Ich habe oft gehört, dass HTTPS für die Übertragung privater Daten verwendet werden sollte, da HTTP für Lauscher anfällig ist. Aber wer ist in der Praxis in der Lage, den HTTP-Verkehr eines bestimmten Surfers zu belauschen? Ihr ISP? Andere Leute im selben LAN? Wer kennt seine IP-Adresse?
Antworten:
Einfach - folgen Sie einfach dem Kabel von Ihrem PC zum Server.
Dies ist vielleicht spezifisch für Österreich, aber es sieht wahrscheinlich auf der ganzen Welt ähnlich aus.
Nehmen wir an, wir haben einen DSL-Benutzer:
Jeder, der Zugang zur lokalen Infrastruktur hat, kann den Verkehr abhören
Jeder, der Zugriff auf die Kupferinfrastruktur und -ausrüstung hat, die die Daten dekodieren kann, kann mithören. Der größte Teil dieser Verkabelung ist relativ ungeschützt und leicht zugänglich, wenn Sie wissen, wo Sie suchen müssen, aber um die Daten tatsächlich zu dekodieren, benötigen Sie wahrscheinlich einige sehr spezielle Geräte.
Die meisten DSLAMs sind über Glasfaser mit einer Art Fibre Ring / MAN mit Routern des ISP verbunden.
In Deutschland gab es Geschichten, in denen angeblich Drei-Buchstaben-Agenturen aus den USA von A den Verkehr eines Metropolitan Area Network belauscht haben. Es gibt Standardgeräte, die dies tun können. Sie benötigen lediglich das richtige Budget, die richtige Absicht und das richtige Wissen über die lokale Infrastruktur.
Da sich der Zielserver nicht im selben autonomen System befindet wie der Benutzer, muss der Datenverkehr über das "Internet" gesendet werden. Wenn Sie über das Internet gehen, verwenden Sie ein Zitat von Snatch "Alle Wetten sind aus". Es gibt so viele Ecken und Winkel, in denen sich böswillige Betreiber anhängen könnten, dass Sie am besten davon ausgehen, dass Ihr gesamter Datenverkehr gelesen wird.
Das DHS (oder vielleicht eine andere Agentur) hat die Backbone-Infrastruktur in den USA auf dieser Ebene aktiv belauscht.
Siehe oben.
Auf diese Weise wurden bereits einige Websites angegriffen. Ethernet bietet keinen Schutz für Hosts, die sich in derselben (V) LAN / Broadcast-Domäne befinden. Daher kann jeder Host ARP-Spoofing / -Vergiftung versuchen, um sich als ein anderer Server auszugeben. Dies bedeutet, dass der gesamte Datenverkehr für einen bestimmten Server durch einen Computer im selben (V) LAN getunnelt werden kann.
In einem Switched LAN (wie in den meisten Ethernet-Netzwerken) können Sie eine ARP-Cache-Vergiftung verwenden, um in vielen Fällen diesen Datenverkehr zu belauschen. Grundsätzlich können Sie den Client-Computer fälschen und den Eindruck erwecken, dass Ihre Abhörstation der Router außerhalb des LAN ist.
In LANs mit gemeinsam genutzten Medien, dh nicht geschalteten LANs wie drahtlosem Ethernet ohne Verschlüsselung oder mit fehlerhafter Verschlüsselung, müssen Sie dies nicht einmal tun. Einfach zuhören!
Beim ISP, beim ISP des ISP und beim ISP des ISP ... usw. müsste ein Angreifer nur den Datenverkehr abhören. Jeder Punkt auf dem Weg, durch den der Verkehr fließt, kann möglicherweise abgehört werden. Dazwischen befinden sich auch LANs, sodass immer die Möglichkeit besteht, durch ARP-Cache-Vergiftungen usw. abgehört zu werden.
Schließlich wird es am anderen Ende ein weiteres LAN geben, das genauso anfällig für Abhören ist wie das Quell-LAN.
J. Zufälliger Idiot, der Ihre IP-Adresse kennt, wird Ihren Datenverkehr nicht belauschen, ohne dabei etwas zu hacken oder den Datenverkehr von seinem normalen Pfad zu ihnen umzuleiten.
Ja - Klartext ist schlecht.
Wenn Sie Wireless irgendwo auf dem Weg in die Verbindung werfen (WiFi-Karte, Wireless Bridge usw.), kann jeder, der sich sogar in der Nähe des Netzwerks befindet, zuhören.
