¿Quién puede espiar el tráfico HTTP de un usuario?

Muchas veces he escuchado que HTTPS debe usarse para transferir datos privados, ya que HTTP es vulnerable a los espías. Pero en términos prácticos, ¿quién es capaz de espiar el tráfico HTTP de un surfista determinado? Su ISP? ¿Otras personas en la misma LAN? ¿Alguien que conozca su dirección IP?

Fácil: simplemente siga el cable desde su PC al servidor.

Esto quizás sea específico de Austria, pero probablemente se vea similar en todo el mundo.

supongamos que tenemos un usuario DSL:

• PC -> Ethernet -> Módem

Cualquier persona con acceso a la infraestructura local puede detectar el tráfico.

• Módem -> Cobre 2 hilos -> DSLAM

Cualquier persona con acceso a la infraestructura y al equipo de cobre que pueda decodificar los datos puede escuchar a escondidas. La mayor parte de este cableado está relativamente desprotegido y es de fácil acceso si sabe dónde buscar, pero para decodificar los datos probablemente necesitará un equipo muy específico.

• DSLAM -> Infraestructura ISP -> Enrutadores centrales ISP

La mayoría de los DSLAM están conectados a través de Fiber a algún tipo de Fiber Ring / MAN a los enrutadores del ISP.

Ha habido historias en Alemania donde supuestamente agencias de tres cartas de los EE. UU. De A escucharon el tráfico de una Red de Área Metropolitana. Hay dispositivos disponibles que pueden hacer esto, solo necesita el presupuesto, la intención y el conocimiento correctos de la infraestructura local.

• Enrutadores centrales ISP -> BGP -> Target AS

Dado que el servidor de destino no está en el mismo sistema autónomo que el usuario, el tráfico debe enviarse a través de "Internet". Si va por Internet, para usar una cita de Snatch, "Todas las apuestas están desactivadas". Hay tantos rincones y grietas donde los operadores maliciosos podrían unirse, que es mejor suponer que todo su tráfico será leído.

El DHS (o tal vez alguna otra agencia) escuchó activamente la infraestructura troncal en los Estados Unidos en este nivel.

• Target AS Border router -> Infraestructura ISP -> Centro de viviendas

Véase más arriba.

• Enrutador del Centro de Vivienda -> Interruptores -> Servidor

Así es como algunos sitios ya fueron atacados. Ethernet no ofrece protección para los hosts que se encuentran en el mismo (V) LAN / dominio de transmisión, por lo que cualquier host puede intentar la suplantación / envenenamiento ARP para hacerse pasar por otro servidor. Esto significa que todo el tráfico de un servidor determinado se puede canalizar a través de una máquina en la misma LAN (V).

En una LAN conmutada (como la mayoría de las redes Ethernet), puede usar el envenenamiento de caché ARP para, en muchos casos, escuchar en ese tráfico. Básicamente, puede falsificar la computadora cliente y hacer que piense que su estación de escucha es el enrutador fuera de la LAN.

En LAN de medios compartidos, es decir, sin conmutación, como Ethernet inalámbrica sin cifrado o con cifrado roto , ni siquiera necesita hacer eso. ¡Sólo escucha!

En el ISP, y el ISP del ISP, y el ISP del ISP del ISP ... etc., un atacante solo necesitaría detectar el tráfico. Cualquier punto en el camino por el que fluya el tráfico está sujeto a posibles escuchas. También hay LAN entre ellas, por lo que siempre existe la posibilidad de escuchar a escondidas por envenenamiento de caché ARP, etc.

Finalmente, en el otro extremo habrá otra LAN, tan susceptible de espionaje como la LAN de origen.

J. El idiota aleatorio que conoce tu dirección IP no estará espiando tu tráfico sin hackear algo en el camino, o desviando el flujo de tráfico de su ruta normal hacia ellos.

Sí, el texto claro es malo.

Si coloca la conexión inalámbrica en el enlace, en cualquier lugar del camino (tarjeta WiFi, puente inalámbrico, etc.), cualquier persona que esté cerca de la red podrá escucharla.

WEP se rompe fácilmente, dado un período de tiempo razonablemente corto sentado junto a una red ocupada, y una vez que está en la red, puede ver el tráfico de todos.

Pruébelo usted mismo si lo desea. Descargue un programa llamado WireShark y pídale que lo capture en modo Promiscious. ¡Mira lo que sale!

Todo lo que sea confidencial, confidencial, privado y relacionado con el negocio debe enviarse a través de HTTPS. Un certificado firmado no es costoso, y si está en un dominio, puede crear su propia Autoridad de certificación, que se puede utilizar para asignar certificados para cifrar el tráfico en el que los clientes confiarán automáticamente en el mismo dominio.

Dependiendo de su ISP y de si su conexión es compartida o no, otros en su bucle local pueden detectar todo su tráfico. Suelen ser vecinos. Esto se suma a la lista de personas mencionadas por otras respuestas.

Además, además de escuchar a escondidas, también está el ataque del "hombre en el medio" en el que alguien se pone entre usted y el servidor web en cuestión. Si está hablando de SSH al servidor remoto, el ataque man-in-the-middle no llegará a ninguna parte. Si está hablando en texto claro, pueden actuar como un proxy y ver todo lo que hace.

El punto es que las personas pueden escuchar sus conversaciones incluso sin estar en su LAN o LAN remota. Intoxicación por caché de ARP para personas en su red local (o que han pirateado su red local), pero también envenenamiento por DNS para hacerle pensar que está hablando con alguien que no es usted. Si usa HTTPS con un certificado firmado y comprado, las personas tienen la oportunidad de saber que no están hablando con el servidor correcto, ya que el certificado será el incorrecto.

Cualquier persona que tenga acceso a un enrutador, conmutador u otro equipo de red en la ruta entre su computadora y el servidor web puede ver su tráfico. También ven tu tráfico https, simplemente no pueden entenderlo.

Vea esta pregunta , su exposición usando http es la misma que los protocolos mencionados allí.

Tenga en cuenta que también puede estar expuesto al usar HTTPS si no ha verificado fuera de banda el certificado utilizado por el otro lado. Es decir, si se le solicita un mensaje que dice que el sitio remoto no puede ser verificado por alguna razón, puede estar hablando no con el sitio en sí, sino con un atacante que retransmitirá su tráfico hacia y desde el sitio real , grabándolo todo el tiempo.

Además de todas las formas ya mencionadas de olfatear sus datos, una antigua recientemente ganó mucho más interés: jugar con tablas BGP. En Defcon, en agosto de 2008, Anton Kapela y Alex Pilosov demostraron una nueva forma de hacer una "derivación BGP", para desviar todo el tráfico a un lugar donde normalmente no debe ir, y (esa fue la principal novedad en su charla) hacerlo sin que el remitente o el receptor lo noten.

Por lo tanto, incluso si el sniffer potencial no está en algún lugar en la ruta normal de sus datos, aún pueden capturarlo. Como dijeron los demás, encriptar.

La forma correcta de pensar es que si está utilizando texto sin cifrar, cualquiera puede acceder a esta información (información pública). Ya sea en una red o para acceder a un sitio web externo. Hay tantos ataques y redirecciones que se pueden hacer que es imposible obtener una vista previa.

Por eso, solo envíe información pública (o información que no sea terriblemente confidencial) en texto claro. Sí, incluido el correo electrónico.

* por cierto, intente traceroute a cualquier sitio web y vea cuántos saltos hay en el medio. Sus datos están pasando por todos ellos: