Mi ISP proporciona un proxy transparente para usar y puedo ver que están usando el proxy de squid para este almacenamiento en caché.
Lo que me pregunto es qué datos pueden ver y qué pueden ver si pueden probar con el proxy.
Sé que el tráfico HTTP es visible independientemente del proxy, pero ¿qué pasa con HTTPS? ¿Son capaces de verlo? Ya que controlan el proxy, ¿pueden MITM y ver mis cookies, encabezados, solicitudes GET POST y tráfico? ¿Qué son capaces de hacer?
Efectivamente, pueden ver todo lo que usted hace que no está encriptado o enviado a través de un túnel y, en muchos casos, pueden ver qué tipo de tráfico es también a través de DNS. Enumeraré algunos ejemplos:
Que sitios frecuentas.
Cuando estás activo en línea.
Qué sistemas operativos utiliza y, en muchos casos, qué software utiliza.
¿Con qué frecuencia parcheas tu computadora?
El firmware de los dispositivos móviles se puede detectar a través de las cadenas de http user-agent.
Con quien depositas.
Hábitos de las redes sociales.
Pueden usar esta información para realizar perfiles políticos o perfiles con fines de marketing.
En algunos casos, qué tipos de dispositivos IoT posee.
Pueden ubicar geográficamente casi todos los paquetes que envíes y también a dónde van.
Si vas más allá del proxy de Squid, también puedes incluir lo siguiente:
La búsqueda de DNS para cada sitio web que visite y el dominio para cada mensaje que envíe por correo electrónico. Esto incluye las búsquedas de DNS cuando visita los sitios web de HTTPS.
correo SMTP de texto simple (todo el mensaje cuando se envía en claro).
Tipos de actividades como archivos torrent
Conexiones a la red Tor
Patrones de tráfico comunes enviados a través de túneles cifrados. (es decir, descargas vs chat)
Una nota adicional con respecto a HTTPS es que algunos sitios web tienen configuraciones mal configuradas, por lo que las cookies se envían a través de HTTP de texto simple. Así que en ese caso ellos también obtendrían copias de esos.
Las conexiones IPv6 que pueden hacer tus dispositivos, incluyendo HTTP o HTTPS a través de IPv6, si tu ISP lo admite (muchos lo hacen).
etc ... El registro de algunos ISP prácticamente todo.
Aparte de las solicitudes de DNS y las filtraciones de cookies, el resto del tráfico HTTPS debe ser relativamente privado.
Es muy poco probable que MITM conecte tu conexión, pero esto depende del país en el que te encuentres (sucede en algunos regímenes represivos). Dicho esto, si no tuvo cuidado de no aceptar certificados o de instalar ningún software, siempre que sea posible, podría ocurrir. Algunos gobiernos han requerido que los ciudadanos acepten una clave que puedan usar para decodificar el tráfico, si este es el caso, TODO su tráfico es visible. Esto es raro, pero no sé de dónde eres, así que pensé en mencionarlo.
Para reproducir MITM con HTTPS, su ISP deberá crear certificados de servidor falsos sobre la marcha para los dominios que visita. Su navegador marcaría estos certificados como problemas de seguridad, ya que no serían firmados por ninguna CA de confianza. Es decir, a menos que haya importado el certificado de CA utilizado por el ISP como CA de confianza. En ese caso, su navegador pensará que todo está bien.
Este podría ser el caso, si su proveedor lo requirió o lo engañó para que importara el certificado de CA o si controla a su cliente (como hacen algunos proveedores de dispositivos móviles o en algunas configuraciones corporativas).
Para verificar si alguien tiene problemas con su conexión HTTPS, puede usar un servicio como GRC Fingerprints ( enlace ) para comparar huellas dactilares de los certificados realmente enviados por los servidores con los que ve. Si las huellas digitales coinciden, puede estar seguro de que está hablando directamente con el servidor deseado, sin MITM escuchando.
Lea otras preguntas en las etiquetas encryption tls http man-in-the-middle proxy