Se il servizio è http su TLS / SSL la comunicazione è completamente sicura?

2

La scorsa settimana nel paese in cui vivo c'è stato un articolo su un giornale con un elenco di persone (giornalisti, uomini d'affari, ecc.) che venivano spiati dai servizi di intelligence del paese ... Hanno spiegato che questa agenzia era spiando tutte le loro conversazioni di whatsapp, chiamate skype, chiamate dal cellulare, ecc ...

Quindi, quando ho letto che ho iniziato a chiedermi come possono spiare le conversazioni di whatsapp come sono su TLS, se vogliono fare un uomo nell'attacco centrale hanno bisogno di cambiare i certificati nel dispositivo in modo che possano attaccare la connessione ... c'è un altro modo ??!?!?

Questa è una grande sorpresa per me perché non ho nulla da nascondere, ma ero felice di controllare solo se le connessioni fossero sicure perché pensavo che in quel modo nessuno potesse vedere cosa stavo inviando / ricevendo (so se avere accesso ai server che possono controllare qualsiasi cosa, ma non è una preoccupazione per me ...)

E un'altra domanda: quanto è sicuro usare Skype / Viber per le chiamate? Skype è più sicuro di una linea telefonica fissa o cellulare? Il telegramma è più sicuro di whatsapp?

    
posta Andres 09.11.2015 - 18:01
fonte

3 risposte

1

Per rispondere alla domanda principale del titolo: Sì, una specie di. (Mi piacerebbe fornire una visione opposta alla risposta di Andrew.) L'intero concetto di certificati si basa sulla fiducia. Ti stai fidando che il sito o il servizio con cui stai comunicando e i fornitori di CA sono entrambi affidabili per cominciare. Se inizi con questa ipotesi, puoi essere ragionevolmente sicuro che la tua privacy è protetta dall'accesso non autorizzato al di fuori di tali parti.

Se non puoi più fidarti della CA, o se non puoi fidarti del servizio o del sito web che stai utilizzando per proteggere i tuoi dati, allora l'intero processo si guasta. Se una CA o un servizio consente alle agenzie di intelligence di visualizzare i propri dati o una backdoor, allora ovviamente non ci si può fidare, ma sarebbe comunque l'accesso autorizzato . Per analogia, tu e il tuo padrone di casa avete entrambe le chiavi del vostro appartamento. Ti fidi del tuo padrone di casa di non lasciare entrare nessuno nel tuo appartamento se non tu? Se il proprietario sceglie di lasciare entrare qualcun altro senza la tua autorizzazione, questo è ancora autorizzato accesso. (Al contrario di accessi non autorizzati come copiare la chiave quando non si guarda, prendere la serratura della porta o buttare giù la porta.)

    
risposta data 10.11.2015 - 17:10
fonte
2

No. I certificati di root aggiuntivi nel key store / wallet del tuo browser (o computer) possono essere utilizzati per attirare attacchi Man-in-the-middle nel caso in cui chiunque nella catena di fornitura di Internet sia in grado di ottenere un certificato firmato per il server web che stai connettersi da una di quelle CA radice aggiuntive. Ad esempio, supponi di avere una CA radice turca nel tuo keystore sul tuo Mac. Se il tuo ISP può richiedere all'autorità di root turca di emettere un certificato server per l'host www.whatsapp.com (bustarella, servizio di intelligence in Turchia), la tua connessione dal tuo computer o telefono a whatsapp.com può essere indirizzata a un server centrale per un MITM attacco.

Rimuovi quelle CA root non attendibili e sarai più sicuro. Potresti avere un problema con il nuovo attacco logjam, che è un attacco di downgrade della suite di cifratura, o con l'uso di un algoritmo che i crittografi ora credono strongmente possa essere infranto (una manciata di tasti DH comunemente usati di lunghezza 1024 bit o inferiore). p>

Vedi queste risposte su Come la NSA può interrompere le sessioni Web e VPN e Attacco MITM contro SSL .

Non ho mai studiato la sicurezza di Skype.

    
risposta data 09.11.2015 - 19:08
fonte
1

L'esatto livello di sicurezza di TLS / SSL non è veramente rilevante qui. Perché è abbastanza buono che il modo più semplice per intercettare una sessione in WhatsApp o simili è di compromettere uno degli endpoint, che necessariamente hanno accesso ai dati non crittografati.

    
risposta data 10.11.2015 - 17:45
fonte

Leggi altre domande sui tag