Quem pode escutar o tráfego HTTP de um usuário?

Navegue suas respostas
11

Eu ouvi muitas vezes que o HTTPS deve ser usado para transferir dados privados, já que o HTTP é vulnerável a bisbilhoteiros. Mas, em termos práticos, quem é capaz de espionar o tráfego HTTP de um determinado surfista? Seu ISP? Outras pessoas na mesma LAN? Alguém que conhece o endereço IP deles?

    
por RexE 04.06.2009 / 04:23

9 respostas

23

Fácil - basta seguir o cabo do seu PC para o servidor.

Isso talvez seja específico para a Áustria, mas provavelmente é semelhante em todo o mundo.

vamos supor que temos um usuário DSL:

  • PC - > Ethernet - > Modem

Qualquer pessoa com acesso à infraestrutura local pode farejar o tráfego

  • Modem - > 2 fios de cobre - > DSLAM

Qualquer pessoa com acesso à infra-estrutura de cobre e equipamentos capazes de decodificar os dados pode escutar. A maior parte dessa fiação é relativamente desprotegida e fácil de acessar, se você souber onde procurar, mas para realmente decodificar os dados, você provavelmente precisará de algum equipamento muito específico.

  • DSLAM - > Infraestrutura de ISP - > Roteadores principais do ISP

A maioria dos DSLAMs está conectada via Fiber a algum tipo de Fibre Ring / MAN aos roteadores do ISP.

Houve histórias na Alemanha em que supostamente agências de três letras dos EUA de A bisbilhotaram o tráfego de uma Rede Metropolitana. Existem dispositivos prontos para uso que podem fazer isso, você só precisa do orçamento, intenção e conhecimento corretos da infraestrutura local.

  • Roteadores principais do ISP - > BGP - > Segmentar AS

Dado que o servidor de destino não está no mesmo Sistema Autônomo que o usuário, o tráfego deve ser enviado pela "Internet". Se você está indo através da Internet, para usar uma citação do Snatch, "Todas as apostas estão desativadas". Há tantos cantos e recantos que os operadores maliciosos poderiam anexar a si mesmos, que é melhor você assumir que todo o seu tráfego será lido.

O DHS (ou talvez alguma outra agência) interceptou ativamente a infra-estrutura do backbone nos EUA neste nível.

  • Roteador de destino AS Border - > Infraestrutura de ISP - > Centro de Habitação

Veja acima.

  • Roteador do centro de alojamento - > Switches - > Servidor

É assim que alguns sites já foram atacados. A Ethernet não oferece proteção para os hosts que estão no mesmo domínio (V) de LAN / broadcast, portanto, qualquer host pode tentar o spoofing / envenenamento de ARP para representar outro servidor. Isso significa que todo o tráfego de um determinado servidor pode ser encapsulado através de uma máquina na mesma LAN (V).

    
por 04.06.2009 / 04:42
15

Em uma LAN comutada (como a maioria das redes Ethernet), você pode usar o envenenamento de cache ARP para, em muitos casos, interferir em tal tráfego. Basicamente, você pode falsificar o computador cliente e fazê-lo pensar que sua estação de escuta é o roteador fora da LAN.

Em LANs de mídia compartilhada - ou seja, não comutadas, como a Ethernet sem fio sem criptografia ou com criptografia quebrada - você nem precisa fazer isso. Apenas ouça!

No ISP, no ISP do ISP, no ISP do ISP do ISP, etc., um atacante só precisaria farejar o tráfego. Qualquer ponto no caminho pelo qual o tráfego flui está sujeito a possíveis interceptações. Também há LANs entre lá, então há sempre a possibilidade de espionagem por envenenamento de cache ARP, etc.

Finalmente, no outro extremo, haverá outra LAN, tão suscetível a espionagem quanto a LAN de origem.

J. Um idiota aleatório que sabe que o seu endereço IP não vai estar escutando seu tráfego sem hackear algo pelo caminho, ou desviar o fluxo de tráfego de seu caminho normal para eles.

Sim - o texto claro é ruim.

    
por 04.06.2009 / 04:28
5

Se você lançar o Wireless no link, em qualquer lugar do caminho (placa WiFi, Wireless Bridge, etc), qualquer pessoa que estiver na vizinhança da rede poderá ouvi-lo.

