Perché le "reti non sicure" sono ancora una cosa nell'era HTTPS? [chiuso]

Naviga le tue risposte
0

Disponiamo di robusti sistemi di crittografia che sono abbastanza efficaci per garantire la privacy e l'integrità dei messaggi e disponiamo di protocolli di comunicazione diffusi per implementarli. Al giorno d'oggi, praticamente qualsiasi sito Web serio utilizza HTTPS, almeno per l'autenticazione o parti sensibili. Google, Facebook, Amazon, Apple, Microsoft e così via utilizzano tutti HTTPS. Per la maggior parte delle persone, sarà il 95% + dei siti Web che usano comunemente.

Quindi non ho capito veramente il senso di tutte le campagne di sensibilizzazione pubblica su "reti non sicure" . In realtà, non capisco perché nel 2017 ci sono reti non sicure . HTTPS non è stato progettato specificamente per questo motivo? A chi importa degli attacchi MitM, se l'uomo nel mezzo legge solo un mucchio di testo cifrato casuale? Perché dovrei preoccuparmi di accedere al mio account Gmail da un aeroporto o da un fastfood? Non è crittografato ogni singolo bit RSA dal mio computer al datacenter?

Certo, tutti potrebbero sapere che qualcuno ha usato Gmail , ma finché non ottengono altre informazioni, mi va bene. So che puoi trovare esempi estremi in cui è necessario crittografare l'intera roba e nascondere anche il fatto stesso che sei andato su questo sito web, per nascondere il fatto stesso che hai usato questa rete, ecc ... Ma wifi gratuito pensiamo a applicazioni di messaggistica, e-mail, controllo di fatti con ricerche Google, Facebook, YouTube, ecc. E questo è abbastanza sicuro la maggior parte del tempo.

Alcuni siti Web usano ancora HTTP, ma se invii i dettagli della carta di credito o le comunicazioni top-secret via HTTP hai comunque un problema, anche se lo fai a casa. E la maggior parte dei siti Web HTTP sono solo pagine Web statiche che presentano un menu di un ristorante, un evento, ecc. Materiale così poco sensibile.

Pertanto, perché veniamo avvertiti così severamente della sicurezza delle reti che usiamo? Perchè è ancora una cattiva pratica usare il WiFi pubblico, per esempio?

    
posta Zozor 28.07.2017 - 10:52
fonte

5 risposte

7

Stai confondendo HTTPS con la sicurezza della rete. E, in senso più generale, crittografia con sicurezza. La crittografia riguarda solo la riservatezza e l'integrità. La disponibilità viene generalmente riconosciuta come parte del dominio di sicurezza (1).

Non tutto il traffico di rete è HTTP o HTTPS. Anche HTTPS (di solito) dipende da:

  • DNS - che non ha una protezione incorporata (2)
  • Wetware conformità

Ci sono ancora molti altri protocolli in uso comune in cui l'uso della crittografia non è disponibile / opzionale / nascosto.

Considera anche il tuo TOE come cliente. Anche se il TOE è solo un browser, i giorni in cui questo ha esclusivamente funzione di client sono numerati. Sicuramente l'host del client sta già eseguendo molti servizi che possono essere accessibili dalla rete - e la rete "fidata" dovrebbe essere quella che fornisce un certo controllo sull'accesso a questi servizi. Vale la pena notare che laddove più risorse sono dedicate alla protezione della rete, questo è spesso coinciso con l'esposizione di più interni dei potenziali dispositivi di destinazione da parte dei servizi di gestione e sicurezza.

but as long as they don’t get any more information I’m fine with that

Molti clienti di AshleyMadison non stavano bene con il loro uso del sito reso pubblico; non possiamo dirti quale livello di sicurezza richiedi.

And most HTTP websites...so hardly sensitive stuff.

Un attacco di stripping SSL deve iniziare su una pagina non SSL

Internet e sicurezza informatica non sono limitati dalla tua esperienza / conoscenza personale.

1) La "sicurezza" è in realtà una raccolta piuttosto astratta di molti elementi che forniscono un servizio. ITIL, ad esempio, al livello più alto separa l'utilità di un servizio in Prestazioni, Capacità, Funzionalità, Sicurezza e Disponibilità (cioè trattando la disponibilità come entità separata).

2) Esiste un protocollo alternativo - secureDNS - che ha una certa protezione

    
risposta data 28.07.2017 - 12:25
fonte
3

Qui ci sono molte cose da fare. Uno è la sicurezza degli scambi, un altro è l'esposizione della macchina.

Per lo scambio, ci possono essere molti attacchi contro HTTPS e TLS. Esistono infatti limitazioni a HTTPS , ad esempio la ben nota striscia SSL consiste nella sostituzione dei collegamenti alla pagina HTTPS con collegamenti alle pagine HTTP. A meno che tu non abbia inserito un URL tra i segnalibri contenente HTTPS o controlli che la pagina venga effettivamente pubblicata tramite HTTPS, terminerai con uno scambio HTTP mentre ti aspettavi uno HTTPS. E TLS stesso può essere soggetto a una serie di attacchi , molti dei quali possono essere mitigati consentendo solo il TLS1.2 più sicuro con un algoritmo di crittografia aggiornato, ma molti browser accetteranno di eseguire il downgrade su protocolli meno sicuri, lasciando lo scambio vulnerabile agli attacchi più vecchi. Infine, anche se gli algoritmi sono sicuri, i problemi di implementazione possono rendere il sistema vulnerabile. I problemi di implementazione più noti sono Heartbleed e Cloudbleed che ha permesso all'aggressore di accedere alla memoria del server per leggere i dati protetti.

