Comment vérifier ma connexion ne se passe pas par le proxy MITM?

Parmi ces trois points que vous avez mentionnés, aucun d'entre eux ne peut être utilisé pour détecter de manière fiable une attaque d'homme à l'homme.

Vérifier qui émet le certificat et voir s'il est auto-signé installé dans mon propre magasin de certificats racine.

Tous les certificats racines sont auto-signés. Cela, et le fait qu'ils soient capables d'être des autorités de certification, est ce qui les fait eux un certificat racine.

Cependant, ce que vous pouvez faire, cependant, c'est comparer votre magasin de certificats manuellement avec un bon magasin de certificats connu. Microsoft and Apple, par exemple, publie quels certificats root ils font confiance par défaut. Si votre configuration varie inexplicablement, elle mai être un signe de compromis.

Bien sûr, dans un environnement de la société, votre service informatique est très susceptible d'avoir leur propre CA, qu'ils déployaient sur votre machine. Alors vérifiez avec eux si vous vous inquiétez d'un ordinateur d'entreprise étant compromis.

Vérification Si je suis servi de contenu Web à partir d'une adresse IP locale au lieu de l'IP du serveur extérieur et si l'IP locale est toujours la même.

Si vous êtes dans un réseau domestique, vous n'obtenez pas le contenu directement à partir du serveur Web, mais vous l'avez acheminé sur de nombreux nœuds de réseau. Chacun de ceux-ci, théoriquement, pourrait changer l'adresse IP source.

Imaginez que votre routeur de maison a été compromis et conduirait une attaque homme-midi. Ils pourraient, théoriquement, changent de destination de vos paquets IP et de les faire comprendre à l'attaquant. Lors de la réponse, le routeur pourrait ensuite causer des paquets en arrière, ce qui leur permet de ressembler comme s'ils venaient de la bonne source.

Bien sûr, cela serait perceptible, car si vous utilisez HTTPS, l'attaquant n'aura probablement pas de certificat valide pour le site, à moins d'avoir également installé un certificat racine compromis sur votre machine.

Vérification Si mes paramètres de proxy système sont configurés à localhost.

Les paramètres de proxy du système ne sont pertinents que pour les applications qui se soucient d'eux. En fait, une application peut simplement décider de ne pas utiliser les paramètres de proxy du système. Ceci est vital, car sinon, les procurations fonctionnant sur localhost tenteraient de nous appeler eux-mêmes et de se retrouver dans une boucle sans fin.

En outre, une configuration de proxy indique uniquement votre ordinateur d'envoyer tout le trafic au proxy, en attendant que le proxy s'occupe des réponses. C'est, en substance, le même travail qu'un routeur. En tant que tel, si votre trafic passe par un routeur, vous pouvez penser à eux comme un "proxy" de TRES. Bien sûr, ce n'est pas entièrement vrai, mais pour des raisons de brièveté, il est assez proche.

Toutefois, si vous voyez une configuration proxy que vous n'avez pas mise là-bas, cela peut être un signe de compromis. Il n'a pas besoin d'être à localhost, cependant.

Comment puis-je détecter un proxy si les choses ci-dessus ont l'air normale?

Vous ne pouvez probablement pas. Si vous êtes parfaitement certain qu'aucun certificat racine étrange n'a été installé, vous n'êtes probablement pas attaqué avec une attaque man-in-intermédiaire. Ou du moins, vous le sauriez, tant que vous utilisez HTTPS. Pour la communication en plainte, vous n'avez aucun moyen de savoir du tout.

Comment Avast peut-il utiliser un proxy homme-in-the-intermédiaire pour analyser les sites Web, même si je ne vois aucune preuve de celui-ci?

Un certain nombre de choses peuvent être possibles:

• Depuis que vous avez installé Avast, il peut avoir installé un certificat racine.
• Étant donné que le logiciel anti-virus aime aller très profondément dans le système d'exploitation, il peut avoir inséré un système de procuration que chaque connexion doit suivre, même si elle n'est pas visible à l'utilisateur.