O WEP é facilmente quebrado, devido a um período razoavelmente curto de tempo sentado ao lado de uma rede ocupada, e quando você estiver na rede, poderá visualizar o tráfego de todos os usuários.

Experimente você mesmo, se quiser. Baixe um programa chamado WireShark e peça para ele capturar no modo Promiscious. Veja o que acontece!

Qualquer coisa sensível, confidencial, privada e relacionada a negócios deve ser enviada via HTTPS. Um certificado assinado não é caro e, se você estiver em um domínio, poderá criar sua própria Autoridade de Certificação, que pode ser usada para atribuir certificados para criptografar o tráfego que será confiado automaticamente por clientes no mesmo domínio.

    
por 04.06.2009 / 04:30
2

Dependendo do seu ISP e se sua conexão é compartilhada ou não, outras pessoas em seu loop local podem conseguir farejar todo o seu tráfego. Isso geralmente seria vizinhos. Isto é uma adição à lista de pessoas mencionadas por outras respostas.

Além disso, além da escuta, há também o ataque "man-in-the-middle", em que alguém se coloca entre você e o servidor da web em questão. Se você estiver falando em SSH com o servidor remoto, o ataque man-in-the-middle não chegará a lugar nenhum. Se você está falando em texto puro, eles podem agir como um proxy e ver tudo que você faz.

O ponto é que as pessoas podem ouvir suas conversas mesmo sem estar em sua LAN ou na LAN remota. Envenenamento de cache ARP para pessoas em sua rede local (ou que invadiram sua rede local), mas também envenenamento de DNS para fazer você pensar que está falando com alguém que não seja quem você é. Se você usar HTTPS com um certificado assinado e comprado, as pessoas terão a oportunidade de saber que não estão falando com o servidor correto, pois o certificado será o errado.

    
por 04.06.2009 / 04:35
1

Qualquer pessoa que tenha acesso a um roteador, comutador ou outro equipamento de rede no caminho entre o computador e o servidor da Web poderá assistir ao seu tráfego. Eles também veem seu tráfego de https, eles simplesmente não conseguem entender.

    
por 04.06.2009 / 04:28
1

Veja este pergunta , sua exposição usando http é a mesma que os protocolos mencionados aqui.

    
por 04.06.2009 / 07:06
1

Observe que você também pode ser exposto ao usar HTTPS se não tiver verificado o certificado fora de banda usado pelo outro lado. Ou seja, se você receber uma mensagem dizendo que o site remoto não pode ser verificado por algum motivo, você pode estar falando não com o site em si, mas com um invasor que retransmitirá seu tráfego de e para o site real. , gravando o tempo todo.

    
por 04.06.2009 / 08:00
1

Além de todas as formas já mencionadas de farejar seus dados, um antigo recentemente ganhou muito mais interesse: brincar com tabelas BGP. Na Defcon, em agosto de 2008, Anton Kapela & Alex Pilosov demonstrou uma nova maneira de fazer um " BGP shunt ", para desviar todo o seu tráfego para um lugar onde ele normalmente não vai, e (que era a principal novidade na conversa deles) fazê-lo sem que o remetente ou o receptor percebessem.

Assim, mesmo que o sniffer em potencial não esteja em algum lugar no caminho normal de seus dados, eles ainda poderão capturá-lo. Como os outros disseram, criptografar.

    
por 08.06.2009 / 20:53
0

A maneira correta de pensar é que, se você estiver usando texto claro, qualquer pessoa poderá acessar essas informações (informações públicas). Seja em uma rede ou para acessar um site externo. Há tantos ataques e redirecionamentos que podem ser feitos que é impossível visualizar.

Por causa disso, envie somente informações públicas (ou informações que não sejam terrivelmente confidenciais) em texto claro. Sim, incluindo email.

* btw, tente traceroute em qualquer site e veja quantos saltos existem no meio. Seus dados estão passando por todos eles:

    
por 04.06.2009 / 14:37

Tags

montagens CIFS pendurar em leitura Bloqueio de Facebook e Myspace por endereço IP