¿Por qué las "redes no seguras" todavía son una cosa en la era de HTTPS? [cerrado]

Navega tus respuestas
0

Tenemos sistemas de cifrado robustos que son bastante buenos para garantizar la privacidad e integridad de los mensajes, y tenemos protocolos de comunicaciones generalizados para implementarlos. Hoy en día, prácticamente cualquier sitio web serio utiliza HTTPS, al menos para autenticación o partes sensibles. Google, Facebook, Amazon, Apple, Microsoft y demás utilizan HTTPS. Para la mayoría de las personas, ese será el 95% o más de los sitios web que usan comúnmente.

Por lo tanto, realmente no entiendo el punto de todas las campañas de concientización pública sobre ’redes no seguras '. De hecho, no entiendo por qué hay redes no seguras en 2017 en absoluto . ¿No fue diseñado específicamente HTTPS por esta razón? ¿A quién le importan los ataques MitM, si el hombre en el medio solo lee un montón de texto cifrado al azar? ¿Por qué debería preocuparme por acceder a mi cuenta de Gmail desde un aeropuerto o una comida rápida? ¿No están todos los bits cifrados RSA de mi computadora al centro de datos de todos modos?

Claro, todos pueden saber que alguien usó Gmail , pero mientras no obtengan más información, estoy de acuerdo con eso. Sé que puedes encontrar ejemplos extremos en los que necesitas cifrar todo el material y ocultar incluso el hecho de haber visitado este sitio web, para ocultar el hecho de que utilizaste esta red, etc. Pero en este caso, estará en casa con una VPN y un equipo fuerte, no en el KFC más cercano con su teléfono inteligente conectado a su red WiFi gratuita. Cuando decimos wifi gratuito pensamos en aplicaciones de mensajería, correo electrónico, verificación de hechos con búsquedas de Google, Facebook, YouTube, etc. Y esto es bastante seguro la mayor parte del tiempo.

Algunos sitios web siguen usando HTTP, pero si está enviando detalles de tarjetas de crédito o comunicaciones de alto secreto a través de HTTP, tiene un problema de todos modos, incluso si lo hace en casa. Y la mayoría de los sitios web HTTP son solo páginas web estáticas que presentan un menú de un restaurante, un evento, etc., por lo que no son tan sensibles.

Por lo tanto, ¿por qué se nos advierte tan seriamente sobre la seguridad de las redes que utilizamos? ¿Por qué sigue siendo una mala práctica utilizar WiFi pública, por ejemplo?

    
pregunta Zozor 28.07.2017 - 10:52
fuente

5 respuestas

7

Confunde HTTPS con la seguridad de la red. Y, en el sentido más general, cifrado con seguridad. El cifrado solo trata con la confidencialidad y la integridad. La disponibilidad generalmente se reconoce como parte del dominio de seguridad (1).

No todo el tráfico de red es HTTP o HTTPS. Incluso HTTPS (normalmente) depende de:

  • DNS - que no tiene protección incorporada (2)
  • Cumplimiento de Wetware

Todavía hay muchos otros protocolos de uso común en los que el uso del cifrado no está disponible / opcional / oculto.

También considera a su TOE como el cliente. Incluso si el TOE es solo un navegador, los días en que este actuó exclusivamente como un cliente están contados. Ciertamente, el host del cliente ya ejecutará muchos servicios a los que se puede acceder desde la red, y la red "confiable" debe ser una que proporcione cierto control sobre el acceso a estos servicios. Vale la pena señalar que cuando se dedican más recursos a proteger la red, esto suele coincidir con la exposición de más de las partes internas de los posibles dispositivos de destino por parte de los servicios de administración y seguridad.

  

pero mientras no obtengan más información, estoy de acuerdo con eso

Muchos de los clientes de AshleyMadison no estaban de acuerdo con que el uso del sitio se hiciera público; No podemos decirle qué nivel de seguridad necesita.

  

Y la mayoría de los sitios web HTTP ... tan poco sensibles.

Un ataque de eliminación de SSL debe comenzar en una página que no sea SSL

Internet y la seguridad informática no están limitados por su experiencia / conocimiento personal.

1) Realmente "seguridad" es una recopilación bastante abstracta de muchos de los elementos de proporcionar un servicio. ITIL, por ejemplo, en el nivel más alto separa la utilidad de un servicio en Desempeño, Capacidad, Funcionalidad, Seguridad y Disponibilidad (es decir, tratar la disponibilidad como una entidad separada).

2) Hay un protocolo alternativo, secureDNS, que tiene cierta protección

    
respondido por el symcbean 28.07.2017 - 12:25
fuente
3

Hay muchas cosas que considerar aquí. Una es la seguridad de los intercambios, otra es la exposición de la máquina.

Para el intercambio, puede haber muchos ataques contra HTTPS y TLS. De hecho, existen limitaciones de HTTPS , por ejemplo, la conocida tira de SSL consiste en reemplazar los enlaces a la página HTTPS por enlaces a las páginas HTTP. A menos que haya marcado una URL que contenga HTTPS, o controle que la página realmente se sirve a través de HTTPS, terminará con un intercambio de HTTP mientras esperaba una HTTPS. Y el propio TLS puede estar sujeto a un rango de ataques , muchos de ellos pueden mitigarse permitiendo solo La mayoría de TLS1.2 seguro con un algoritmo de cifrado actualizado, pero muchos navegadores aceptarán bajar de categoría a protocolos menos seguros, lo que deja el intercambio vulnerable a los ataques más antiguos. Finalmente, incluso si los algoritmos son seguros, los problemas de implementación pueden hacer que el sistema sea vulnerable. Los problemas de implementación más conocidos son Heartbleed y Cloudbleed que permitió al atacante acceder a la memoria del servidor para leer datos protegidos.

