Thanks: 
Mi piace: 
Non mi piace: 
sì, è esatto tutto quello che hai detto.
E nel caso di https e basta (senza Tor) sanno che sito visiti (tramite la risoluzione dns) ma non cosa ricevi/invii.
Possono però capire in certi casi se stai postando o meno, osservando la quantità di dati che invii.
ad esempio una semplice di pagina richiesta è l'invio al server di qualcosa tipo:
<<GET /pagina HTTP/1.1
Host: domino.del.server
User-Agent: Mozilla 5.0 ecc ecc
Cookie: ....
altri header>>
(FINE)
nel caso invece di un post di un messaggio invece, il tuo browser invia qualcosa tipo:
<<POST /pagina.php?cmd1=blabla&cmd2=blabla
Host: domino.del.server
User-Agent: Mozilla 5.0 ecc ecc
Cookie: ....
altri header
lunghezza contenuto=tot
msg=Questo+è+un+messaggio+molto+lungo+che+occuper à+banda+in+uscita+dal+tuo+pc+verso+internet+e+qui ndi+permetterà+a+chi+intercetta+il+traffico+https +di+capire+che+stai+postando+qualcosa+e+se+il+sito +richiede+un+login+permetterà+loro+di+capire+che+ tu+sei+registrato+a+quel+sito
(FINE)>>
capisci che c'è differenza enorme fra i due tipi di richieste. Sia che siano richieste in chiaro sia che siano cifrate (https) esse differiscono sempre in termini di spazio (banda in uscita).
Per questo è facile, anche senza controllare il contenuto della connessione, stabilire se a priori se l'attività di una persona su un sito è pura consultazione o se invece consiste in posts/commenti.
OT:
Esistono due miti da sfatare su HTTPS:
1) molta gente pensava, fino a pochi anni fa (ora un po' meno) che fosse pericoloso fare acquisti in rete: teme "gli hacker"...
Va detto che la criptografia tipicamente usata per https, usata per home-banking e acquisti vari in rete, è particolarmente robusta. Infatti avendo il traffico criptato uno non è in grado di decifrarlo (ad esempio l'hot-spot wireless di un Cafè o il tuo vicino che intercetta il traffico)
insomma https è particolarmente sicura contro i normali malintenzionati tipo ladri d'identità e di carte di credito.
2)Data la robustezza degli algoritmi di criptografia https molta gente tende a essere troppo ottimista:
Non esiste SOLO l'algoritmo. Bisogna considerare anche come il sistema viene implementato.
L'implementazione di HTTPS è solitamente basata su un punto cardine che è anche il principale punto debole: i CA (Certification Authorities), che sono varie aziende sparse per il mondo (esempi: Verisign, Comodo, e molti altri..) che fungono da garanti per i certificati che ricevi da un sito HTTPS.
Questo vuol dire che quando ti colleghi, ad esempio, a fineco.it il tuo pc fa dns resolving, ovvero trova l'IP corrispondente a "fineco.it" e poi si collega a quell'IP sulla porta 80 (http) e il serve reindirizza alla porta 443 (https).
A quel punto, sulla porta 443 (https) nasce una connessione fra pc e server e il server ti manda il suo certificato di cifratura che tu userai per inviargli traffico cifrato in modo da stabilire poi una chiave temporanea con cui criptare la connessione vera e propria.
Noterai quindi il punto debole: che succede se qualcuno nel mezzo mi invia un certificato fasullo spacciandosi per fineco.it ? succede che quel qualcuno può fare un'attacco MITM e spacciarsi per fineco e vedere e alterare il traffico fra le due parti.
(vedi https://en.wikipedia.org/wiki/Man-in-the-middle_attack en.wikipedia.org/wiki/Man-in-the-middle_attack )
Per evitare ciò sono nati i CA.
Quando ricevi un certificato da un sito, il tuo browser controlla che quel certificato sia criptograficamente firmato da un CA.
