Entiendo que al conectarme de forma segura a través de SSH o HTTPS, los datos que transfiero son criptográficamente seguros. Sin embargo, ¿puede alguien espiando mi conexión determinar el servidor al que se lo envío? Si pueden, ¿cuáles son los riesgos? ¿Qué información pueden obtener de ella?
Ellos pueden. Para poder establecer una conexión HTTPS segura, debe haber un handshake entre usted (el cliente, es decir, su navegador o cualquier otro otra aplicación) y el servidor. Todos los datos enviados dentro del protocolo de enlace no están cifrados .
Sobre los riesgos, es un tema amplio para discutir. La información simple que está conectando a algún servidor público (Facebook, Gmail, etc.) puede ser inútil, pero puede haber situaciones en las que esta información realmente sea un apalancamiento para el atacante. Depende de la situación concreta.
Sí. Esto se llama "Análisis de tráfico" .
Hablando en términos generales, la información útil que se puede obtener es con quién está hablando y cuándo. Entonces, si estás en un servidor y los paquetes se parecen a alguien que está escribiendo, entonces parece que estás activo y participando activamente en alguna actividad con ese servidor. El volumen de los datos que van y vienen también puede ser esclarecedor.
El análisis de tráfico es ampliamente utilizado por las agencias de aplicación de la ley y espionaje. Por ejemplo, se usó para obtener órdenes de búsqueda en un hacker Lulzsec conectado a través de TOR a los foros de chat anónimo. El contenido del mensaje no se puede obtener, pero el hecho de que el tráfico vaya y venga en los mismos momentos en que un informante confidencial está hablando con un pirata informático anónimo conocido puede ser suficiente para obtener órdenes de registro o investigaciones adicionales. p>
Claro, pueden. Se supone que un cifrado adecuado solo oculta el contenido, pero no se espera que se oculte:
Por otra parte, algunos datos pueden filtrarse en el protocolo inicial. Por ejemplo, HTTPS con SNI pierde el dominio al que se está conectando en texto sin formato incluso si el adversario no puede ver el tráfico de su DNS. Esto suele ser una fuga adicional de menor importancia. (Tenga en cuenta que hay algunos argumentos que indican que SNI no suele empeorar la situación, solo hace que el problema sea más visible).
Preguntar acerca de los riesgos (y mitigaciones) de revelar el servidor al que está conectado es una pregunta demasiado amplia. Depende principalmente de lo que consideres secreto. Por cierto, otras fugas potenciales (por ejemplo, tamaño de datos y temporización de paquetes) parecen ser más interesantes.
Tanto SSH como HTTPS (que se basan en SSL o TLS ) usan cifrado, pero se basan en una conexión TCP / IP existente establecida. Esto significa que incluso si el contenido es opaco, toda la información de TCP / IP está clara y disponible para alguien que esté olfateando su red.
La información TCP / IP incluye la dirección IP de cada par, los números de puerto utilizados. Esto da una buena pista sobre el protocolo y el tipo de tráfico.
Alguna información también se puede intercambiar durante el apretón de manos, dando cierta información. Por ejemplo, si se usa SNI (cuando varios servidores web HTTPS comparten la misma IP), el nombre del sitio web es parte del protocolo de enlace TLS y podría estar disponible.
Como nota al margen, incluso ser ciego con respecto al contenido puede proporcionar información. Sé de ataques en sesiones SSH interactivas que miden el tiempo entre las teclas tecleadas para deducir los comandos ejecutados, los hábitos de escritura de la persona e incluso qué teclas se presionaron.
Depende completamente de la topología de la red utilizada para conectar su computadora al servidor.
Si su computadora está conectada al servidor directamente mediante un cable Ethernet o una conexión similar, y esas computadoras y el cable están dentro de una habitación segura y usted se aseguró de que nadie lo vio entrar a la habitación, entonces NO, nadie puede saber que tiene conectado a ese servidor.
Pero si atraviesa una red en la que participan terceros, como Internet, algunos miembros de esas partes deben saber a quién le está enviando sus datos cifrados. ¿Cómo sabrían adonde enviarlo? Entonces, sí, su proveedor de servicios de Internet puede saber dónde está enviando los datos. Y también lo puede hacer cualquier agencia con poder legal o ilegal sobre su ISP. Eso es cierto para HTTPS, SSH y todos y cada uno de los protocolos, encriptados o no.
Una forma de evitarlo es utilizar un tercero en el que pueda confiar para no filtrar esa información. Como la red TOR. O una VPN.
Hay varias tecnologías involucradas en la creación de una conexión segura (la pila de protocolos de red). Cada capa resuelve su propia parte del trabajo para hacer que las conexiones funcionen. Las partes de la pila que son relevantes para sus preguntas son:
HTTPS
TCP
IP
Puede observar que HTTPS se encuentra sobre TCP, que funciona sobre IP. HTTPS no puede cambiar la forma en que funcionan los protocolos subyacentes, por lo tanto, el cifrado se agrega solo a sí mismo (y en el protocolo que funciona sobre HTTPS, si corresponde). El encabezado del paquete IP contiene la dirección IP del host al que se está conectando y el encabezado del paquete TCP contiene el puerto. Por lo tanto, a menos que los datos TCP e IP subyacentes no estén integrados en algún tipo de canal encriptado (VPN, por ejemplo), quienquiera que capture el tráfico de su red en tránsito podría descubrir el host / puerto de destino.