Mi ISP usa una inspección profunda de paquetes; ¿Qué pueden observar?

La Inspección profunda de paquetes, también conocida como inspección completa de paquetes, simplemente significa que están analizando todo su tráfico en lugar de simplemente capturar información de conexión, como a qué IP se está conectando, qué número de puerto, Qué protocolo y posiblemente algunos otros detalles sobre la conexión de red.

Esto se discute normalmente en contraste con la recopilación de información de NetFlow que recopila principalmente la información enumerada anteriormente.

La inspección profunda de paquetes le brinda a su proveedor mucha información sobre sus conexiones y hábitos de uso de Internet. En algunos casos, se capturará el contenido completo de cosas como los correos electrónicos SMTP.

HTTPS encripta las conexiones, pero su navegador tiene que realizar solicitudes de DNS que se envían principalmente a través de UDP para que los datos se recopilen, al igual que cualquier enlace no cifrado o cookies no cifradas que se envíen incorrectamente sin https. Estos bits adicionales que se recopilarán pueden ser muy reveladores sobre el tipo de contenido que está viendo.

La mayor preocupación para la mayoría de las personas es sobre la agregación de datos , al recopilar esta información, un científico de datos podría crear una huella digital para su uso de Internet y luego asociarse con actividades pasadas o actividades de otros lugares (cuando están en el trabajo o están de vacaciones). Del mismo modo, su proveedor de servicios puede optar por vender esto a cualquier número de organizaciones (posiblemente incluidas las organizaciones criminales), donde podría ser utilizado en su contra de alguna manera. En muchos países, las personas esperan que sus comunicaciones se consideren privadas y la recopilación de estos datos va en contra de la expectativa de privacidad.

Otro aspecto interesante de esto es en los casos en los que, en los Estados Unidos, donde esta información podría venderse pronto, permite que las comunicaciones internacionales enviadas a personas o servidores en los Estados Unidos también se vendan . Del mismo modo, esto podría permitir a todas las agencias de la ley locales, militares, autoridades fiscales, autoridades de inmigración, políticos, etc., una forma de evitar las leyes de larga data que les han impedido acceder a este tipo de información, o importantes subconjuntos informativos dentro de este dato de lo contrario.

Una preocupación ligeramente diferente cuando se pueden vender estos datos es la inteligencia competitiva / espionaje corporativo. En el escenario donde una empresa realiza una gran cantidad de trabajo de investigación intensiva en su sede ubicada en una pequeña ubicación geográfica (piense en productos farmacéuticos o un contratista de defensa) que vende esos datos hace posible que cualquiera pueda comprar todo el tráfico del ISP local. donde la mayoría de los investigadores viven y analizan lo que están buscando cuando están en casa, posiblemente incluso desde el ISP que aloja el tráfico para su sede corporativa. Si otros países no venden datos similares, las empresas extranjeras y las empresas lo suficientemente inteligentes como para tratar de comprar estos datos suponen una gran ventaja técnica. Del mismo modo, también permitiría a los gobiernos extranjeros comprar tráfico de ISP, que incluye los datos de los hogares de los funcionarios de los Estados Unidos (u otro gobierno).

Imagine que las compañías monitorean el comportamiento de sus empleados en el hogar o en sus dispositivos móviles.

Esto probablemente también tendrá un efecto escalofriante en activistas y denunciantes.

Del mismo modo, si las tarjetas de crédito o la PII se envían de forma clara a un sitio remoto mal protegido, el conjunto de datos de su ISP ahora tiene un potencial problema normativo de PCI o PII en sus manos. Así que esto amplifica los problemas de fuga de datos de todos los tipos al hacer copias adicionales de los datos filtrados.

Con los ejemplos que acabo de mencionar, y hay cientos de otros, debería ser fácil ver por qué este tipo de recopilación de datos tiene un nivel de importancia diferente al de los metadatos o la información de conexión básica. Incluso si su ISP nunca vende estos datos, están recopilando un conjunto de datos bastante interesante.

Es un problema de seguridad que definitivamente tiene muchas implicaciones potenciales de seguridad a largo plazo.

La respuesta de Trey Blalock describe con precisión qué es la inspección profunda de paquetes (DPI). Pero me gustaría agregar tres cosas para responder a sus preguntas específicas:

1. Existe una técnica de DPI que hace descifra sus datos, llamada intercepción SSL, aunque es más común en situaciones empresariales y solo es posible si el ISP (o cualquier otro interceptor) tiene la capacidad de Instale un certificado en su máquina. Por lo tanto, a menos que el ISP tenga alguna forma de hacerlo (técnico, etc.), probablemente esté fuera de la mesa.
2. HTTPS impediría que el ISP pueda leer datos. Por supuesto, esto solo es cierto para los servicios que usan HTTPS (que desafortunadamente no son todos ). También debe tener en cuenta que el ISP puede leer metadatos ya sea que la conexión esté encriptada o no.
3. Una VPN lo protegería contra el DPI realizado por el ISP (no por el proveedor de VPN). Esto se debe al hecho de que las VPN utilizan un túnel cifrado para conectarse al 'nodo de salida'. Esto encripta todo su tráfico, y todos los metadatos mostrarán los paquetes que salen de su computadora y van al servidor VPN (por lo tanto, no revelan el servidor real al que está accediendo).

