it-swarm-es.com

¿Cuál es el riesgo de que se rastree un paquete cuando se viaja por Internet sin SSL / TLS?

Todos sabemos que debemos usar SSL/TLS para evitar que las personas escuchen nuestra conexión, pero ¿qué probabilidad hay de que un atacante realmente olfatee su contraseña o cookie no cifrada si no lo hace?
Si excluimos el rastreo en la red local (una exclusión bastante importante que conozco, pero déjeme el favor), seguramente el atacante necesitaría tener acceso a los servidores de su ISP, el servidor del sitio al que se está conectando, ¿O una de las redes de intercambio de tráfico intermedias?

¿Se ha realizado alguna vez alguna investigación sobre la incidencia de este tipo de ataque?

12
Magnus

Depende de su modelo de amenaza. Si le preocupan las grandes organizaciones que realmente quieren ver sus datos, probablemente lo verán. El hardware y el software para hacer esto generalmente está disponible para los ISP, ya que la ley les exige que establezcan una "intercepción legal" en muchas jurisdicciones: http://en.wikipedia.org/wiki/Lawful_interception Y desafortunadamente, las implementaciones de las compañías de enrutadores son bastante malas, como notas de Forbes , por lo que los piratas informáticos también pueden tener acceso.

Luego están todos los otros ataques posibles, como el envenenamiento de la caché de DNS, los ataques de phishing o enrutamiento (BGP), en conexiones que no tienen la buena autenticación de punto final que proporciona SSL. Ver p. Ej. cómo fue pirateada la organización del Dalai Lama. Incluso los gurús de la seguridad pensaron que serían vulnerables a ese tipo de ataque.

Si nadie (incluidos los de dentro de su ISP o cerca de sus destinos) se preocupa por usted, probablemente no lo espiarán a menos que su red local sea un objetivo conveniente y fácil, como la mayoría de las redes inalámbricas. Pero si a la gente lo suficientemente inteligente y persistente (incluso a los individuos) les importa, tenga cuidado.

6
nealmcb

Definitivamente es posible rastrear el tráfico en una red. Sin mencionar los diferentes métodos presentados por las respuestas que ya están aquí, me gustaría escribir sobre todos los diferentes equipos por los que está pasando cuando se conecta a alguien en Internet.

Cada equipo que conecte también debe estar protegido contra ataques, incluido tener que confiar en que no hay información privilegiada en el equipo a través del cual se conecta.

  • Si alguien puede iniciar sesión en el enrutador Cisco de su ISP y redirigir todo su tráfico a través de un MITM, usted es vulnerable
  • Si hay alguien con información privilegiada, también puede escuchar todo su tráfico no cifrado.

Consulte Cómo tener un ISP en 10 minutos para obtener una prueba de concepto.

4
Chris Dale

Suplantación de DNS/envenenamiento de caché/etc. también son técnicas para facilitar MiTM (especialmente cuando se asocia con sslstrip). La suplantación de ARP/envenenamiento es, por supuesto, popular (este es un ataque basado en LAN, por lo que tal vez esté excluido dada su pregunta).

"Qué tan probable" para mí es la parte difícil de tu pregunta. Si tienes algo de valor, es posible que alguien dedique tiempo a ver si pueden engañarte para sacarle provecho.

Los atacantes oportunistas parecen jugar más en redes inalámbricas u otras redes compartidas (a menos que puedan apropiarse fácilmente de su enrutador/módem doméstico, por ejemplo).

3
Tate Hansen

Suponiendo que confíe en su conexión, me imagino que las posibilidades de que esto suceda son muy pequeñas. Básicamente, tendría que suceder en su ISP (tal vez una configuración incorrecta envía su tráfico a todos los clientes en el mismo 'nodo' que usted) o en el extremo remoto (tal vez un conmutador mal configurado transmite tráfico a un servidor a todos los que están en el mismo interruptor).

Realmente no puedo imaginarme que ninguna de las principales redes de nivel 1 tenga la capacidad de detectar su tráfico. A las velocidades que están viendo, requeriría un hardware bastante robusto.

1
devicenull