Ik weet dat op zakelijk laptops er manieren zijn voor hen om te zien wat je doet en waar je naar zoekt op internet. Misschien zelfs manieren om je dagelijkse gebruik te loggen. Maar is er een manier voor hen om te zien wat je doet op iPhones? Ik denk misschien in internetverkenners, maar hoe zit het met Facebook, Instagram, Reddit, wat dan ook. Ik heb het gevoel dat het voor hen moeilijk kan zijn om dat te doen, vooral omdat de beveiliging van iPhones zo sterk is.
Laten we het een beetje opsplitsen. Het hangt allemaal af van de investering die je werkgever erin steekt en welke technologie ze gebruiken. Persoonlijk zou ik altijd aannemen dat ze de capaciteit hebben om alles te zien wat je op het netwerk doet, gast-wifi of niet.
Sommige werkgevers geven niet om wat je op de gast-wifi doet. Anderen behandelen het als een ruimte waar onbeheerde apparaten bestaan, maar omdat je je aanmeldt met je bedrijfsgegevens, blijven ze alle verkeer op dat draadloze netwerk als beheerd beschouwen.
De aanname dat ze alleen categorieën kunnen zien, is gebaseerd op een decennium geleden. Technologie kan elke URL loggen, de tijd die je eraan besteedt, verzonden en ontvangen bytes, redirects en andere kopinformatie van elke aanvraag die je apparaat maakt. Gezien de hoeveelheid statistieken (bijvoorbeeld een Check Point firewall registreert meer dan 140 datapunt) is het voor het beheerteam triviaal om gebruikers met veel bandbreedte, topwebsites per gebruiker, gebruikte tijd op het netwerk, etc., te identificeren.
Afhankelijk van de werkgever, maar beschouw deze gegevens niet als slechts achtergelaten. Als ik op zoek ben naar potentiële bedreigingen voor mijn werkgever, zou ik kunnen filteren op grote datablokken. Ik zoek misschien niet eens naar wie de hele dag movies streamt, maar het kan iets zijn dat opvalt omdat het abnormaal is. Aan de andere kant kunnen sommige werkgevers uit kostenbesparing op zoek zijn naar mensen die de hele dag Spotify streamen op het werk-wifi of YouTube-muziek op de achtergrond laten spelen. Je weet nooit.
Tegenwoordig kunnen werkgevers alle verkeer dat door hun netwerk gaat man-in-het-midden (MITM) maken en HTTPS-inspectie uitvoeren. Dit betekent dat ze alles kunnen zien wat je doet, elke HTTPS-website die je bezoekt. Dit betekent dat gebruikersnamen, wachtwoorden, creditcardinformatie, berichten, opmerkingen, enz., alles wat je op een webpagina zet, kan worden gelogd en bekeken.
De reden waarom dit gebeurt, is zodat inspectiemachines deze gegevens kunnen beoordelen op bekende kwaadaardige inhoud, pogingen tot datadiefstal, enzovoort, maar als onderdeel hiervan zullen ze alles inspecteren.
Verwacht nooit dat wat je doet op de apparaten of infrastructuur van je werkgever privé en veilig is voor nieuwsgierige ogen. Ze kunnen elk moment zien dat je telefoon het internet gebruikt via hun wifi — het maakt niet uit of je de Facebook-, Instagram- of Reddit-app gebruikt of een webbrowser. Het verkeer wordt op dezelfde manier verzonden, en wanneer je op de werk-wifi bent die van je werkgever is, moet je altijd aannemen dat ze alles zien wat je doet, en dan zul je nooit verrast zijn.
Het is zeker mogelijk om Facebook, Instagram, Reddit, enz. te detecteren met deep packet inspection (DPI), zelfs op iPhones. Ze maken webverzoeken zoals elk ander apparaat. Hier is een voorbeeld: https://imgur.com/a/QphGRuT
Zoals de andere posters zeiden, gaat het meer om categorisering en niet specifiek wat je bekijkt. Je zult waarschijnlijk opgaan in een groot netwerk, tenzij je gebruik erg hoog is.
Als je moet inloggen om toegang te krijgen, kunnen je inloggegevens worden gekoppeld aan het bron-IP van het netwerkverkeer. Dit geldt ook als je een door het bedrijf uitgegeven apparaat met mobiele apparaatbeheersoftware gebruikt.
Zoals anderen zeiden, tenzij je iets doet dat er kwaadaardig uitziet of een ongewone hoeveelheid bandbreedte gebruikt, zal je verkeer waarschijnlijk geen aandacht trekken. Behalve als ze specifiek je internetgebruik willen volgen dat is gekoppeld aan de inloggegevens waarmee je op hun netwerk inlogt.
Hopelijk helpt dit.
Kunnen ze dat? Ja — ik betrapte vorig jaar een medewerker die met haar iPad porno downloadde in strijd met ons IT-beleid.
Zitten ze op hun bureaus naar een scherm te kijken met ieders internetlogs of door honderden pagina’s logboek te gaan? Zeer onwaarschijnlijk. Dat gezegd hebbende, zullen de meeste plaatsen een soort monitoringssoftware/app gebruiken die hen waarschuwt voor gemarkeerd verkeer. Daarnaast heeft dezelfde software de mogelijkheid om managementrapporten te geven over verkeer op individuele apparaten indien daarom wordt gevraagd.
Persoonlijk zou ik adviseren, als je zeker wilt weten dat ze geen manier hebben om het te monitoren, gebruik dan geen apparaat op het netwerk of gebruik een gastnetwerk. Ik heb een gastnetwerk dat gekoppeld is aan onze back-up datalijn dat niet wordt gemonitord, en ik laat daar alle niet-bedrijfstoestellen op aansluiten (geen BYOD-apparaten op het productienetwerk).
