우리 회사는 DLP 시스템이 HTTPS 트래픽의 내용을 모니터링 할 수 있다고 주장합니다. 어떻게 가능합니까?

1

DLP (Data Loss Prevention) 및 HIPAA 준수를 위해 모든 클라이언트 시스템에 소프트웨어가 설치되어 있습니다. 아마도 HTTPS 데이터를 명확하게 읽을 수 있습니다. 나는 항상 브라우저와 서버 사이에서 이것이 완전히 암호화되었다고 생각했습니다. 소프트웨어가 암호화되기 전 또는 암호 해독 된 후 브라우저에서이 데이터를 몰래 가져 와서 어떻게 가져올 수 있습니까? 이것이 어떻게 가능한지 궁금합니다. 이것이 가능하다면 브라우저가 안전하지 않다고 생각합니다.

security  browser  encryption  ssl 
메타 구루
소스
1
당신은 아마 이것을 이미 알고 있지만 브라우저는 그것이 실행되는 머신만큼 안전합니다. PC에 자유롭게 액세스 할 수 있다면 머신의 모든 활동을 모니터링하는 많은 방법이 있습니다.
BJ292 2016 년

답변:

2

클라이언트에 설치된 소프트웨어는 브라우저 코드를 수정하거나 후크하여 데이터를 암호화하기 전에 (또는 해독 한 후) 데이터에 액세스 할 수 있습니다. 브라우저 도우미 개체 (Internet Explorer) 또는 확장 (기타 브라우저)을 포함하여 브라우저에 코드를 주입하는 다양한 방법이 있습니다.

Zeus를 포함하여 온라인 뱅킹 자격 증명을 훔치는 멀웨어는 데이터 손실 방지 소프트웨어 외에도이 "맨인 브라우저"기술을 사용합니다. 일부 맬웨어는 탐지를 피하기 위해 커널 모드 루트킷을 사용하기도합니다.

브라우저에 "신뢰할 수있는"CA (인증 기관)를 추가하여 MITM (Man-in-the-Middle) 공격을 가능하게하는 등 HTTPS 트래픽을 스니핑하는 다른 방법도 있습니다. (적어도 하나의 경우에, 확립 된 CA는 실제로 그러한 하위 CA에 서명 하므로 성공적인 공격에 인증서를 설치할 필요가 없습니다.)

제발
소스
이것은 일반적으로 수행됩니다. 기업은 프록시 서버를 구성하고 *와 일치하는 인증서를 설치합니다. 모든 브라우저는 프록시 서버에서 종료되는 https 연결을 설정합니다. 그러면 프록시 서버에서 데이터를 읽거나 저장 / 수정 / 스캔하고 실제 대상 서버와 https 세션을 설정합니다. 정교한 사용자는 자신의 브라우저에 제공된 인증서를보고 알 수 있지만 본인 외에는 아무도 수동으로 인증서를 확인하지 않습니다.)
Ram
1

프록시를 통해 연결을 스니핑하는 것이 가능하지만 암호화 된 데이터를 볼 수는 없다고 생각합니다. 이전 또는 사후 암호화 일 것입니다.

https는 프록시 서버에 의한 중간 공격을 방지합니까?

HTTPS 연결을 관찰하는 중 ... 암호를 해독 하시겠습니까?

다음은 https 연결 중에 발생하는 내용에 대한 비유입니다.

자물쇠를 씌우는 금속 덮개가 달린 자물쇠 상자를 상상해보십시오. 자물쇠를 두는 고리가 자물쇠 2 개에 맞도록 충분히 크다고 상상해보십시오. 자물쇠 키를 공유하지 않고 안전하게 상대방에게 무언가를 보내려면

  1. 상자에 "사물"을 넣고 자물쇠로 잠그십시오.
  2. 잠긴 상자를 상대방에게 보냅니다.
  3. 그들은 자물쇠에 자물쇠를 두어 (두 자물쇠가 있습니다) 이중 자물쇠 상자를 당신에게 돌려줍니다.
  4. 자물쇠를 제거하고 이제 단일 잠금 상자를 다시 돌려 놓습니다.
  5. 그들은 자신의 자물쇠를 제거하고 상자를 엽니 다.

암호화를 사용하면 잠금 및 키가 수학이지만 일반적인 개념은 모호합니다.

로그 맨
소스
그것은 프로세스에 대한 훌륭한 비 기술적 비유입니다! 비유를 계속하면서, 나는 상자를 소유 한 사람, 상자를 보낸 사람, 자물쇠를 적용한 사람, 자물쇠가 속한 사람을 말할 수있는 방법이 있다고 가정합니다.
Kevin Fegan
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.