[uylug-varios] "HTTPS Inspection" ¿es ético?

Gabriel Menini gabriel.menini at gmail.com
Mon Apr 30 16:41:27 PDT 2012


Hola, uylug-varios.

Obviamente que este no es sobre "uylug", ni sobre "lug", ni sobre 
"línucs" (escribo así "línucs", entre comillas, para no caer en la 
tentación de tener que poner sufijos y/o prefijos que puedan dar lugar a 
encendidas discusiones que determinen, luego, la pérdida de foco del 
hilo que pretendo iniciar). <respiro>. :-P

Definitivamente es sobre "varios" y, también, es sobre "uy" ;-)



En la empresa donde trabajo, el acceso a internet se realiza a través de 
un producto de Microsoft que reune una oblea de servicios en un solo 
producto (creo): firewall, proxy, filtro de contenidos, y quién sabe 
cuánto más.

Parece que se está trabajando en la migración a la nueva evolución del 
producto, cuyo rimbombante nombre comercial es "Forefront Threat 
Management Gateway (TMG) 2010" <respiro>.

Parece que una de las características a habilitar sería HTTPS Inspection 
[1] y (más cortito) aquí [2]

En este enlace leo:

A Word of Caution

Before implementing HTTPS inspection, it is strongly suggested that you 
communicate your intentions to your legal and HR departments and obtain 
their consent. Inspecting end user’s private encrypted communication can 
be a sensitive subject, for obvious reasons. Before a production 
roll-out of HTTPS inspection, make certain that your corporate security 
and acceptable uses policies have been updated to indicate that 
encrypted communication will be inspected. User notification and 
exemption of sites deemed sensitive (e.g. banking and medical sites) may 
also be necessary.

Traducción del párrafo vía BabelFish: [3].

Ahora, la pregunta: ¿no es acaso un problema ético andar inspeccionando 
una transacción HTTPS? Es como si pusieran un keylogger para saber mi 
contraseña corporativa, o como si en los baños pusieran camaritas para 
ver si orino de pie, sentado, saltando o haciendo el paro de manos...

No sé... el límite es bastante difuso... El "HTTPS Inspection" tira por 
la borda la finalidad del HTTPS. Es un ataque de man-in-the-middle, 
¿cómo voy a andar accediendo al e-BROU con un certificado emitido y 
autofirmado por un producto gestionado por otras personas que no soy yo??

Lamentablemente, no puedo confiar una sesión cifrada a un WinSysAdmin.
Espero que RRHH y Jurídica puedan darse cuenta de esto....

¿Estoy siendo muy paranoico? Creo que otros fabricantes de firewall 
también lo implementan...



[1] 
<http://www.isaserver.org/tutorials/Configuring-HTTPS-Inspection-Forefront-Threat-Management-Gateway-TMG-2010.html>
[2] 
<http://www.microsoftnow.com/2010/06/demystifying-outbound-https-inspection-in-forefront-tmg.html>
[3] <http://tiny.cc/babelfish>

Abrazo,
-- 
Arle


More information about the Uylug-varios mailing list