¿Cuánto tiempo permanece vulnerable / disponible la información en una red pública?

2

El título básicamente lo dice todo, pero proporcionaré una hipótesis para mayor claridad.

Bob está de vacaciones y necesita verificar su cuenta bancaria. Inicia sesión en el sitio web de su banco con un nombre de usuario y contraseña en la conexión inalámbrica pública del hotel. Alice está monitoreando la red y puede interceptar esta información y utilizarla con fines maliciosos.

¿Pero qué pasa si Alice no llega al hotel hasta una semana después de que Bob haya estado allí? Con suficiente curiosidad, ¿podría Alice recuperar el nombre de usuario y la contraseña que Bob envió hace una semana?

¿Varios factores, como estar en una conexión por cable, usar HTTPS (lo que ciertamente espero que sea un sitio web bancario), o usar una VPN / TOR afectan esto?

Nota: Aunque tengo una educación formal en informática, soy relativamente nuevo en la escena de la seguridad de la información, así como en la comunidad del SE (¡esta es mi primera publicación!) Así que, por favor Tenga paciencia conmigo, cualquier comentario o consejo es apreciado.

    
pregunta egeisler 03.08.2016 - 02:39
fuente

1 respuesta

1

Para responder a la pregunta, si Alice no llega a un hotel hasta una semana después de que Bob se haya ido o, en realidad, si llega justo después de que Bob termine su delicado negocio, es poco probable que lo que sea actividades nefastas que Alice emprende, en el contexto de la selección de invitados, comprometerá a Bob.

A pesar de la primera ley de Schneiers, sería inusual que un hotel esté capturando y almacenando el tráfico, y también sería inusual que Alice apunte a ese repositorio de datos en particular, incluso si ella supiera de su existencia. Las personas que se encuentran actualmente en el hotel serán objetivos mucho más interesantes, ya que su presencia ofrece más oportunidades para permitirles comprometerse.

El phishing en general es por lejos el método más común de compromiso, y la mayoría de los compromisos que ocurren son, desde la perspectiva del atacante, simplemente transacciones comerciales oportunistas. Los huéspedes que se alojan en un hotel pueden revelar una gran cantidad de información sobre ellos que pueden emplearse para convencerlos de que abran un correo electrónico con una oferta atractiva y aparentemente confiable, que quizás incluso parece haber sido enviada directamente por el personal del hotel. No es necesario analizar la metáfora, pero los estanques de los hoteles están bien abastecidos.

Por supuesto, la información confidencial sobre Bob se almacenará en los sistemas que el hotel utiliza para llevar a cabo sus actividades comerciales, que incluyen software para almacenar y administrar los datos de pago, así como información de contacto con los huéspedes, preferencias y cualquier nota hecha sobre su estadía en el hotel. personal. Si Alice se enfocara y comprometiera estos sistemas, la información de Bob estaría expuesta a ella.

En el tema general de la higiene del hotel, para todos los efectos, los servicios de Internet de un hotel son como otros servicios compartidos, como piscinas y restaurantes, servicios dirigidos a un público cautivo. La limpieza, la calidad y otros atributos no son necesariamente requisitos competitivos. Los servicios de Internet no son diferentes.

Los hoteles también siempre han dibujado elementos que buscan aprovechar a los huéspedes, que no están familiarizados con el área, que no se quedan mucho tiempo, que tienen horarios y limitaciones logísticas que les impiden hacer un seguimiento de los inconvenientes, y que están de vacaciones a menudo. bajen la guardia.

Por supuesto, no es probable que te roben en un hotel grande en una ciudad importante de los EE. UU., y es probable que tampoco te roben tus credenciales. Pero si estás dispuesto a tomar precauciones, no estás loco por hacerlo.

Desde una perspectiva práctica:

  • Si tiene un proveedor de servicios sensible que, por algún motivo, no requiere https, busque otro proveedor de servicios
  • Si viaja y con frecuencia tiene que hacer negocios a través del wifi público o del hotel, para los correos electrónicos y otras cuentas confidenciales, encuentre proveedores que apoyen a 2FA enlace
  • Si tiene que verificar tarjetas de crédito o cuentas bancarias de un hotel y no tiene 2FA y le preocupa, prefiera obtener una conexión de red desde su teléfono mediante el uso de la red del hotel, ya sea por cable o inalámbrica. Es probable que no haga una diferencia en ningún caso específico, pero en general las redes de datos celulares son más seguras.
  • Tor y VPN no son mejores que https en el tema específico de protección de credenciales. Todas esas herramientas protegen el contenido de sus comunicaciones. Lo que Tor y VPN también hacen es evitar que alguien que supervisa el tráfico de red sepa con quién se involucró en esas comunicaciones. Con https, alguien que está observando el tráfico de la red puede decir que tuvo una sesión con Bank of America que comenzó a las 2 pm y duró 15 minutos, aunque no puede decir qué credenciales y otros datos intercambió. Con VPN, alguien que está observando el tráfico de la red solo puede decirle que se conectó a su proveedor de VPN a las 2 pm, y no con quién se comunicó a través de la VPN. Solo tu proveedor de VPN lo sabe. Y con Tor, fuera de los actores estatales, nadie que supervisa la red tiene idea de lo que hiciste.
respondido por el Jonah Benton 07.08.2016 - 08:11
fuente

Lea otras preguntas en las etiquetas