Privacidad de Internet y correo electrónico en un país "enemigo de internet" [cerrado]

4

Aquí donde vivo, se cree que todo el tráfico de Internet pasa por las agencias gubernamentales, y la oficina de telecomunicaciones es en realidad propiedad del gobierno.

Dada la situación , tengo algunas preocupaciones:

  1. ¿Pueden las agencias gubernamentales manipular los sitios web que usan HTTPS? ¿Qué tan seguros son los datos de inicio de sesión que se envían a través de HTTPS?

  2. ¿Es suficiente usar HTTPS para evitar que conozcan los detalles de nuestros correos electrónicos (es decir, el asunto, los receptores y el contenido)?

  3. Y aquí está la pregunta general: ¿Qué conocimientos prácticos de seguridad debo tratar de obtener para proteger mejor mi privacidad? Sé que sé sobre GnuPG, OTR, Tails y tratar de entender algunos conceptos básicos como el ataque MitM, etc.

pregunta Little moon 23.01.2014 - 02:59
fuente

2 respuestas

2

SSL protege la confidencialidad de sus datos si tanto el cliente (su máquina) como el servidor (el sitio web con el que está hablando) siguen el protocolo y están libres de modificaciones directas. Sin embargo, si (por ejemplo) su enemigo logró instalar una CA raíz que controla dentro de su "tienda confiable", entonces puede producir certificados falsos a voluntad, para todos los sitios web con los que se ponga en contacto. Es un ataque Man-in-the-Middle : el atacante se hace pasar por el servidor, por lo que los datos que envías van al atacante, y lo que ves es lo que el atacante te envía; simultáneamente, el atacante se conecta al servidor original, haciéndose pasar por el cliente normal (usted) y transfiere datos de un lado a otro. Por lo tanto, sus solicitudes en última instancia van al servidor deseado y sus respuestas le vuelven, y todo parece ir bien, pero el atacante puede ver todos los datos sin cifrar.

Por lo tanto, si el sitio de destino está fuera del alcance de su enemigo y su computadora está "limpia" (comprada fuera del país, incluido el sistema operativo, y no hay malware instalado), puede que esté bien. Pero estas condiciones no son tan fáciles de lograr.

Para correos electrónicos , no se transmiten con HTTPS. Cuando accede a sus correos electrónicos "con HTTPS", está utilizando su navegador web para acceder a una interfaz basada en la web en un servidor donde sus correos electrónicos le esperan. Pero ningún HTTPS estaba en vigor cuando dicho correo electrónico pasó de la máquina del remitente a ese servidor. Los correos electrónicos saltan de un servidor a otro y, como regla, viajan sin protección ( algunos servidores aplican oportunamente alguna protección SSL, pero esto no está garantizado, no necesariamente se hace bien, y los correos electrónicos todavía se almacenan sin cifrar, aunque solo sea transitoriamente, en los servidores intermedios). Por lo tanto, si usted lee y escribe correos electrónicos a través de una interfaz basada en la web a la que accede solo con HTTPS y que HTTPS está limpio (vea más arriba) y el servidor que contiene su buzón está fuera del alcance de su enemigo y las personas con las que intercambia correos electrónicos también están fuera del alcance de su enemigo, entonces es posible que su enemigo no podrá leer su correo electrónico entrante y saliente, ni adivinar con quién se está comunicando. Una vez más, estos son grandes ifs ...

La privacidad no es confidencialidad . Por ejemplo, cuando te conectas a un sitio web HTTPS, tu enemigo no podrá ver los datos que envías a ese sitio y lo que el sitio envía (asumiendo un cliente limpio y un servidor limpio, como se explicó anteriormente). Sin embargo, su enemigo sabrá perfectamente que está intercambiando datos con ese sitio web específico. No lo hará cuando se conecte, y verá el tamaño de todas las solicitudes y respuestas, y por lo tanto puede hacer algunas buenas suposiciones sobre lo que está haciendo en el sitio. Eso se llama análisis de tráfico . SSL garantiza la confidencialidad y la integridad, no la "privacidad" en un sentido más amplio.

Además, si tu enemigo es un gobierno, entonces es probable que no le importe tu contraseña real. Obtener su contraseña solo tiene sentido para los atacantes que desean suplantar a usted , conectándose a sus cuentas en servidores externos. Esto deja huellas; A las agencias de espionaje, por regla general, no les gusta eso. Las escuchas pasivas, o quizás MitM sin rastro, tienen más carácter para ellos.

Todo lo anterior supone que tu enemigo es extremadamente poderoso pero geográficamente limitado; Puede secuestrar las infraestructuras de telecomunicaciones a voluntad en todo su país, pero se vuelve impotente más allá de los límites. Este es un supuesto un tanto simplista. Si el atacante intenta desentrañar sus secretos, también puede también dedicarse a la piratería activa en todo el mundo, tratando de encontrar y explotar vulnerabilidades en servidores externos como cualquier atacante aficionado.

    
respondido por el Tom Leek 23.01.2014 - 13:35
fuente
4
  

Aquí donde vivo, se cree que todo el tráfico de Internet pasa por las agencias gubernamentales, y la oficina de telecomunicaciones es en realidad propiedad del gobierno.

¿Supongo que estás en EU-Europe o US of A? (scnr)

a tus preguntas:

  1. sí, la manipulación es posible, ya sea como hombre en el medio o como decodificación posterior del tráfico registrado. Sus datos de inicio de sesión están condenados

  2. no

3.

  • no confíe en la privacidad en Internet (no tor, no i2p, no nada)
  • mantenga todo el tráfico fuera de Internet que pueda
  • tenga en cuenta el metadatos-problema (se almacenan, de todos modos)
  • aprender acerca de cómo eres rastreado
  • aprende a permanecer invisible (por ejemplo, evita ser rastreado por los grandes jugadores)
  • aprender de encriptación de extremo a extremo
  • mantente informado
  • tbc

lamento ser tan pesimista, pero Internet está roto y no se solucionará pronto :(

    
respondido por el that guy from over there 23.01.2014 - 08:41
fuente

Lea otras preguntas en las etiquetas