Según lo indicado por Trey, DPI puede ver todo el contenido del tráfico de su red. Todo ello. Si es texto plano, entonces ven todo lo que haces.

Para agregar a la respuesta de Miao:

Cosas que DPI puede ver, incluso cuando usa HTTPS:

• información de DNS, por ejemplo, enlace : verán enlace
• conectividad de direcciones IP. Por lo tanto, incluso si usted realiza un HTTPS a ese sitio con videos de gatos, pueden ver que se conectó a ese sitio de videos de gatos y descargó 500 GB de datos. No saben qué datos, pero conocen el nombre de DNS, la dirección IP y la cantidad de datos de ese sitio y de cada sitio.
• anuncios. Muchas / la mayoría de las redes de anuncios no utilizan HTTPS, por lo que los datos no siempre están cifrados. Esto puede dar como resultado un "cifrado mixto" o una advertencia similar desde un navegador.
• otros datos: muchos sitios que usan HTTPS para iniciar sesión descartarán el cifrado de todo lo demás.
• gráficos: muchos sitios no cifran cosas como su logotipo o varios archivos gráficos o de video. Pueden cifrar su inicio de sesión y búsqueda, pero no los resultados.
• otro tráfico que no sea HTTPS como UDP, correo, SNMP, ftp, telnet, las actualizaciones de algunos programas podrían no usar HTTPS, etc.

Con una VPN, todavía verán el 100% de los datos. Sin embargo, aparte de la conexión con el proveedor de VPN, solo verán los datos cifrados. Sabrán que descargaste 800GB de VPNco.com, pero no sabrán nada de los datos que contiene. Incluso las cosas que no están cifradas a través del protocolo se cifrarán ya que un nivel inferior está cifrado. Ahora, el VPNco.com verá sus datos.

Con el cambio (potencial) en la ley de EE. UU. sobre ISP y privacidad de datos, combinado con la pérdida (potencial) de neutralidad de la red, los ISP pueden no solo ver el 100% de sus datos, sino que también pueden modificar esos datos. o bloquee los sitios que desee, y podría vender cualquiera o todos sus datos a un tercero (como lo indica Trey).

No estoy cubriendo MITM (como Miao afirma en el número 1 anterior), ya que usted declaró ISP, asumo que está hablando de un sistema doméstico y un DSL o cable módem.

enlace

Si no confía en su ISP, entonces su primera prioridad no debería ser en absoluto sobre la inspección de paquetes, sino más bien establecer un segundo canal de comunicación de confianza para el cual pueda intercambiar información sobre eludir tales cosas.

Siempre y cuando confíe únicamente en su ISP como el único canal para todo el intercambio de información, técnicamente puede enviarle información de inicio de sesión incorrecta a su VPN, incluso si no lo hacen, podrían seguir con cualquier intento de encriptación que intentará. siempre estar en el medio

Pueden tener personas en su empleo que son sobornadas para hacerlo o ser requeridas por la ley por cualquier motivo.

Con la inspección profunda de paquetes, el ISP puede detectar la mayoría de los protocolos VPN (no los datos cifrados en los paquetes VPN, solo que hay tráfico VPN) y bloquearlos. Algunas compañías hacen esto para asegurarse de que pueden descifrar todo el tráfico (con el ataque MITM y los certificados falsificados para tener también DPI en SSL). La idea es forzarlo a utilizar canales de comunicación "inseguros" evitando todo lo demás. Tenga en cuenta que estos canales "inseguros" pueden ser más seguros, desde el punto de vista de la compañía, ya que pueden hacer Prevención de Fuga de Datos allí.

En tal caso, las técnicas VPN no estándar, como el túnel HTTP, podrían ser una opción.

Tenga en cuenta que los términos de uso podrían no permitir medidas para eludir el DPI.

Editar: algunos ISP usan DPI para la configuración del tráfico. No registran todos los datos transmitidos, solo revisan (por ejemplo) el tráfico de BitTorrent y le asignan una prioridad más baja o un ancho de banda limitado. Ahora, no están robando su contraseña, solo el ancho de banda que está pagando ...

Todo lo anterior es cierto. Un pensamiento más: ¿Su ISP le otorgó un certificado raíz autofirmado y está en su navegador? Si lo hicieron, pueden abrir su tráfico HTTPS.