ใครสามารถดักฟังการรับส่งข้อมูล HTTP ของผู้ใช้ได้

ฉันได้ยินมาหลายครั้งแล้วว่าควรใช้ HTTPS สำหรับการถ่ายโอนข้อมูลส่วนตัวเนื่องจาก HTTP มีความเสี่ยงต่อการดักฟัง แต่ในแง่การปฏิบัติเพียงผู้ที่มีความสามารถในการดักฟังบนการรับส่งข้อมูล HTTP ของนักท่องเว็บที่ระบุ? ISP ของพวกเขา คนอื่นใน LAN เดียวกันหรือไม่ ทุกคนที่รู้ที่อยู่ IP ของพวกเขา

ง่าย - เพียงทำตามสายเคเบิลจากพีซีของคุณไปยังเซิร์ฟเวอร์

นี่อาจเฉพาะเจาะจงกับออสเตรีย แต่มันอาจดูคล้ายกันทั่วโลก

สมมติว่าเรามีผู้ใช้ DSL:

• PC -> Ethernet -> โมเด็ม

ใครก็ตามที่สามารถเข้าถึงโครงสร้างพื้นฐานในพื้นที่สามารถดมกลิ่นการจราจร

• โมเด็ม -> 2-wire-Copper -> DSLAM

ใครก็ตามที่สามารถเข้าถึงโครงสร้างพื้นฐานทองแดงและอุปกรณ์ที่สามารถถอดรหัสข้อมูลสามารถดักฟัง การเดินสายส่วนใหญ่นี้ค่อนข้างไม่มีการป้องกันและเข้าถึงได้ง่ายถ้าคุณรู้ว่าจะมองที่ไหน แต่เพื่อถอดรหัสข้อมูลที่คุณอาจต้องใช้อุปกรณ์ที่เฉพาะเจาะจง

• DSLAM -> โครงสร้างพื้นฐาน ISP -> ISP เราเตอร์คอร์

DSLAM ส่วนใหญ่เชื่อมต่อผ่านไฟเบอร์กับ Fiber Ring / MAN ไปยังเราเตอร์ของ ISP

มีเรื่องราวในประเทศเยอรมนีที่คาดว่าจะมีตัวแทนจดหมายสามฉบับจากสหรัฐอเมริกาแห่ง A ที่ดักฟังการจราจรของเครือข่ายเขตเมือง มีอุปกรณ์ที่สามารถทำได้คุณเพียงแค่ต้องการงบประมาณความตั้งใจและความรู้เกี่ยวกับโครงสร้างพื้นฐานในพื้นที่

• ISP คอเราเตอร์หลัก -> BGP -> Target AS

เนื่องจากเซิร์ฟเวอร์ปลายทางไม่ได้อยู่ในระบบเดียวกับผู้ใช้การรับส่งข้อมูลจะต้องถูกส่งผ่าน "อินเทอร์เน็ต" หากคุณกำลังจะผ่านอินเทอร์เน็ตเพื่อใช้ใบเสนอราคาจากฉก "เดิมพันทั้งหมดปิด" มีซอกเล็กซอกน้อยมากมายเป็นผู้ให้บริการที่เป็นอันตรายสามารถแนบตัวเองว่าคุณดีที่สุดสมมติว่าทราฟฟิกทั้งหมดของคุณกำลังอ่านอยู่

DHS (หรือหน่วยงานอื่น ๆ ) แอบฟังโครงสร้างพื้นฐานของกระดูกสันหลังในสหรัฐอเมริกาอย่างแข็งขันในระดับนี้

• Target AS Border router -> โครงสร้างพื้นฐาน ISP -> ศูนย์การเคหะ

ดูด้านบน.

• เราเตอร์ศูนย์ที่อยู่อาศัย -> สวิตช์ -> เซิร์ฟเวอร์

นี่คือวิธีการที่ค่อนข้างน้อยเว็บไซต์ถูกโจมตีแล้ว อีเธอร์เน็ตไม่มีการป้องกันสำหรับโฮสต์ที่อยู่ในโดเมน LAN / Broadcast เดียวกัน (V) ดังนั้นโฮสต์ใด ๆ สามารถลองใช้การปลอมแปลง / การวางยาพิษ ARP เพื่อปลอมตัวเป็นเซิร์ฟเวอร์อื่น ซึ่งหมายความว่าทราฟฟิกทั้งหมดสำหรับเซิร์ฟเวอร์ที่กำหนดสามารถถูกส่งผ่านเครื่องใน LAN เดียวกัน (V)

