¿Puede mi ISP conocer mis busquedas en google usando HTTPS?

Iniciado por snake_linux, 1 Agosto 2019, 17:00 PM

0 Miembros y 1 Visitante están viendo este tema.

engel lex

CitarSigo considerando más eficiente en muchos casos la opción de trackear usando movimientos de ratón, memoria muscular, pixeles clickeados y velocidad de escritura de ciertas palabras. No te sirve para bots pero sí para saber si en una casa en la que viven 7 personas quien es el que navegó por tu web. El padre, el hijo mayor, la madre, el abuelo, la abuela, el hijo menor, el hijo del medio, el vecino robando el wi-fi o el cuñado con el teamviewer :P

entonces dudo mucho que entiendas todo lo involucrado tras ello

seguir mediante analisis del movimiento del raton o incluso distinguir personas no es para nada facil, a menos que la brecha sea muy grande... la memoria musculas poco cabe aquí en este caso es un mal uso del termino... pixeles clickeados tampoco importan, en tal caso la precisión del click... velocidad de escritura, lo mismo que lo primero, hay que tener una brecha muy grande

por que el seguir movimiento y tecleo es difícil? porque cambia durante el día en gran medida... hay veces que se usa el ratón con pereza, o el teclado con un dedo, mientras que hay veces que escribes con ambas manos en el teclado, así como puedes estar ocupado, distraído, comiendo en la pc, etc... esto sin contar personas con mas de 1 monitor que están moviéndose de pantalla a pantalla (ya que solo puedes detectar dentro del area activa del html en el navegador... necesitas mucho contexto para tener informacion util... trata de conseguir una libreria o proyecto (serio) que lo intente y discutimos al respecto...




no voy a caer en lo de los DNS porque eso es otro asunto... y simplemente no es comun por parte de ISP, ellos bloquean o dejan pasar, pero raramente mas allá (con sus excepciones)

Citarsi buscas la topología que suelen usar los ISP para el secuestro de DNS verás a que me refiero

no se que topologia, ya que básicamente requieres 0 topologia, esto es bastante fácil de hacer al vuelo, sin embargo en este caso el https + hsts te pintará una alerta enorme cuando te des con un certificado falso
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

@XSStringManolo

Cita de: engel lex en  6 Agosto 2019, 06:26 AM
entonces dudo mucho que entiendas todo lo involucrado tras ello

seguir mediante analisis del movimiento del raton o incluso distinguir personas no es para nada facil, a menos que la brecha sea muy grande... la memoria musculas poco cabe aquí en este caso es un mal uso del termino... pixeles clickeados tampoco importan, en tal caso la precisión del click... velocidad de escritura, lo mismo que lo primero, hay que tener una brecha muy grande

por que el seguir movimiento y tecleo es difícil? porque cambia durante el día en gran medida... hay veces que se usa el ratón con pereza, o el teclado con un dedo, mientras que hay veces que escribes con ambas manos en el teclado, así como puedes estar ocupado, distraído, comiendo en la pc, etc... esto sin contar personas con mas de 1 monitor que están moviéndose de pantalla a pantalla (ya que solo puedes detectar dentro del area activa del html en el navegador... necesitas mucho contexto para tener informacion util... trata de conseguir una libreria o proyecto (serio) que lo intente y discutimos al respecto...




no voy a caer en lo de los DNS porque eso es otro asunto... y simplemente no es comun por parte de ISP, ellos bloquean o dejan pasar, pero raramente mas allá (con sus excepciones)

no se que topologia, ya que básicamente requieres 0 topologia, esto es bastante fácil de hacer al vuelo, sin embargo en este caso el https + hsts te pintará una alerta enorme cuando te des con un certificado falso
Mal uso del término? Creo que no tienes ni la menor idea de lo que te identifica un simple movimiento del ratón. Me he tirado cientos de horas estudiando la memoria muscular y analizando replays de jugadores profesionales para detectar bots y ayudas de 1 PIXEL en el aim. Cuando digo cientos no digo 100 o 200 hablo de como mínimo 3000 horas, te aseguro que no te lo puedes ni imaginar. Unos 7 años y con sesiones puntuales de más de 30 horas y habituales y constantes de 16 horas diarias.
Como construirla más rapido, como borrarla, como se regenera, como actúa, como corrige movimientos forzados e involuntarios o como corrige por cambios de objetivos, coordinación ojo mano, coordinación teclado ratón/click, como se genera memoria muscular con burradas de setups, configuraciones y dispositivos.

