Quem pode escutar o tráfego HTTP de um usuário?

11

Ouvi muitas vezes que o HTTPS deveria ser usado para transferir dados particulares, pois o HTTP é vulnerável a espiões. Mas, em termos práticos, quem é capaz de escutar o tráfego HTTP de um determinado surfista? O ISP deles? Outras pessoas na mesma LAN? Alguém que sabe o seu endereço IP?

RexE
fonte

Respostas:

23

Fácil - basta seguir o cabo do seu PC para o servidor.

Talvez isso seja específico da Áustria, mas provavelmente parece semelhante em todo o mundo.

vamos assumir que temos um usuário DSL:

  • PC -> Ethernet -> Modem

Qualquer pessoa com acesso à infraestrutura local pode cheirar o tráfego

  • Modem -> 2 fios de cobre -> DSLAM

Qualquer pessoa com acesso à infraestrutura e equipamentos de cobre capazes de decodificar os dados pode espionar. A maior parte dessa fiação é relativamente desprotegida e fácil de acessar, se você souber onde procurar, mas para decodificar os dados, provavelmente precisará de algum equipamento muito específico.

  • DSLAM -> infraestrutura ISP -> roteadores principais ISP

A maioria dos DSLAMs são conectados via fibra a algum tipo de anel de fibra / MAN aos roteadores do ISP.

Houve histórias na Alemanha em que supostamente agências de três letras dos EUA de A escutavam o tráfego de uma rede de área metropolitana. Existem dispositivos disponíveis no mercado que podem fazer isso, você só precisa do orçamento, intenção e conhecimento adequados da infraestrutura local.

  • Roteadores principais do ISP -> BGP -> Target AS

Como o servidor de destino não está no mesmo sistema autônomo que o usuário, o tráfego deve ser enviado pela "Internet". Se você estiver acessando a Internet, use uma cotação do Snatch, "Todas as apostas estão desativadas". Existem tantos cantos e recantos onde os operadores mal-intencionados podem se conectar, é melhor você supor que todo o seu tráfego será lido.

O DHS (ou talvez alguma outra agência) espionou ativamente a infraestrutura de backbone nos EUA nesse nível.

  • Roteador de fronteira AS de destino -> infraestrutura ISP -> Centro de Habitação

Veja acima.

  • Roteador do Housing Center -> Switches -> Servidor

É assim que alguns sites já foram atacados. A Ethernet não oferece proteção para hosts que estão no mesmo domínio de LAN / broadcast (V), portanto, qualquer host pode tentar falsificação / envenenamento por ARP para representar outro servidor. Isso significa que todo o tráfego de um determinado servidor pode ser encapsulado por uma máquina na mesma LAN (V).

Michael Renner
fonte
Uau, obrigado Michael! Eu tenho que marcar esta "melhor resposta" para o rigor!
RexE 04/06/09
15

Em uma LAN comutada (como a maioria das redes Ethernet), você pode usar o envenenamento de cache ARP para, em muitos casos, escutar espiões nesse tráfego. Basicamente, você pode falsificar o computador cliente e fazê-lo pensar que sua estação de escuta é o roteador da LAN.

Em LANs de mídia compartilhada - ou seja, sem comutação, como Ethernet sem fio sem criptografia ou com criptografia quebrada - você nem precisa fazer isso. Apenas ouça!

No ISP e no ISP, e no ISP do ISP ... etc, um invasor precisaria apenas farejar o tráfego. Qualquer ponto no caminho pelo qual o tráfego flui está sujeito a uma possível escuta. Também existem LANs entre elas, então sempre há a possibilidade de espionar por envenenamento por cache ARP, etc.

Finalmente, no outro extremo, haverá outra LAN, tão suscetível à escuta quanto a LAN de origem.

J. O idiota aleatório que sabe o seu endereço IP não escutará seu tráfego sem invadir algo ao longo do caminho ou desviar o fluxo de tráfego do caminho normal para eles.

Sim-- texto claro é ruim.