บนสวิตช์ที่ใช้งาน LAN (เช่นเครือข่ายอีเทอร์เน็ตส่วนใหญ่) คุณสามารถใช้ ARP cache ซึ่งเป็นพิษต่อการรับส่งข้อมูลในหลาย ๆ กรณี โดยพื้นฐานแล้วคุณสามารถปลอมคอมพิวเตอร์ไคลเอนต์ออกและทำให้มันคิดว่าสถานีดักฟังของคุณเป็นเราเตอร์จาก LAN

บน LAN สื่อที่ใช้ร่วมกัน - เช่นไม่มีการสลับเช่นการเข้ารหัสอีเธอร์เน็ตไร้สายโดยไม่มีการเข้ารหัสหรือการเข้ารหัสที่ไม่มีการแตกหัก - คุณไม่จำเป็นต้องทำเช่นนั้น แค่ฟัง!

ที่ ISP และ ISP ของ ISP และ ISP ของ ISP ... ฯลฯ ผู้โจมตีจะต้องดักการจราจร จุดใดก็ตามในเส้นทางที่การจราจรไหลผ่านนั้นขึ้นอยู่กับการดักฟังที่อาจเกิดขึ้น มี LAN อยู่ระหว่างนั้นเช่นกันดังนั้นจึงมีความเป็นไปได้ที่จะทำการแอบฟังด้วยการวางยาพิษแคช ARP เป็นต้น

ในที่สุดเมื่อถึงตอนท้ายจะมี LAN อื่น ๆ เช่นเดียวกับที่ไวต่อการถูกดักข้อมูลเหมือนกับ LAN ต้นทาง

J. คนโง่แบบสุ่มที่รู้ที่อยู่ IP ของคุณจะไม่ดักฟังทราฟฟิกของคุณโดยไม่แฮ็คข้อมูลไปพร้อมกันหรือเบี่ยงเบนเส้นทางการจราจรจากเส้นทางปกติ

ใช่ - cleartext ไม่ดี

หากคุณส่งสัญญาณไร้สายไปที่ลิงค์ไม่ว่าจะอยู่ที่ไหนก็ตาม (การ์ด WiFi สะพานไร้สาย ฯลฯ ) ใครก็ตามที่อยู่ในบริเวณใกล้เคียงเครือข่ายก็สามารถรับฟังได้

WEP เสียง่าย ๆ เนื่องจากมีเวลาสั้น ๆ พอสมควรนั่งถัดจากเครือข่ายไม่ว่างและเมื่อคุณอยู่ในเครือข่ายคุณสามารถดูทราฟฟิกทุกแหล่งได้

ลองด้วยตัวคุณเองถ้าคุณต้องการ ดาวน์โหลดโปรแกรมที่ชื่อว่า WireShark และขอให้จับภาพในโหมด Promiscious ดูว่ามีอะไรเกิดขึ้น!

ควรส่งสิ่งใดที่มีความอ่อนไหวเป็นความลับเป็นส่วนตัวและเกี่ยวข้องกับธุรกิจผ่าน HTTPS ใบรับรองที่เซ็นชื่อนั้นไม่แพงและถ้าคุณอยู่ในโดเมนคุณสามารถสร้างผู้ออกใบรับรองของคุณเองซึ่งสามารถใช้ในการกำหนดใบรับรองเพื่อเข้ารหัสปริมาณการใช้งานที่ลูกค้าจะเชื่อถือในโดเมนเดียวกันโดยอัตโนมัติ

ขึ้นอยู่กับ ISP ของคุณและขึ้นอยู่กับว่ามีการแบ่งปันการเชื่อมต่อของคุณหรือไม่คนอื่น ๆ ในลูปของคุณอาจสามารถดักการรับส่งข้อมูลทั้งหมดได้ นี่มักจะเป็นเพื่อนบ้าน นี่คือนอกเหนือจากรายการของคนที่กล่าวถึงโดยคำตอบอื่น ๆ

นอกจากการดักฟังการดักฟังยังมีการโจมตี "แบบคนกลาง" ซึ่งมีคนทำให้ตัวเองระหว่างคุณและเว็บเซิร์ฟเวอร์ในคำถาม หากคุณกำลังพูดถึง SSH กับเซิร์ฟเวอร์ระยะไกลการโจมตีแบบคนกลางก็จะไม่เกิดขึ้นที่ใดเลย หากคุณกำลังพูดถึงข้อความธรรมดาพวกเขาสามารถทำหน้าที่เป็นพร็อกซีและเห็นทุกสิ่งที่คุณทำ