WEP ist aufgrund einer relativ kurzen Zeitspanne neben einem ausgelasteten Netzwerk leicht kaputt. Sobald Sie im Netzwerk sind, können Sie den Datenverkehr aller Personen anzeigen.
Probieren Sie es aus, wenn Sie wollen. Laden Sie ein Programm namens WireShark herunter und bitten Sie es, es im Promiscious-Modus aufzunehmen. Sehen Sie, was kommt!
Alles, was sensibel, vertraulich, privat und geschäftlich ist, sollte über HTTPS gesendet werden. Ein signiertes Zertifikat ist nicht teuer. Wenn Sie sich in einer Domäne befinden, können Sie eine eigene Zertifizierungsstelle erstellen, mit der Sie Zertifikate zum Verschlüsseln des Datenverkehrs zuweisen können, dem Clients in derselben Domäne automatisch vertrauen.
Abhängig von Ihrem ISP und davon, ob Ihre Verbindung gemeinsam genutzt wird oder nicht, können andere Mitglieder Ihrer Teilnehmeranschlussleitung möglicherweise Ihren gesamten Datenverkehr abhören. Dies wären normalerweise Nachbarn. Dies ist zusätzlich zu der Liste der Personen, die in anderen Antworten erwähnt werden.
Zusätzlich zum Abhören gibt es auch den "Man-in-the-Middle" -Angriff, bei dem sich jemand zwischen Sie und den betreffenden Webserver stellt. Wenn Sie mit dem Remote-Server über SSH sprechen, kommt der Man-in-the-Middle-Angriff nicht weiter. Wenn Sie Klartext sprechen, können sie als Proxy fungieren und alles sehen, was Sie tun.
Der Punkt ist, dass die Leute Ihre Gespräche mithören können, auch ohne sich in Ihrem LAN oder im Remote-LAN zu befinden. ARP-Cache-Vergiftung für Personen in Ihrem lokalen Netzwerk (oder die Ihr lokales Netzwerk gehackt haben), aber auch DNS-Vergiftung, damit Sie glauben, Sie sprechen mit jemand anderem als Ihnen. Wenn Sie HTTPS mit einem gekauften, signierten Zertifikat verwenden, haben die Benutzer die Möglichkeit zu wissen, dass sie nicht mit dem richtigen Server sprechen, da das Zertifikat das falsche ist.
Beachten Sie, dass Sie bei der Verwendung von HTTPS möglicherweise auch exponiert sind, wenn Sie das von der anderen Seite verwendete Zertifikat nicht außerhalb des Bandes überprüft haben. Das heißt, wenn Sie mit einer Meldung aufgefordert werden, dass der Remote-Standort aus irgendeinem Grund nicht überprüft werden kann, sprechen Sie möglicherweise nicht mit dem Standort selbst, sondern mit einem Angreifer, der Ihren Datenverkehr zum und vom tatsächlichen Standort weiterleitet und es die ganze Zeit aufnehmen.
Neben all den bereits erwähnten Möglichkeiten, Ihre Daten zu schnüffeln, hat eine alte kürzlich viel mehr Interesse geweckt: das Spielen mit BGP-Tischen. Auf der Defcon im August 2008 haben Anton Kapela & Alex Pilosov einen neuen Weg aufgezeigt , um einen "BGP-Shunt" zu erstellen , um Ihren gesamten Verkehr an einen Ort umzuleiten , an den er normalerweise nicht geht, und (das war die wichtigste Neuerung in ihrem Vortrag) um dies zu tun, ohne dass der Absender oder der Empfänger es bemerkt.
Selbst wenn sich der potenzielle Sniffer nicht irgendwo im normalen Pfad Ihrer Daten befindet, kann er diese dennoch erfassen. Wie die anderen sagten, verschlüsseln.
Die richtige Art zu denken ist, dass, wenn Sie Klartext verwenden, jeder auf diese Informationen zugreifen kann (öffentliche Informationen). Sei es in einem Netzwerk oder um auf eine externe Website zuzugreifen. Es gibt so viele Angriffe und Umleitungen, dass eine Vorschau nicht möglich ist.
Senden Sie daher nur öffentliche Informationen (oder Informationen, die nicht besonders vertraulich sind) im Klartext. Ja, einschließlich E-Mail.
* Übrigens, versuchen Sie es mit Traceroute zu einer beliebigen Website und sehen Sie, wie viele Hopfen sich in der Mitte befinden. Ihre Daten durchlaufen alle: