Si el servicio es http a través de TLS / SSL, ¿la comunicación es completamente segura?

2

La semana pasada, en el país donde vivo, había un artículo en un periódico con una lista de personas (periodistas, empresarios, etc.) que estaban siendo espiados por los servicios de inteligencia del país ... Explicaron que esta agencia era espiando todas sus conversaciones de WhatsApp, llamadas de Skype, llamadas de teléfono celular, etc ...

Entonces, cuando leí eso, comencé a preguntarme ¿CÓMO pueden espiar las conversaciones de WhatsApp ya que están sobre TLS? Si quieren hacer un hombre en el ataque central necesitan cambiar los certificados en el dispositivo para que puedan atacar la conexión ... ¿hay otra manera ??!?!?

Esto es una gran sorpresa para mí porque no tengo nada que ocultar, pero me alegré solo de comprobar si las conexiones eran https para sentirme segura ya que pensaba que nadie podía ver lo que estaba enviando / recibiendo (sé si tengo acceso a los servidores, pueden verificar cualquier cosa, pero eso no me preocupa ...)

Y otra pregunta, ¿qué tan seguro es usar Skype / Viber para las llamadas? ¿Es Skype más seguro que una línea de teléfono fijo o celular? ¿Es el telegrama más seguro que el whatsapp?

    
pregunta Andres 09.11.2015 - 18:01
fuente

3 respuestas

1

Para responder a tu pregunta del título principal: Sí, más o menos. (Me gustaría ofrecer una opinión opuesta a la respuesta de Andrew). Todo el concepto de certificados se basa en la confianza. Confía en que el sitio o servicio con el que se está comunicando y los proveedores de CA son confiables para comenzar. Si comienza con esa suposición, entonces puede estar razonablemente seguro de que su privacidad está protegida del acceso no autorizado fuera de esas partes.

Si ya no puede confiar en la CA, o si no puede confiar en el servicio o el sitio web que está utilizando para proteger sus datos, el proceso completo se descompone. Si una CA o un servicio permite que las agencias de inteligencia vean sus datos, o una puerta trasera, entonces, por supuesto, no puede confiar en eso, pero eso aún sería acceso autorizado . Como analogía, usted y su arrendador tienen las llaves de su apartamento. ¿Confía en que su arrendador no permita que nadie entre en su apartamento, aparte de usted? Si su arrendador decide permitir que otra persona sin su permiso, todavía tiene acceso autorizado . (A diferencia del acceso no autorizado, como copiar su llave cuando no está mirando, abrir el cerrojo de su puerta o patear la puerta).

    
respondido por el TTT 10.11.2015 - 17:10
fuente
2

No. Los certificados raíz adicionales en el almacén de llaves / billetera de su navegador (o computadora) se pueden usar para realizar ataques Man-in-the-middle si alguien en la cadena de Internet puede obtener un certificado firmado para el servidor web en el que está conectando desde una de esas CA raíz adicionales. Por ejemplo, digamos que tienes una CA raíz turca en tu almacén de claves en tu Mac. Si su ISP puede hacer que la autoridad raíz turca emita un certificado de servidor para el host www.whatsapp.com (soborno, servicio de inteligencia en Turquía), entonces su conexión desde su computadora o teléfono a whatsapp.com puede ser enrutada a un servidor intermedio para un MITM ataque.

Elimina esas CA raíz no confiables y estarás más seguro. Es posible que tenga un problema con el nuevo ataque de logjam, que es un ataque de degradación de la suite de cifrado, o con el uso de un algoritmo que los criptógrafos creen que puede romperse (un puñado de claves DH de uso común de longitud de 1024 bits o menos).

Vea estas respuestas en Cómo la NSA puede interrumpir las sesiones Web y VPN y ataque MITM contra SSL .

Nunca he estudiado la seguridad de Skype.

    
respondido por el Andrew Philips 09.11.2015 - 19:08
fuente
1

El nivel exacto de seguridad de TLS / SSL no es realmente relevante aquí. Porque es lo suficientemente bueno como para que la forma más fácil de escuchar una sesión en WhatsApp o similar sea comprometer uno de los puntos finales, que necesariamente tienen acceso a los datos sin cifrar.

    
respondido por el Mike Scott 10.11.2015 - 17:45
fuente

Lea otras preguntas en las etiquetas