ประเด็นก็คือผู้คนสามารถฟังในการสนทนาของคุณได้โดยไม่ต้องใช้ LAN หรือ LAN ระยะไกล ARP cache เป็นพิษต่อคนในเครือข่ายท้องถิ่นของคุณ (หรือผู้ที่แฮ็คเครือข่ายท้องถิ่นของคุณ) แต่ยังเป็นพิษ DNS ที่จะทำให้คุณคิดว่าคุณกำลังพูดคุยกับคนอื่นที่ไม่ใช่คุณ หากคุณใช้ HTTPS กับใบรับรองที่ซื้อและลงนามแล้วคนมีโอกาสที่จะรู้ว่าพวกเขาไม่ได้พูดคุยกับเซิร์ฟเวอร์ที่ถูกต้องเนื่องจากใบรับรองจะผิด

ทุกคนที่สามารถเข้าถึงเราเตอร์สวิตช์หรืออุปกรณ์เครือข่ายอื่น ๆ ในเส้นทางระหว่างคอมพิวเตอร์ของคุณและเว็บเซิร์ฟเวอร์สามารถรับชมปริมาณข้อมูลของคุณ พวกเขาเห็นปริมาณการใช้งาน https ของคุณด้วยเช่นกันพวกเขาก็ไม่สามารถเข้าใจได้

ดูคำถามนี้การเปิดเผยของคุณโดยใช้ http เหมือนกับโปรโตคอลที่กล่าวถึงที่นั่น

โปรดทราบว่าคุณอาจได้รับการเปิดเผยเมื่อใช้ HTTPS หากคุณยังไม่ได้ตรวจสอบใบรับรองที่ใช้โดยอีกฝั่งหนึ่ง กล่าวคือหากคุณได้รับข้อความแจ้งว่าไซต์ระยะไกลไม่สามารถตรวจสอบได้ด้วยเหตุผลบางอย่างคุณอาจกำลังพูดคุยกับเว็บไซต์นั้นไม่ได้ แต่เพื่อผู้โจมตีที่จะส่งต่อการรับส่งข้อมูลไปยังไซต์จริง บันทึกทุกขณะ

นอกจากวิธีที่กล่าวมาทั้งหมดในการดมกลิ่นข้อมูลของคุณแล้วสิ่งเก่า ๆ เพิ่งได้รับความสนใจมากขึ้น: เล่นกับตาราง BGP ที่ Defcon ในเดือนสิงหาคมปี 2008 Anton Kapela & Alex Pilosov สาธิตวิธีใหม่ในการสร้าง "BGP shunt" เพื่อเบี่ยงเบนการรับส่งข้อมูลทั้งหมดของคุณไปยังสถานที่ที่ปกติไม่ควรไปและ (นั่นคือสิ่งใหม่ที่สำคัญในการพูดคุย) ทำโดยไม่มีผู้ส่งหรือผู้รับสังเกต

ดังนั้นแม้ว่าการดมกลิ่นที่อาจเกิดขึ้นไม่ได้อยู่ในเส้นทางปกติของข้อมูลของคุณ แต่ก็ยังอาจจับภาพได้ ตามที่คนอื่นพูดเข้ารหัส

วิธีคิดที่ถูกต้องคือถ้าคุณใช้ข้อความที่ชัดเจนผู้ใช้ทุกคนสามารถเข้าถึงข้อมูลนี้ได้ (ข้อมูลสาธารณะ) ไม่ว่าจะเป็นบนเครือข่ายหรือเพื่อเข้าถึงเว็บไซต์ภายนอก มีการโจมตีและการเปลี่ยนเส้นทางมากมายที่สามารถทำได้ซึ่งเป็นไปไม่ได้ที่จะแสดงตัวอย่าง

ด้วยเหตุนี้ให้ส่งข้อมูลสาธารณะ (หรือข้อมูลที่ไม่เป็นความลับอย่างร้ายแรง) ในข้อความที่ชัดเจน ใช่รวมถึงอีเมล

* btw ลองใช้ traceroute ไปยังเว็บไซต์ใด ๆ และดูว่ามีฮ็อปอยู่ตรงกลางจำนวนเท่าใด ข้อมูลของคุณกำลังดำเนินการทั้งหมด: