Kto może podsłuchiwać ruch HTTP użytkownika?

11

Wiele razy słyszałem, że HTTPS powinien być używany do przesyłania prywatnych danych, ponieważ HTTP jest podatny na podsłuchy. Ale w praktyce, kto jest w stanie podsłuchiwać ruch HTTP danego surfera? Ich usługodawca internetowy? Inni ludzie w tej samej sieci LAN? Ktoś, kto zna ich adres IP?

RexE
źródło

Odpowiedzi:

23

Łatwe - wystarczy podążać za kablem łączącym komputer z serwerem.

Jest to może specyficzne dla Austrii, ale prawdopodobnie wygląda podobnie na całym świecie.

Załóżmy, że mamy użytkownika DSL:

  • PC -> Ethernet -> Modem

Każdy, kto ma dostęp do lokalnej infrastruktury, może wąchać ruch

  • Modem -> 2-wire-Copper -> DSLAM

Każdy, kto ma dostęp do miedzianej infrastruktury i sprzętu, który potrafi dekodować dane, może podsłuchiwać. Większość tego okablowania jest stosunkowo niezabezpieczona i łatwo dostępna, jeśli wiesz, gdzie szukać, ale aby faktycznie zdekodować dane, prawdopodobnie będziesz potrzebować bardzo specyficznego sprzętu.

  • DSLAM -> infrastruktura ISP -> routery podstawowe ISP

Większość DSLAMów jest podłączonych za pomocą Fibre do pewnego rodzaju Fibre Ring / MAN do routerów ISP.

W Niemczech były historie, w których rzekomo trzyliterowe agencje z USA podsłuchały ruch sieci metropolitalnej. Istnieją gotowe urządzenia, które mogą to zrobić, wystarczy odpowiedni budżet, zamiar i znajomość lokalnej infrastruktury.

  • Podstawowe routery ISP -> BGP -> Docelowy AS

Biorąc pod uwagę, że serwer docelowy nie znajduje się w tym samym systemie autonomicznym co użytkownik, ruch musi być wysyłany przez „Internet”. Jeśli korzystasz z Internetu, skorzystaj z cytatu Snatch: „Wszystkie zakłady są wyłączone”. Jest tak wiele zakamarków, do których złośliwi operatorzy mogliby się przyczepić, że najlepiej jest założyć, że cały ruch zostanie odczytany.

DHS (a może jakaś inna agencja) aktywnie podsłuchiwał infrastrukturę szkieletową w USA na tym poziomie.

  • Target AS Border router -> infrastruktura ISP -> Housing Center

Patrz wyżej.

  • Router centrum mieszkaniowego -> Przełączniki -> Serwer

W ten sposób zaatakowano już kilka witryn. Ethernet nie zapewnia ochrony hostom, które znajdują się w tej samej (V) domenie LAN / broadcast, więc każdy host może spróbować sfałszowania / zatrucia ARP, aby podszyć się pod inny serwer. Oznacza to, że cały ruch dla danego serwera może być tunelowany przez maszynę w tej samej (V) sieci LAN.

Michael Renner
źródło
Wow, dzięki Michael! Muszę zaznaczyć tę „najlepszą odpowiedź” dla dokładności!
RexE
15

W komutowanej sieci LAN (jak w większości sieci Ethernet) można użyć zatrucia pamięci podręcznej ARP, aby w wielu przypadkach zapobiec podsłuchowi takiego ruchu. Zasadniczo możesz podrobić komputer kliencki i sprawić, że pomyślisz, że twoja stacja podsłuchowa jest routerem poza siecią LAN.

W sieciach LAN z współdzielonymi multimediami - tj. Bez przełączania, takich jak bezprzewodowe Ethernet bez szyfrowania lub bez szyfrowania - nie musisz tego robić. Posłuchaj!

W przypadku dostawcy usług internetowych i dostawcy usług internetowych oraz dostawcy usług internetowych dostawcy usług internetowych itp. Atakujący musiałby tylko wąchać ruch. Każdy punkt na ścieżce, przez który przepływa ruch, może zostać podsłuchany. Między nimi również znajdują się sieci LAN, więc zawsze istnieje możliwość podsłuchu przez zatrucie pamięci podręcznej ARP itp.

Wreszcie, na drugim końcu będzie inna sieć LAN, równie podatna na podsłuch, jak źródłowa sieć LAN.

J. Losowy idiota, który zna twój adres IP, nie będzie podsłuchiwał twojego ruchu bez zhakowania czegoś po drodze lub odwrócenia ruchu z normalnej ścieżki do nich.

Tak - czysty tekst jest zły.

