Quiero decir, si estoy, por ejemplo, en Facebook, cada paquete que envío de mi NIC está cifrado. Pero debe haber una fase de ese paquete antes de que se cifre. El navegador (creo) debe crear ese paquete y cifrarlo después. Entonces, si estoy en la máquina creando esos paquetes, ¿puedo verlos antes del cifrado?
Y si es así, ¿hay malware capaz de hacer esto? Creo que con los privilegios de administrador / raíz es seguro que puede, pero ¿qué pasa sin ellos?
Con la disponibilidad de las extensiones del navegador, la lectura del tráfico debería ser bastante factible. Si tanto el malware como el navegador web se ejecutan como el mismo usuario (y, por lo tanto, pueden escribir en el directorio del perfil del navegador), la instalación de las extensiones del navegador se puede hacer con relativa facilidad.
También puede abrir Web Developer Tools , normalmente accesible al presionar F12 y visitar la pestaña Redes . Eso le mostrará todo el tráfico antes de que se cifre y se introduzca en la red.
Los métodos anteriores son formas pasivas que no interfieren con las comunicaciones. Los métodos activos realizan un ataque Man in the middle (MitM) y modifican los datos antes de que se reenvíen (Tylerl describe un ejemplo con Fiddler).
El tráfico de red que sale de su navegador se cifra antes de que el navegador llame a send() para ponerlo en la red. Por lo tanto, para interceptarlo antes del cifrado, tendría que interceptarlo antes de que se envíe, es decir, dentro del propio navegador. Esto no es imposible, pero es mucho trabajo.
Una alternativa es configurar un proxy "Man In The Middle", como fiddler , que descifra el tráfico antes de hacerlo. abandona la red, la inspecciona y, a continuación, la vuelve a cifrar al salir. Por lo general, SSL está diseñado para evitar esto, por lo que necesitará cierta cantidad de cooperación por parte de su computadora para permitirlo (es decir, su navegador tendrá que confiar en la clave pública de Fiddler), pero esto es parte de cómo configura el Fiddler, por lo que está bien -suficientemente documentado.
El navegador (creo) debe crear ese paquete y cifrarlo después. Entonces, si estoy en la máquina creando esos paquetes, ¿puedo verlos antes del cifrado?
No, no es así como funciona. Dentro del navegador, los datos se cifran y solo se pasan datos cifrados entre el navegador y la pila de red. La pila de la red divide los datos cifrados en paquetes y vuelve a ensamblar los datos cifrados recibidos de los paquetes de nuevo en el flujo de datos para que el navegador los descifre. Simplemente no hay paquetes al nivel que maneja el navegador, y el navegador maneja el cifrado y descifrado.
Por lo tanto, su pregunta se basa en una premisa falsa.
Lea otras preguntas en las etiquetas encryption tls malware packet