Ze kunnen je apparaat identificeren door je apparaatnaam en MAC-adres. Vervolgens kunnen ze je verkeer volgen via DNS en het IP waarmee je verbinding maakt. Je kunt dit allemaal omzeilen door een algemene telefoonnaam te gebruiken (zeer haalbaar) en het MAC-adres te veranderen (meestal niet mogelijk op een iPhone).
Je kunt je DNS aanpassen en IP’s maskeren met een VPN. https://openvpn.net/vpn-server-resources/connecting-to-access-server-with-apple-ios/
De enige betrouwbare gratis VPN’s zouden zijn cryptostorm.is/cryptofree en https://protonvpn.com/free-vpn
Laten we deze opties rangschikken:
Optie 1 (Rank A): Een apparaat krijgen dat willekeurige MAC-adressen ondersteunt (de meeste moderne Androids). De apparaatnaam wijzigen in iets niet-identificeerbaars. OpenVPN gebruiken met een betrouwbare VPN-dienst.
Optie 2 (Rank B): Hou je iPhone. Wijzig de apparaatnaam (die ze waarschijnlijk al hebben vastgelegd gekoppeld aan je MAC-adres). Gebruik OpenVPN met een betrouwbare VPN-dienst.
Optie 3 (Rank D): Gebruik de 1.1.1.1 app op iOS om DNS te wijzigen. Wijzig de apparaatnaam.
Bewerking: Installeer nooit hun certificaten om verbinding te maken. Dat vernietigt alle privacy, zelfs die van je netwerk.
Kunnen ze de naam van het apparaat dat werd gebruikt om te surfen via de browser herkennen? Is dat een mogelijkheid?
Ik ben niet helemaal zeker over MiTM. Hoe nemen ze de certificaten? Tenzij je voor Digicert werkt, lijkt dat niet mogelijk.
En zelfs als ze de CA zouden kunnen faken, zou het niet werken door certificaat-pinning en vooraf geladen certificaat-pinning.
Tenzij we het over bedrijfsmiddelen hebben, maar ik denk dat het niet het geval is.
Aan OP, ik zou zeggen dat ze kunnen zien wat geraden kan worden zonder TLS te verbreken, namelijk: welke sites je bezoekt (Reddit, Twitter, enz.), hoeveel tijd en bandwidth, maar niet welke URL’s (ze zullen niet weten of je op r/cybersecurity was of op r/gifs).
Oh, dus je zegt dat het moeilijk is voor een netwerk om alle data die door elke bedrijfscomputer, persoonlijke iPhones gaat te monitoren. Maar op mijn telefoon kan het misschien een waarschuwingssignaal geven als ik de hele dag films aan het streamen ben of veel bestanden download.
Ok, dank je! We hadden het er allemaal over en vroegen ons af of ze fysiek konden zien wat we deden op onze telefoons. Zoals Reddit-berichten plaatsen en zo.
We praten over apparaten die op het bedrijfsnetwerk zitten — zelfs als het een gast-wifi is. Het hoeft geen beheerd apparaat te zijn; je eigen telefoon, als je het op het wifi-netwerk aansluit, kan hier last van hebben.
Het is eerlijk gezegd triviaal. De meeste grote firewallsystemen doen dit nu als onderdeel van hun basisdiensten.
De samenvatting is dat het het verzoek stopt bij de rand van het netwerk, je verzoek imiteert naar de server, de inhoud van de server krijgt en dat aan jou presenteert. Dus je krijgt nooit een SSL-verbinding met de server, je hebt een SSL-verbinding met de gateway, en de gateway heeft een SSL-verbinding met de server. Je browser gelooft dat de gateway de eindserver is en de eindserver gelooft dat de gateway je browser is, en zo kun je alles zien dat tussenin gebeurt omdat jij de gateway bezit.
De lange versie van hoe dit werkt is:
Bij uitgaande HTTPS-inspectie, wanneer een cliënt binnen de organisatie een HTTPS-verbinding start naar een beveiligde site, doet de Security Gateway het volgende:
- Intercepteert het verzoek.
- Maakt een beveiligde verbinding met de gevraagde website en valideert het servercertificaat.
- Creëert een nieuw SSL-certificaat voor de communicatie tussen de Security Gateway en de cliënt, stuurt dat nieuwe certificaat naar de cliënt en gaat door met de SSL-onderhandeling.
Met de twee SSL-verbindingen:
- Ontcijfert de het versleutelde data van de cliënt.
- Inspecteert de platte tekst inhoud.
- Versleutelt de data weer, om de privacy van de cliënt te behouden terwijl de data naar de webserver reist.
Bij inkomende HTTPS-inspectie, wanneer een client buiten de organisatie een HTTPS-verbinding start naar een server achter de gateway, doet de Security Gateway het volgende:
- Intercepteert het verzoek.
- Gebruikt het originele servercertificaat en de private sleutel om een SSL-verbinding met de client te starten.
- Creëert en stelt een nieuwe SSL-verbinding met de webserver tot stand.
Met de twee SSL-verbindingen:
- Ontcijfert de het versleutelde data van de cliënt.
Inspecteert de platte tekst inhoud. - Versleutelt de data weer om de privacy van de cliënt te behouden terwijl de data naar de server achter de gateway reist.
Hier is een afbeelding van hoe het werkt. Het blauwe wolkje stelt een Zscaler voor, een apparaat dat HTTPS-inspectie kan doen.