Poniéndote un botón arriba de poco tamaño y otro exactamente en el mismo pixel horizontalmente debajo a una distancia decente con algo en el centro para centrar la vista y un borde suavizado que no llame la atención, te prometo que no hay 2 personas en el mundo que recorran los mísmos píxeles si la distancia es adecuada. Normalmente te desvías según como esté construida tu memoria muscular de una forma o de otra, la velocidad varía según el material del dispositivo y la fricción con la superficie con la que se desplaza, los píxeles se saltan según la aceleración y los drivers. Influyen el dpi, la resolución de pantalla, los hz del monitor, los fps... Y hasta capturas la trayectoria del rebote al sobrepasar el pixel de origen debido al peso, los G del ratón, el polling rate, el drift y tu respuesta en ms del drift generado corrigiéndolo con tu memoria muscular, así como la efectividad de la correción y los pixeles recorridos durante la misma. Tasa de inestabilidad, tiempos de reacción, velocidad de movimiento...

En 5 minutos por la web y con unos cuantos algoritmos te aseguro que sacas datos suficientes para identificar decenas de patrones similares únicos a cada individuo que se repetiran constantemente en este independientemente de la setup, la configuración, el sistema, la resolución, el dpi...

Si no se utilizan en tracking de usuarios es por desconocimiento absoluto de sus capacidades y la casi no existencia de personas con conocimientos avanzados en el tema.

La memoria muscular no se olvida por completo nunca. Aunque seas consciente de ella no puedes falsearla, tendrías que usar bots o mover el cursor mediante el teclado.

En el link de wikipedia te salen unos cuantos ISP y hay muchas noticias de más ISP.

engel lex

comentarios son eso XD por eso te digo, muéstrame un proyecto que haga uso del análisis de uso de mouse y teclado para identificar sujetos dentro de un buen rango de seguridad... o por lo menos para distinguirlos...

sobre los isp, incluso cuando está alli si lees las fuentes ves que no es hijacking como tal todos los casos... si usas los server DNS de tu isp y ellos deciden retornar lo que mejor les salga del corazon (por no decir otra parte) no es hijacking es simplemente una mala (o maliciosa) configuración del server... hijacking es por ejemplo si haces la solicitud a google (8.8.8.8) y el valor que recibes, no es el enviado por google... por lo que se tiene años esperando que se estandarize un dns query cifrado o por lo menos firmado
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

animanegra

#13
Normálmente no hace falta nada de DNS para saber a que dominio se esta conectando alguien usando https. En los primeros paquetes suele ir información en plano del certificado que te ayuda a saber si estas conectando, por ejemplo, con youtube, google o microsoft. Digo por sencillez. Y por supuesto, todo operador sabe con que servidor físico te conectas, porque eso es de capa IP. Igual que el cliente que esta pidiendo que tambien está en dicha capa.
No obstante en el DNS solo va el nombre del dominio, no va ningun dato de la búsqueda.
Lo de saber la búsqueda de google, lo que tecleas dentro de un formulario, y siempre que no haya error tuyo, no es posible. Eso son datos y van cifrados.
Lo de identificacion basándose en pixeles o movimiento de raton no se a que viene en este contexto.

PD: Por si acaso aclaro un poco más, todo esto hablamos de captación masiva e ISPs normales, alguien con suficiente poder te meten un certificado firmado por un CA oficial y te joden sin amor. MITM y probablemente te lo comerás con patatas por que el CA que lo firma es válido. Pero esto a priori, solo deberían tener mano gobiernos o cosas así.

42
No contesto mensajes por privado, si tienes alguna pregunta, consulta o petición plantéala en el foro para que se aproveche toda la comunidad.

@XSStringManolo

A parte de todo lo conentado no hay que olvidarse de toda la info que saben de muchas personas, contratos con empresas que también tienen info, ordenes judiciales...

