisign, Thawte, Equifax) så är det troligen okej, men om det är signerat av en intern CA-server är det ett tecken på att detta sker. Det bästa sättet är att verifiera det är förstås att kontrollera vilken CA som har signerat webbserverns certifikat via en annan anslutning än den man misstänker.

Spana in denna bilden om det jag skrev lät förvillande (klicka på den för en större version):

sslmitm

Jag ser egentligen inte denna teknik som ett problem, det man gör från en arbetsgivares verktyg och nät bör kunna övervakas, för företagets eget bästa. Men det förutsätter självklart att de som övervakas aktivt blir informerade om vad som sker och vad det innebär för deras integritet!

Som med allt annat är det inte tekniken som är ett hot, bara uppsåt och användning av den.

Dock framgår det i texten att även ogiltiga certifikat accepteras av proxyservern. DET däremot ser jag som ett stort problem, om så verkligen är fallet! Då kan jag sätta upp http://www.enbank.se som signeras med min egen CA-server. Ingen litar på det, men deras proxy ger ändå ut ett giltigt internt certifikat, så alla riksdagens klienter litar blint på det. Inte bra.

Riksdagsledamoten Lage Rahms blogginlägg:
http://lagen.net/index.php/2008/11/storebror-ser-mig/

Här finns mer info om hur övervakning sker på svenska företag (fast här handlar det inte om Man-in-the-middle utan om att inventera vad som finns lagrat på klienterna eller med installerade agenter övervaka vad som sker på dem):
http://nyhetskanalen.se/1.733359/2008/11/22/skatteverket_vill_overvaka_mer

Annonser
kommentarer
  1. Anders skriver:

    Det som är imponerande i det här är hur tekniskt duktig denna riksdagsledamot är.

    Kan dessvärre inte säga så mycket om kommande TMG som ersätter ISAn p.g.a. nda-avtal men jag kan säga att Microsoft tänker mer på användare och certifkatpålitlighet än nuvarande tredjepartare.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s