Evan Anderson
fonte
5

Se você jogar o Wireless no link, em qualquer lugar do caminho (placa WiFi, Wireless Bridge, etc.), qualquer pessoa que esteja nas proximidades da rede poderá ouvir.

O WEP é facilmente interrompido, dado um período razoavelmente curto ao lado de uma rede ocupada e, quando você está na rede, pode visualizar o tráfego de todos.

Experimente você mesmo, se quiser. Baixe um programa chamado WireShark e peça para ele capturar no modo Promiscious. Veja o que aparece!

Qualquer coisa sensível, confidencial, privada e relacionada a negócios deve ser enviada via HTTPS. Um certificado assinado não é caro e, se você estiver em um domínio, poderá criar sua própria Autoridade de Certificação, que pode ser usada para atribuir certificados para criptografar o tráfego no qual os clientes do mesmo domínio confiarão automaticamente.

Mark Henderson
fonte
2

Dependendo do seu ISP e se a sua conexão é ou não compartilhada, outras pessoas no seu loop local poderão detectar todo o seu tráfego. Isso geralmente seria vizinhos. Isso é uma adição à lista de pessoas mencionadas por outras respostas.

Além disso, além de escutar, também há o ataque "homem do meio", em que alguém se coloca entre você e o servidor da web em questão. Se você estiver falando do SSH com o servidor remoto, o ataque do homem do meio não chegará a lugar algum. Se você estiver falando em texto não criptografado, eles podem atuar como um proxy e ver tudo o que você faz.

O ponto é que as pessoas podem ouvir suas conversas mesmo sem estar na sua LAN ou na LAN remota. Envenenamento por cache ARP para pessoas na sua rede local (ou que invadiram sua rede local), mas também envenenamento por DNS para fazer você pensar que está conversando com alguém que não é quem você é. Se você usa HTTPS com um certificado assinado e adquirido, as pessoas têm a oportunidade de saber que não estão falando com o servidor correto, pois o certificado será o errado.

Eddie
fonte
1

Qualquer pessoa que tenha acesso a um roteador, comutador ou outro equipamento de rede no caminho entre o computador e o servidor da Web pode observar o tráfego. Eles também veem o tráfego https, mas não conseguem entender.

kbyrd
fonte
1

Veja esta pergunta , sua exposição usando http é a mesma que os protocolos mencionados lá.

Zoredache
fonte
1

Observe que você também pode ser exposto ao usar HTTPS se não tiver verificado fora da banda o certificado usado pelo outro lado. Ou seja, se você for solicitado com uma mensagem informando que o site remoto não pode ser verificado por algum motivo, talvez esteja falando não com o próprio site, mas com um invasor que retransmitirá seu tráfego de e para o site real , gravando o tempo todo.

cjs
fonte
1

Além de todas as maneiras já mencionadas de detectar seus dados, uma antiga ganhou recentemente muito mais interesse: jogar com tabelas BGP. Na Defcon, em agosto de 2008, Anton Kapela e Alex Pilosov demonstraram uma nova maneira de fazer uma "derivação de BGP", desviar todo o tráfego para um lugar onde normalmente não vai, e (essa foi a principal novidade na conversa) fazê-lo sem o remetente ou o destinatário perceber.

Portanto, mesmo que o farejador potencial não esteja em algum lugar no caminho normal dos seus dados, eles ainda poderão capturá-lo. Como os outros disseram, criptografar.

bortzmeyer
fonte
0

A maneira correta de pensar é que, se você estiver usando texto não criptografado, qualquer pessoa poderá acessar essas informações (informações públicas). Seja em uma rede ou para acessar um site externo. Existem tantos ataques e redirecionamentos que podem ser feitos que é impossível visualizar.

Por isso, envie apenas informações públicas (ou informações que não sejam terrivelmente confidenciais) em texto não criptografado. Sim, incluindo email.

* btw, tente rastrear para qualquer site e veja quantos saltos existem no meio. Seus dados estão passando por todos eles:

sucuri
fonte