Ma dovremmo anche considerare l'esposizione della macchina client. I sistemi operativi sono pezzi di codice grandi e complessi e sono soggetti a errori o errori di configurazione. Una dimostrazione comune è che gli eventi legati alla sicurezza prevedono l'uso di un hotspot canaglia per attaccare gli smartphone che cercheranno di connettersi ad esso. Mentre i primi oratori presentano l'inizio, un secondo estrae alcuni dati dagli smartphone dei partecipanti, seleziona alcuni non sensitivi e poi li mostra solo per dimostrare che la sicurezza richiede cure costanti.

Quindi no, HTTPS non è una parola magica che ti proteggerà da tutti i possibili attacchi. È importante per la sicurezza, ma la sicurezza non può essere ridotta al semplice utilizzo di TLS, ed evitare la rete non sicura è ancora una buona pratica. Detto questo, gli hotspot pubblici forniti da società ben note non sono generalmente rogue e possono essere considerati affidabili a un certo livello.

    
risposta data 28.07.2017 - 12:20
fonte
2

È perché i computer che possediamo fanno molte cose allo stesso tempo.

Se ti connetti al tuo sito web della banca in modalità di navigazione in incognito, verifica che tu stia utilizzando la connessione HTTPS e il certificato utilizzato dal sito Web sia stato emesso da una parte fidata sulla banca che sei al sicuro.

Tuttavia, l'utente normale potrebbe fallire in uno di questi passaggi. Di sicuro non capisce il significato di https, quindi potrebbe essere indotto a usare http per connettersi a un sito web MiTM che assomiglia alla sua banca. Poteva avere un browser obsoleto con qualche vecchio certificato rubato. Il suo sistema potrebbe essere già compromesso e contenere certificati falsi.

Ci sono molte altre cose che potrebbero andare storte. Hai molte applicazioni installate sul tuo dispositivo, non sai come si scambiano le informazioni con i server remoti. Non sai quali informazioni vengono inviate attivamente. Probabilmente ti puoi fidare che la tua banca sia aggiornata con le tendenze della sicurezza, ma per quanto riguarda gli altri siti web? La sicurezza potrebbe non essere la loro principale preoccupazione, quante password sono state memorizzate da qualche parte in un testo semplice e trapelate? Forse alcune applicazioni eseguono aggiornamenti in background. Come puoi sapere se lo sta facendo in modo sicuro e l'aggiornamento è firmato? Forse il loro certificato è trapelato. Non lo sai.

Un utente normale potrebbe anche scaricare alcune applicazioni da Internet tramite http, che potrebbe invece essere un malware iniettato. Quindi apre il file richiesto per fornire i diritti di amministratore e l'intero sistema è compromesso.

Ci potrebbe essere qualche vulnerabilità di 0 giorni nel tuo browser, ovviamente pensi che stai visitando solo siti Web attendibili per essere sicuro, ma puoi essere reindirizzato a un sito Web con exploit.

Che cosa succede se il tempo del tuo viaggio perderà su http? Alcune persone potrebbero essere interessate a sapere quando la tua casa è vuota. È questo caso estremo?

    
risposta data 01.08.2017 - 13:57
fonte
1

Isn’t every single bit RSA-encrypted

No. Sembra che tu non sappia molto su TLS. E solo "HTTPS" non significa nulla. Può essere configurato in modo errato dall'amministratore del server, può utilizzare la crittografia debole, è possibile comunicare completamente con il server sbagliato (HTTPS per la persona malintenzionata può essere molto sicuro, ma rimane un problema), ci sono certificati contraffatti accettati dai browser , ...

ma ciò non è in realtà correlato ai semplici siti HTTP e / o al Wi-Fi pubblico.
Alcuni motivi contrari includono:

  • I dati delle carte non di credito sono ancora un grosso problema. Correttamente connessi, i dati più inutili diventano una miniera d'oro. Che ne dici di dire l'importo esatto del tuo attuale prestito, solo da una foto scattata 20 anni fa, che invii qualcuno per posta? Lo sniffing dei dati su larga scala e l'elaborazione corretta dei risultati possono farlo e molto altro.

  • Sulle connessioni HTTP (inclusi gli annunci HTTP), l'iniezione di praticamente qualsiasi malware nella risposta del server è semplice.

  • Sulle reti Wi-Fi pubbliche, una persona malintenzionata può fare anche di più che inviare semplicemente malware preconfezionato. Non solo ci sono più possibilità di hackerare altri computer, alcune impostazioni predefinite di Windows aiutano anche questo comportamento. E / o aggiornamenti mancanti e ...

risposta data 28.07.2017 - 11:51
fonte
1

C'è un esempio che definisce il motivo per cui una rete sicura è importante: DNS. Se eseguo il mio punto di accesso Wi-Fi gratuito e ho il controllo sui pacchetti, TLS è morto. Puoi andare su Gmail e TLS funzionerà ancora, ma prima vai al mio dominio, il che significa che vedo tutto ciò che invii e ricevi.

In molti ambienti aziendali, è necessario installare un certificato aziendale che consenta alla società di ispezionare tutto il traffico crittografato (anche TLS) prima che lasci la rete aziendale. Pertanto, anche se utilizzi TLS, tutto ciò che invii è esposto.

Il modello di minaccia che dice che avere una rete sicura è importante riguarda la rete stessa e non gli altri utenti della rete.

    
risposta data 01.08.2017 - 14:48
fonte

Leggi altre domande sui tag

RSA: le chiavi private devono essere private? Dettagli della vulnerabilità di Dropbox [chiuso]