Comprendo che collegandomi in modo sicuro tramite SSH o HTTPS, i dati che trasferisco sono crittograficamente sicuri. Tuttavia, qualcuno che spii la mia connessione può ancora determinare il server a cui lo sto inviando? Se possono, quali sono i rischi? Quali informazioni possono ottenere da questo?
Possono. Per stabilire una connessione HTTPS sicura, un handshake deve avvenire tra te, (il client, cioè il tuo browser o qualsiasi altra applicazione) e il server. Tutti i dati inviati all'interno dell'handshake non sono crittografati .
Riguardo ai rischi, è un argomento ampio da discutere. Le semplici informazioni che ti stai collegando ad un server pubblico (Facebook, Gmail, ecc.) Potrebbero essere inutili, ma potrebbero esserci situazioni in cui questa informazione potrebbe effettivamente essere una leva per l'aggressore. Dipende dalla situazione concreta.
Sì. Questo è chiamato "Analisi del traffico" .
In generale, le informazioni utili che è possibile ottenere sono a chi stai parlando e quando. Quindi, se sei collegato ad un server e sembra che qualcuno stia digitando, sembra che tu sia attivo e attivamente impegnato in qualche attività con quel server. Anche il volume dei dati che vanno avanti e indietro può essere illuminante.
L'analisi del traffico è ampiamente utilizzata dalle forze dell'ordine e dalle organizzazioni di spionaggio. Ad esempio, è stato utilizzato per ottenere i warrant di ricerca su un hacker di Lulzsec collegato tramite TOR ai forum di chat anonimi. Il contenuto del messaggio non può essere ottenuto, ma il fatto che il traffico stia andando avanti e indietro allo stesso tempo di un informatore confidenziale sta parlando con un hacker anonimo noto può essere sufficiente per ottenere i mandati di perquisizione o ulteriori indagini. p>
Certo, possono. Si suppone che una corretta crittografia nasconda il contenuto, ma non è previsto che si nasconda:
Inoltre, alcuni dati potrebbero essere trapelati dall'handshake iniziale. Ad esempio, HTTPS con SNI perde il dominio a cui ci si connette in chiaro, anche se l'avversario non può vedere il traffico DNS. Di solito si tratta di una piccola perdita aggiuntiva. (Si noti che ci sono alcuni argomenti per cui la SNI di solito non peggiora la situazione, rende solo più visibile il problema.)
Chiedere informazioni sui rischi (e le attenuazioni) di divulgare il server a cui si è connessi è una domanda troppo ampia. Dipende principalmente da ciò che consideri segreto. A proposito, altre potenziali perdite (ad esempio dimensioni dei dati e tempistica dei pacchetti) sembrano essere più interessanti.
Sia SSH che HTTPS (che si basano su SSL o TLS ) utilizzano la crittografia, ma si basano su una connessione esistente TCP / IP esistente. Ciò significa che anche se il contenuto è opaco, tutte le informazioni TCP / IP sono chiare e disponibili a chiunque stia annusando la tua rete.
Le informazioni TCP / IP includono l'indirizzo IP di ciascun peer, i numeri di porta utilizzati. Ciò fornisce un buon suggerimento sul protocollo e sul tipo di traffico.
Alcune informazioni potrebbero anche essere scambiate durante l'handshake, fornendo alcune informazioni. Ad esempio, se viene utilizzato SNI (quando più server Web HTTPS condividono lo stesso IP), il nome del sito Web fa parte dell'handshake TLS e potrebbe essere disponibile.
Come nota a margine, anche l'essere ciechi riguardo al contenuto può fornire informazioni in omaggio. Conosco gli attacchi alle sessioni interattive SSH che misurano il tempo trascorso tra i tasti digitati per dedurre i comandi eseguiti, le abitudini di digitazione della persona e persino quali tasti sono stati premuti.
Dipende interamente dalla topologia della rete utilizzata per connettere il computer al server.
Se il tuo computer è collegato direttamente al server usando un cavo ethernet o una connessione simile, e quei computer e cavo sono all'interno di una stanza protetta e tu hai fatto in modo che nessuno ti vedesse entrare nella stanza allora NO, nessuno può sapere che hai collegato a quel server.
Ma se attraversi una rete che coinvolge terze parti, come Internet, alcuni membri di tali soggetti devono sapere a chi stai inviando i tuoi dati crittografati. Come avrebbero saputo dove inviarlo altrimenti? Quindi, sì, il tuo Internet Service Provider può sapere dove stai inviando i dati. E così può qualsiasi agenzia con potere legale o illegale sul tuo ISP. Questo è vero per HTTPS, SSH e ogni tipo di protocollo, crittografato o meno.
Un modo per evitare questo è utilizzare una terza parte di cui ci si può fidare per non divulgare tali informazioni. Come la rete TOR. O una VPN.
Ci sono diverse tecnologie coinvolte nella creazione di una connessione sicura (lo stack del protocollo di rete). Ogni livello risolve la propria parte del lavoro per far funzionare le connessioni. Le parti della pila rilevanti per le tue domande sono:
HTTPS
TCP
IP
Si può notare che HTTPS si trova sulla parte superiore del TCP, che funziona su IP. HTTPS non può modificare il funzionamento dei protocolli sottostanti, pertanto la crittografia viene aggiunta solo a se stessa (e al protocollo che funziona su HTTPS, se presente). L'intestazione del pacchetto IP contiene l'indirizzo IP dell'host a cui ci si sta collegando e l'intestazione del pacchetto TCP contiene la porta. Quindi, a meno che i dati TCP e IP sottostanti non siano incorporati in una sorta di canale crittografato (VPN, ad esempio), chiunque catturi il traffico di rete in transito sarebbe in grado di capire l'host / porta di destinazione.