¿Puede mi ISP conocer mis busquedas en google usando HTTPS?

Iniciado por snake_linux, 1 Agosto 2019, 17:00 PM

0 Miembros y 3 Visitantes están viendo este tema.

snake_linux

Buenas, he escuchado en muchos sitios que los ISPs pueden conocer los datos de navegación de los usuarios (búsquedas en google) pero de ser así, ¿Cómo pueden hacerlo si va sobre https?

Gracias.

warcry.

HE SIDO BANEADO --- UN PLACER ---- SALUDOS

MinusFour

En teoría no. Pueden hacer conjeturas quizás sobre tu trafico no cifrado que pudiera ocurrir en paralelo o en serie. Por ejemplo, si tu visitas una web (y está no usa un reverse proxy como el de cloudflare) dependiendo de la configuración de su servidor puede ser que puedas explorar el servidor web con tan solo la IP y en base al contenido del sitio puedes formar una conjetura. Digamos que la pagina en cuestión es una pagina de torrents.

Ahora tu realizas una nueva búsqueda y entras a otro sitio de torrents. Dependiendo de la hora en que se logueo el tráfico tu ISP puede decir: "Este usuario está buscando torrents". ¿Puede decir que torrents estas buscando por ejemplo? Quizás no de tu tráfico HTTP, pero si te brincas a otro protocolo no cifrado ahí pueden obtener más información acerca de tu búsqueda. Por ejemplo, si te conectaste a un servidor IRC en plain text y preguntas por una película, tu ISP puede hacer la conjetura de que estuviste buscando torrents para esa película.

DNS es uno de los otros protocolos que pueden operar en plain text.

@XSStringManolo

Aunque cambies los servidores DNS por defecto muchos ISP secuestran el tráfico. La única manera fiable es usando un gateway por el que pase todo el trafico y sea cifrado desde el gateway antes del paso por el router. Tienes por ejemplo Whonix que son dos máquina virtuales. Una actúa de gateway cifrando el tráfico antes de enviarlo por el router hacia el nodo de entrada de Tor y los servidores DNS. Muchos proxies tienen leaks de DNS que delatan el los dominios que intentas resolver.
Aún con el tráfico cifrado pueden atribuirte el tráfico e intuir de que es. Por no decir que cualquiera puede montar un nodo en Tor e infectar las webs resueltas antes de renviartelas para que las visualices. Uno de los ataques más comunes son el clickjacking y el envenenamiento de cache. Por lo que al navegar sin tráfico cifrado y acceder a ciertos contenidos como podría ser google analitics que está en casi todas las webs, el archivo malicioso es cargado y acaba delatando tu ip junto a cualqiier identificador que el atacante quiera incluir para identificarte. También es común la modificación en parametros del router a traves de protocolos no seguros o que no necesiten autentificación al prevenir de la misma red local.
Muchas botnets actúan de esta forma infectando clientes de proxy y Tor.

También se puede analizar el tráfico en la web y el tráfico de origen si quien realiza el análisis tiene acceso al nodo de entrada/salida así como a la web origen.

A parte de todas las vulnerabilidades de los navegadores y todas las configuraciones indebidas como tener javascript activado o no forzar https en el navegador. Datos del dispositivo en navegadores desde dispositivos móviles, uso horario, memoria muscular de clicks y movimientos del ratón, y velocidad de escritura de algunas palabras entre otros muchos.
En la mayoría de situaciones es bastante sencillo confirmar si alguien es o no el autor de un click. Y más en gente que usa la misma setup y acaba pinchando en el los mismos 9 píxeles o haciendo los mismos gestos en la táctil así como expresiones, acentos, vocabulario y errores gramaticales.

Sonic_Soy

Pagar una VPN, ofrecen una aplicacion llamada VPN Router, que oculta el trafico de todos los dispositivos conectados al Router.

La malo, es que "ellos" la VPN, el trafico no es oculto para ellos.

engel lex

Cita de: string Manolo en  2 Agosto 2019, 20:37 PM
Aunque cambies los servidores DNS por defecto muchos ISP secuestran el tráfico.

por defecto muchos carteros secuestran tus cartas! XD hasta que se las entregan al siguiente secuestrador así hasta que la reciba el destinatario! XD

no secuestran, tu trafico pasa por ellos, simplemente leen los paquetes no cifrados

por otro lado se están yendo a paranoia total con todo, un vpn normal usualmente basta, solo asegurate que seguir su tutorial sobre como pasar el trafico por sus servidores (en caso que no lo haga automaticamente, cosa que es común hoy dia...