Questo sistema (quello dei CA) è tutt'ora l'unico in uso in tutto il mondo ed è stato ufficialmente riconosciuto come insicuro nel 2009 perchè sono emersi, e continuano ad emergere, casi di CA:
1) corrotti dal governo USA o altri governi; ai quali il CA vende certificati falsi per i siti (ad esempio un falso certificato google permette a quel governo di violare la criptografia di qualsiasi connessione criptata fra google e l'utente, tramite l'invio di quel certificato al momento dell'apertura della connessione [ovvero: MITM]
2) CA con server compromessi (attaccati) da hacker o governi o aziende... rendendo quini possibile a questi soggetti di divenire di fatto CA, rilasciando quindi dei certificati propri da usare a scopo d'attacco MITM.
3) se usi una rete wireless (ma anche LAN) in cui è connesso qualcuno che vuole fare un'attacco MITM dell tue connessioni, può dirottare il tuo traffico verso il suo pc. Nel senso che può fare in modo che anzichè usare il gateway normale (es. l'IP del router sulla LAN) per accedere ad Internet il tuo computer usi come gateway il SUO IP.
In genere uno si collega a Internet passando per il gateway della propria rete locale. In questo caso invece l'attaccante si aggiunge al percorso, frapponendosi come intermediario fra il pc dell'utente e il router locale.
Quindi l'attaccante ha il controllo totale del traffico da/verso Internet della vittima. A quel punto quando la vittima si collega a fineco.it l'attaccante gli passa un suo certificato facendolo apparire come rilasciato da fineco.
Esistono casi (non ho approfondito.. ) in cui il browser non riesce a stabilire immediatamente se il certificato è valido, quindi si collega al CA a cui il certificato fa riferimento (es: Verisign o altro. .) per fare la verifica. Ebbene, capita (l'ultima volta era qualche mese fa) spesso che un bug di Mozilla, Chrome e gli altri browser consista appunto nell'ignorare il problema, se il browser non riesce a collegarsi al CA.
Quindi l'attaccante può far arrivare alla vittima certificati fasulli fineco.it fatti in modo che il browser debba collegarsi a un CA per verificarli, a quel punto l'attaccante si limita a filtrare la connessione fra vittima e CA, in modo che essa non abbia luogo. A quel punto il browser "s'arrende" e getta la spugna accettando il certificato, senza ulteriori verifiche (poichè esse non sono possibili, appunto, per problema di connessione).
Problemi di questo genere compaiono ogni tanto e poi i browser non sono così attivi nel ripararli (si curano di più di problemi di stabilità del browser, pare non abbiano tutta 'sta fretta a riparare falle di sicurezza della privacy ... )
Va inoltre considerato che la NSA finanzia aziende private per inserire falle criptografiche nei propri software.
Quindi, in definitiva fai attenzione ai certificati! Se visitando l'home-banking ti esce un errore di HTTPS tipo certificato non valido o non fidato, è probabile che stia succedendo qualcosa di non molto karashò
Se il tuo browser funzia ok e le connessioni verso i CA funzionano a dovere e il sito https che stai visitando non ha portato a messaggi del browser inerenti certificati non validi o robe simili; allora puoi considerare quella connessione al sicuro da gran parte degli occhi indiscreti. Questo vuol dire che il tuo vicino o un passante che cerca di fare MITM non può farlo.
Però NSA, pula varia e "intelligence" * possono comunque farlo: vedi discorso "CA corrotto" e anche il discorso di produttori corrotti di hardware/software ( appositamente difettoso dal punto di vista di sicurezza e criptografia) ... esempi fra tanti: Microsoft, Apple ...
* Non spaventarti per il fatto che tutti li chiamano "intelligence" ...
... "intelligence"è solo un nome di copertura
Rispondi Citando
Originariamente Scritto da aljoin
Ci vuole tempo (molto)