Si eres un don nadie y tienen sospechas serias de que eres un radical, no tardarán mucho en saber todo lo que haces con el PC. La info es poder, y hay demasiados jueces como para que ninguno esté haciendo búsquedas inadecuadas mediante su ISP. Pronto se lo recuerdan y no tardará en darles una orden judicial para obtener toda la info que quieran y no hayan podido obtener por otros medios.

MinusFour

Cita de: animanegra en  6 Agosto 2019, 13:24 PM
Normálmente no hace falta nada de DNS para saber a que dominio se esta conectando alguien usando https. En los primeros paquetes suele ir información en plano del certificado que te ayuda a saber si estas conectando, por ejemplo, con youtube, google o microsoft.

Si está es una forma muy fácil de obtener un dominio visitado pero tiene algunos detalles. Si el certificado tiene un wildcard, no sabes exactamente el subdominio. Y también tienes el problema con reverse proxies y SANs. Tal es el caso de cloudflare, por ejemplo, elhacker.net que usa cloudflare tiene este certificado:

Citar
CN = ssl389553.cloudflaressl.com
OU = PositiveSSL Multi-Domain
OU = Domain Control Validated
DNS Name=ssl389553.cloudflaressl.com
DNS Name=*.basin.com
DNS Name=*.basinwhite.com
DNS Name=*.clubpromos.fr
DNS Name=*.elhacker.net
DNS Name=*.instafreight.de
DNS Name=*.nieuwnieuwnieuw.com
DNS Name=*.payspective.com
DNS Name=*.puresoap.nl
DNS Name=*.rcminn.com
DNS Name=*.spamcontrol.io
DNS Name=*.standardheating.com
DNS Name=*.sungod.co
DNS Name=*.touch.org.sg
DNS Name=*.uniformity.io
DNS Name=*.vivalamoda.nl
DNS Name=basin.com
DNS Name=basinwhite.com
DNS Name=clubpromos.fr
DNS Name=elhacker.net
DNS Name=instafreight.de
DNS Name=nieuwnieuwnieuw.com
DNS Name=payspective.com
DNS Name=puresoap.nl
DNS Name=rcminn.com
DNS Name=spamcontrol.io
DNS Name=standardheating.com
DNS Name=sungod.co
DNS Name=touch.org.sg
DNS Name=uniformity.io
DNS Name=vivalamoda.nl

Así que los que ven el certificado no pueden saber exactamente a cual de los sitios estás entrando (a menos que cada uno de estos sitios vaya por por un reverse proxy diferente, entonces las IPs te delatan).

Cita de: animanegra en  6 Agosto 2019, 13:24 PMPD: Por si acaso aclaro un poco más, todo esto hablamos de captación masiva e ISPs normales, alguien con suficiente poder te meten un certificado firmado por un CA oficial y te joden sin amor. MITM y probablemente te lo comerás con patatas por que el CA que lo firma es válido. Pero esto a priori, solo deberían tener mano gobiernos o cosas así.

Nadie debería poder decirle a un CA que cree certificados falsos, pero estoy seguro que debe de pasar. Estoy seguro que ya ha habido root CAs comprometidos y muchos otros incidentes que pueden pasar en cualquier parte del proceso del PKI. Pero que el gobierno le pueda decir a un CA que publique un certificado falso le están quitando toda la validez a ese CA.

Si tu tuvieras un negocio que literalmente se basa en que tu digas la verdad y viene el gobierno y te dice que tienes que mentir. ¿Que crees que haga esto con tu negocio? Se viene abajo completamente. Y no solo eso, todos tus clientes que necesitan de este nivel de confianza ya no lo tienen, ahora necesitan buscar a otro CA. Como gobierno, no solo te jodes al CA, te jodes a todos sus clientes también.

Pero bueno, no se que tan permisivos sean los que mantienen los trust stores. Hasta donde yo se se lo toman muy en serio y no creo que quieran tener CAs comprometidos por gobiernos de algún otro país.

En fin, si le tienes miedo a tu gobierno, no te queda otra mas que salirte por una VPN en otro país. Ah y para caer de una buena vez en la paranoia completa te reunes con el proveedor en su país (en un lugar seguro porfavor, mínimo a 20 metros bajo el suelo) y que ahí te den la copia de tus certificados necesarios.