Evan Anderson
źródło
5

Jeśli włączysz łącze bezprzewodowe w dowolnym miejscu po drodze (karta Wi-Fi, most bezprzewodowy itp.), Każdy, kto jest nawet w pobliżu sieci, może słuchać.

WEP łatwo się psuje, biorąc pod uwagę stosunkowo krótki czas przebywania w pobliżu zajętej sieci, a kiedy już jesteś w sieci, możesz zobaczyć ruch każdego ciała.

Wypróbuj sam, jeśli chcesz. Pobierz program o nazwie WireShark i poproś go o przechwycenie w trybie Promiscious. Zobacz, co się pojawi!

Wszystko, co poufne, poufne, prywatne i związane z biznesem, należy przesyłać za pośrednictwem HTTPS. Podpisany certyfikat nie jest drogi, a jeśli jesteś w domenie, możesz utworzyć własny urząd certyfikacji, za pomocą którego można przypisywać certyfikaty do szyfrowania ruchu, którym klienci będą automatycznie ufać w tej samej domenie.

Mark Henderson
źródło
2

W zależności od usługodawcy internetowego i tego, czy Twoje połączenie jest współużytkowane, inni w Twojej lokalnej pętli mogą być w stanie wykryć cały Twój ruch. Zwykle byliby to sąsiedzi. Jest to uzupełnienie listy osób wymienionych w innych odpowiedziach.

Oprócz podsłuchu istnieje również atak typu „człowiek w środku”, w którym ktoś stawia się między tobą a danym serwerem internetowym. Jeśli rozmawiasz SSH ze zdalnym serwerem, atak typu man-in-the-middle nigdzie nie dojdzie. Jeśli mówisz w postaci czystego tekstu, mogą działać jako proxy i widzieć wszystko, co robisz.

Chodzi o to, że ludzie mogą słuchać twoich rozmów, nawet bez przebywania w twojej sieci LAN lub zdalnej sieci LAN. Zatrucie pamięci podręcznej ARP dla osób w Twojej sieci lokalnej (lub tych, którzy włamali się do Twojej sieci lokalnej), ale także zatrucie DNS, abyś myślał, że rozmawiasz z kimś innym niż jesteś. Jeśli korzystasz z HTTPS z zakupionym, podpisanym certyfikatem, ludzie mają możliwość wiedzieć, że nie rozmawiają z właściwym serwerem, ponieważ certyfikat będzie niewłaściwy.

Eddie
źródło
1

Każdy, kto ma dostęp do routera, przełącznika lub innego sprzętu sieciowego na drodze między komputerem a serwerem WWW, może obserwować ruch. Widzą także Twój ruch https, po prostu nie mogą tego zrozumieć.

kbyrd
źródło
1

Zobacz to pytanie , twoje narażenie przy użyciu http jest takie samo, jak wspomniane tam protokoły.

Zoredache
źródło
1

Pamiętaj, że możesz być narażony podczas korzystania z HTTPS, jeśli nie zweryfikowałeś poza pasmem certyfikatu używanego przez drugą stronę. Oznacza to, że jeśli pojawi się komunikat z informacją, że zdalnej witryny nie można zweryfikować z jakiegoś powodu, możesz rozmawiać nie z samą witryną, ale z osobą atakującą, która przekaże ruch do i z rzeczywistej witryny , nagrywając to cały czas.

cjs
źródło
1

Oprócz wszystkich wspomnianych już sposobów wąchania danych, stary ostatnio zyskał znacznie większe zainteresowanie: granie przy stołach BGP. Na Defcon w sierpniu 2008 r. Anton Kapela i Alex Pilosov pokazali nowy sposób wykonania „manewrowania BGP”, aby skierować cały ruch do miejsca, w którym zwykle nie jedzie, i (to była główna nowa rzecz w ich rozmowie) zrobić to bez powiadomienia nadawcy lub odbiorcy.

Więc nawet jeśli potencjalny sniffer nie znajduje się gdzieś na normalnej ścieżce twoich danych, nadal może go przechwycić. Jak powiedzieli inni, szyfruj.

bortzmeyer
źródło
0

Właściwym sposobem myślenia jest to, że jeśli używasz zwykłego tekstu, każdy może uzyskać dostęp do tych informacji (informacji publicznych). Czy to w sieci, czy w celu uzyskania dostępu do zewnętrznej strony internetowej. Istnieje tak wiele ataków i przekierowań, że można dokonać ich podglądu.

Z tego powodu wysyłaj tylko informacje publiczne (lub informacje, które nie są szczególnie poufne) w postaci zwykłego tekstu. Tak, w tym e-mail.

* btw, wypróbuj traceroute na dowolnej stronie internetowej i sprawdź, ile jest przeskoków w środku. Twoje dane przechodzą przez wszystkie:

sucuri
źródło