[uylug-varios] "HTTPS Inspection" ¿es ético?
Luis Pablo Pérez
kylroy at gmail.com
Tue May 1 03:12:12 PDT 2012
2012/5/1 Gabriel Menini <gabriel.menini at gmail.com>:
> Hola, uylug-varios.
>
> Obviamente que este no es sobre "uylug", ni sobre "lug", ni sobre "línucs"
> (escribo así "línucs", entre comillas, para no caer en la tentación de tener
> que poner sufijos y/o prefijos que puedan dar lugar a encendidas discusiones
> que determinen, luego, la pérdida de foco del hilo que pretendo iniciar).
> <respiro>. :-P
>
> Definitivamente es sobre "varios" y, también, es sobre "uy" ;-)
>
>
>
> En la empresa donde trabajo, el acceso a internet se realiza a través de un
> producto de Microsoft que reune una oblea de servicios en un solo producto
> (creo): firewall, proxy, filtro de contenidos, y quién sabe cuánto más.
>
> Parece que se está trabajando en la migración a la nueva evolución del
> producto, cuyo rimbombante nombre comercial es "Forefront Threat Management
> Gateway (TMG) 2010" <respiro>.
>
> Parece que una de las características a habilitar sería HTTPS Inspection [1]
> y (más cortito) aquí [2]
>
> En este enlace leo:
>
> A Word of Caution
>
> Before implementing HTTPS inspection, it is strongly suggested that you
> communicate your intentions to your legal and HR departments and obtain
> their consent. Inspecting end user’s private encrypted communication can be
> a sensitive subject, for obvious reasons. Before a production roll-out of
> HTTPS inspection, make certain that your corporate security and acceptable
> uses policies have been updated to indicate that encrypted communication
> will be inspected. User notification and exemption of sites deemed sensitive
> (e.g. banking and medical sites) may also be necessary.
>
> Traducción del párrafo vía BabelFish: [3].
>
> Ahora, la pregunta: ¿no es acaso un problema ético andar inspeccionando una
> transacción HTTPS? Es como si pusieran un keylogger para saber mi contraseña
> corporativa, o como si en los baños pusieran camaritas para ver si orino de
> pie, sentado, saltando o haciendo el paro de manos...
>
> No sé... el límite es bastante difuso... El "HTTPS Inspection" tira por la
> borda la finalidad del HTTPS. Es un ataque de man-in-the-middle, ¿cómo voy a
> andar accediendo al e-BROU con un certificado emitido y autofirmado por un
> producto gestionado por otras personas que no soy yo??
>
> Lamentablemente, no puedo confiar una sesión cifrada a un WinSysAdmin.
> Espero que RRHH y Jurídica puedan darse cuenta de esto....
>
> ¿Estoy siendo muy paranoico? Creo que otros fabricantes de firewall también
> lo implementan...
Por donde comenzar?? esto tiene tantas puntas... flame wars!!!! :)
Primero lo primero: no se puede hacer un man-in-the-middle de una
conexión HTTPS solo mirando el tráfico. Si se puede es porque hay un
bug buscando una solución.
Claro, por 'no se puede' aquí se entiende que es TAN difícil que es
materialmente imposible.
Los que estos buenos señores están haciendo es romper la cadena de
confianza.... o obligarte a confiar en ellos. Como el trafico pasa por
ellos lo que hacen es crear un certificado a partir del certificado
original. Una vez que alguien esta como autoridad certificadora y ese
alguien esta en el medio... es GAME OVER.
Esta es la parte fácil... sobre si es ético, legal ... pff,
probablemente hay bibliotecas enteras al respecto. Pueden darse todas
la combinaciones, ético y legal no están relacionados.
es legal ? depende de donde te encuentres, lo mejor es preguntar a un
abogado. Sospecho que en lugares como Europa hacer algo así debe ser
ilegal... bha, apuesto que si agregas 'terrorismo' en la justificacion
pueden permitirte hacerlo :)
Luego, si es ético... pff x 10 ... yo que se... depende de como lo
implementen ... puedo imaginar argumentos a favor y en contra.
Ej: es ético acceder a tu cuenta de e-Brou desde tu trabajo usando
infraestructura (energía, ancho de banda, tu tiempo que esta siendo
pago por tu empleador) ?
Ojo, no digo que no lo sea solo que la pregunta puede estar en la
cabeza de alguna gente.
Personalmente creo que esta solución muy peligrosa... EXTREMADAMENTE
peligrosa: ese servicio esta creando certificados para acceder a todo
sitio seguro de internet transformándolo en literalmente inseguro. Una
empresa que actúe eticamente debería comunicar detalladamente en forma
PERIÓDICA (1 vez por mes?) a todos los empleados de esto. En esa
comunicación se debe explicar las razones y recomendaciones para
evitar que información privada (ie: personal) corra el riesgo de
terminar en manos no deseadas (desde otro empleado a alguien que toma
el control del firewall).
>
>
>
> [1]
> <http://www.isaserver.org/tutorials/Configuring-HTTPS-Inspection-Forefront-Threat-Management-Gateway-TMG-2010.html>
> [2]
> <http://www.microsoftnow.com/2010/06/demystifying-outbound-https-inspection-in-forefront-tmg.html>
> [3] <http://tiny.cc/babelfish>
>
> Abrazo,
> --
> Arle
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
More information about the Uylug-varios
mailing list