Quali informazioni può vedere il mio ISP utilizzando il proxy Squid?

3

Il mio ISP fornisce un proxy trasparente da utilizzare e posso vedere che stanno usando il proxy Squid per averlo memorizzato nella cache.

Quello che mi chiedo sono quali dati possono vedere e cosa possono vedere ulteriormente se possono sondare con il proxy?

So che il traffico HTTP è visibile indipendentemente dal proxy ma che dire di HTTPS; sono in grado di vederlo? Dal momento che controllano il proxy possono MITM e vedere i miei cookie, intestazioni, richieste GET POST e traffico? Cosa sono in grado di fare?

    
posta Malcolm Lee 10.05.2016 - 08:27
fonte

2 risposte

5

In pratica, possono vedere tutto ciò che fai che non è crittografato o inviato attraverso un tunnel e in molti casi possono vedere che tipo di traffico è anche via DNS. Elencherò alcuni esempi:

Quali siti frequenti.

Quando sei attivo on-line.

Quali sistemi operativi usi e in molti casi quale software usi.

Quanto spesso patchi il tuo computer.

Il firmware dei dispositivi mobili può essere rilevato tramite le stringhe http user-agent.

Con chi paghi.

Abitudini dei social media.

Possono utilizzare queste informazioni per fare profilazione politica o profilazione a scopi di marketing.

In alcuni casi quali tipi di dispositivi IoT possiedi.

Possono localizzare geo quasi tutti i pacchetti che invii e dove andranno anche loro.

Se vai oltre il proxy Squid puoi anche includere quanto segue:

La ricerca DNS per ogni sito web che visiti e il dominio per ogni messaggio inviato via e-mail. Ciò include le ricerche DNS quando si accede a siti Web HTTPS.

posta SMTP SMTP (tutto il messaggio quando inviato in chiaro).

Tipi di attività come i file torrent

Connessioni alla rete Tor

Modelli di traffico comuni inviati tramite tunnel crittografati. (ovvero download vs chat)

Una nota aggiuntiva riguardante HTTPS è che alcuni siti web hanno impostazioni configurate in modo errato in modo tale che i cookie vengano inviati tramite HTTP non crittografato. Quindi in quel caso otterrebbero anche copie di quelle.

Connessioni IPv6 che i tuoi dispositivi potrebbero rendere, tra cui HTTP o HTTPS su IPv6 se il tuo ISP lo supporta (molti lo fanno).

etc ... Alcuni ISP registrano praticamente tutto.

A parte le richieste DNS e le perdite di cookie, il resto del traffico HTTPS dovrebbe essere relativamente privato.

È molto improbabile che possano MITM la tua connessione, ma questo dipende dal paese in cui ti trovi (succede in alcuni regimi repressivi). Detto questo, se non fossi attento a non accettare certificati o installare alcun software da loro fornito, potrebbe accadere. Alcuni governi hanno richiesto ai cittadini di accettare una chiave che possono utilizzare per decodificare il traffico se questo è il caso TUTTO del tuo traffico è visibile. Questo è raro ma non so da dove vieni, quindi ho pensato di parlarne.

    
risposta data 10.05.2016 - 08:51
fonte
0

Per giocare a MITM con HTTPS, il tuo ISP dovrebbe creare immediatamente certificati certificati falsi per i domini che visiti. Il browser contrassegna questi certificati come problemi di sicurezza, poiché non sarebbero firmati da alcuna CA attendibile. Cioè, a meno che non abbia importato il certificato CA utilizzato dall'ISP come una CA affidabile. In tal caso il tuo browser penserà che tutto vada bene.

Questo forse è il caso, se il tuo provider ti ha richiesto o ingannato per importare il certificato CA, o controlla il tuo cliente (come fanno alcuni provider di telefonia mobile o in alcune impostazioni aziendali).

Per verificare se qualcuno ha problemi con la tua connessione HTTPS puoi utilizzare un servizio come GRC Fingerprints ( link ) per confrontare le impronte digitali dei certificati effettivamente inviati dai server con quelli che vedi. Se le impronte digitali corrispondono, puoi essere sicuro che stai parlando direttamente con il server previsto, senza MITM in ascolto.

    
risposta data 10.05.2016 - 08:57
fonte

Leggi altre domande sui tag