CitarA parte de todas las vulnerabilidades de los navegadores y todas las configuraciones indebidas como tener javascript activado o no forzar https en el navegador. Datos del dispositivo en navegadores desde dispositivos móviles, uso horario, memoria muscular de clicks y movimientos del ratón, y velocidad de escritura de algunas palabras entre otros muchos.

te fuiste! esto es estadisticamente poco eficiente y requieres muchos recursos para el análisis (básicamente tienes que hacer fuerza bruta con la db de huellas de usuarios)... por otro lado la probabilidad de dar con el usuario único es baja...

increíblemente no diste con los métodos mas comunes de identificación de usuario único XD
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

@XSStringManolo

Cita de: engel lex en  6 Agosto 2019, 01:28 AM
por defecto muchos carteros secuestran tus cartas! XD hasta que se las entregan al siguiente secuestrador así hasta que la reciba el destinatario! XD

no secuestran, tu trafico pasa por ellos, simplemente leen los paquetes no cifrados

por otro lado se están yendo a paranoia total con todo, un vpn normal usualmente basta, solo asegurate que seguir su tutorial sobre como pasar el trafico por sus servidores (en caso que no lo haga automaticamente, cosa que es común hoy dia...


te fuiste! esto es estadisticamente poco eficiente y requieres muchos recursos para el análisis (básicamente tienes que hacer fuerza bruta con la db de huellas de usuarios)... por otro lado la probabilidad de dar con el usuario único es baja...

increíblemente no diste con los métodos mas comunes de identificación de usuario único XD

Me hizo gracia tu comentario jajaja. Casi me defines sin conocerme!
Más comunes supongo que te refieres a analizar paquetes, trackers de sitios, romper cifrado o ingeniería social. O quizás al uso de tecnologías en el equipo que se comunican automáticamente con sus servidores mientras estás tranquilamente navegando. Como SE dudo que las empresas de este tipo utilicen la técnica más eficiente. Jeje.

engel lex

#7
CitarMás comunes supongo que te refieres a analizar paquetes, trackers de sitios, romper cifrado o ingeniería social. O quizás al uso de tecnologías en el equipo que se comunican automáticamente con sus servidores mientras estás tranquilamente navegando. Como SE dudo que las empresas de este tipo utilicen la técnica más eficiente. Jeje.

mas comunes son el "browser fingerprinting"

por ejemplo un canvas puede retornar un hash casi unico de una imagen debido a como tu cpu y gpu combinados la tratan en base a tus drivers y navegador

suma esto a tus cabeceras donde indicas tus idiomas preferidos, las fuentes en tu navegador, tu version de navegador, que tipo de protocolos aceptas

con esas 2 cosas pueden en general crear una buena pista tuya incluso bajo incognito

esto para los sitios web...


los ISP no tienen acceso a esos datos

pero los ISP no necesitan romper paquetes (de nuevo, ineficiente) pueden analizar a que ips van y viene el trafico en relacion a tus dns querys, tambien hacerse idea mas o menos que va a donde, asi deducir tu actividad (estas viendo videos en youtube, fotos en FB, jugando, chateando) etc... con respecto al contenido especifico (si buscas pan o buscas carros), depende mas del sitio que entres, y de descuidos con imagenes o contenido no bajo https...

sin embargo y basado en el tema principal, no es casi imposible que tu ISP sepa que haces en google especificamente
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

@XSStringManolo

Qué más trackers suelen utilizarse? Conocía el del canvas porque Tor Browser te avisa, pero tengo ni idea de las técnicas frecuentes fingerprinting. Me has dado curiosidad asique investigaré.

Sigo considerando más eficiente en muchos casos la opción de trackear usando movimientos de ratón, memoria muscular, pixeles clickeados y velocidad de escritura de ciertas palabras. No te sirve para bots pero sí para saber si en una casa en la que viven 7 personas quien es el que navegó por tu web. El padre, el hijo mayor, la madre, el abuelo, la abuela, el hijo menor, el hijo del medio, el vecino robando el wi-fi o el cuñado con el teamviewer :P

Ahora, lo que sea usado más frecuentemente estoy seguro de que como dices es el browser fingerprinting.

Cuando me refiero a secuestro me refiero a secuestro, no a dejar pasar las consultas, analizarlas y crear logs.
https://en.m.wikipedia.org/wiki/DNS_hijacking
El cartero te abre la carta y si se la mandas a alguien que no le cae bien te devuelve otra diciéndote que la dirección no viene en el mapa. Jeje.

En wikipedia creo que no viene pero si buscas la topología que suelen usar los ISP para el secuestro de DNS verás a que me refiero xD

Creo que lo leí hace tiempo en un pdf que me descargué de un manual avanzado basado en un artículo de owasp que venían los ataques más comunes relacionados con DNS.

Sputnik_

Snake_linux

Como bien dicen los compañeros sin ningún tipo de recaudo pueden ver los sitios a los que accedes mediante las consultas dns, sin embargo firefox agregó hace un tiempo una herramienta que soluciona este inconveniente, te invito a leer el siguiente post muy interesante de este mismo foro

https://foro.elhacker.net/seguridad/aporte_activar_dns_over_https_doh_en_mozilla_firefox-t497666.0.html

Las personas lo suficientemente locas como para pensar que pueden cambiar el mundo son las que lo cambian.