Pero también debemos considerar la exposición de la máquina cliente. Los sistemas operativos son piezas de código grandes y complejas y están sujetas a errores o errores de configuración. Una demostración común de los eventos relacionados con la seguridad es utilizar un punto de acceso no autorizado para atacar a los teléfonos inteligentes que intentarán conectarse a él. Mientras que los primeros oradores presentan el comienzo, el segundo extrae algunos datos de los teléfonos inteligentes de los participantes, selecciona algunos que no son sensibles y luego los muestra solo para demostrar que la seguridad requiere atención constante.

Así que no, HTTPS no es una palabra mágica que lo protegerá contra todos los posibles ataques. Es importante para la seguridad, pero la seguridad no puede reducirse al uso simple de TLS, y evitar la red no segura sigue siendo una buena práctica. Dicho esto, los hotspots públicos proporcionados por empresas bien conocidas generalmente no son deshonestos y se puede confiar en un cierto nivel.

    
respondido por el Serge Ballesta 28.07.2017 - 12:20
fuente
2

Es porque las computadoras que poseemos hacen muchas cosas al mismo tiempo.

Si simplemente se conecta al sitio web de su banco en modo de incógnito, verifique que esté usando la conexión HTTPS y que el certificado que está usando el sitio web fue emitido por una parte confiable al banco en el que está seguro.

Sin embargo, el usuario normal podría fallar en cualquiera de estos pasos. Seguro que no entiende el significado de https, por lo que podría ser engañado para que use http para conectarse a algún sitio web de MiTM que se parezca a su banco. Podría haber quedado desactualizado el navegador con algún certificado antiguo que fue robado. Su sistema ya podría estar comprometido y contener certificados falsos.

Hay muchas otras cosas que podrían salir mal. Tiene muchas aplicaciones instaladas en su dispositivo, no sabe cómo intercambian información con servidores remotos. No sabes qué información se está enviando activamente. Probablemente pueda confiar en que su banco está actualizado con las tendencias de seguridad, pero ¿qué pasa con otros sitios web? La seguridad puede no ser su principal preocupación, ¿cuántas contraseñas se almacenaron en algún lugar en un texto simple y se filtraron? Tal vez alguna aplicación realiza una actualización en segundo plano. ¿Cómo puede saber si lo está haciendo de forma segura y la actualización está firmada? Tal vez su certificado se filtró. No lo sabes.

Un usuario normal también puede descargar alguna aplicación de Internet a través de http, que en su lugar podría ser un malware inyectado. Luego abre el archivo que se le pide que otorgue derechos de administrador y que todo el sistema está comprometido.

Podría haber alguna vulnerabilidad de 0 días en su navegador, por supuesto, cree que está visitando solo sitios web de confianza para que esté seguro, pero puede ser redirigido a un sitio web con vulnerabilidad.

¿Qué pasa si el tiempo de su viaje se filtrará a través de http? Algunas personas tal vez estén interesadas en saber cuándo su casa está vacía. ¿Es este caso extremo?

    
respondido por el user152183 01.08.2017 - 13:57
fuente
1
  

No se codifica cada bit RSA

No. Parece que no sabes mucho sobre TLS. Y solo "HTTPS" no significa nada. Puede ser configurado incorrectamente por el administrador del servidor, puede usar criptografía débil, puede comunicarse con el servidor incorrecto (HTTPS para la persona maliciosa puede ser muy seguro, pero sigue siendo un problema), hay certificados falsificados que son aceptados por los navegadores , ...

pero eso no está realmente relacionado con sitios HTTP simples y / o wifi público.
Algunas razones en contra incluyen:

  • Los datos sin tarjeta de crédito siguen siendo un gran problema. Conectado correctamente, los datos más inútiles se convierten en una mina de oro. ¿Qué le parece decirle a usted la cantidad exacta de su préstamo actual, solo de una foto tomada hace 20 años, que envía a alguien por correo? El rastreo de datos a gran escala y el procesamiento adecuado de los resultados pueden hacer eso y mucho más.

  • En las conexiones HTTP (incluidos los anuncios HTTP), inyectar prácticamente cualquier malware en la respuesta del servidor es fácil.

  • En las redes wifi públicas, una persona malintencionada puede hacer incluso más que simplemente enviarle malware preempaquetado. No solo hay más posibilidades de piratear otras computadoras, algunas de las configuraciones predeterminadas de Windows también ayudan con este comportamiento. Y / o faltan actualizaciones, y ...

respondido por el user155462 28.07.2017 - 11:51
fuente
1

Hay un ejemplo que define por qué una red segura es importante: DNS. Si ejecuto mi propio punto de acceso wifi gratuito y tengo control sobre los paquetes, entonces TLS está muerto. Puedes ir a Gmail y TLS seguirá funcionando, pero primero irás a mi dominio, lo que significa que veo todo lo que envías y recibes.

En muchos entornos corporativos, debe instalar un certificado de la empresa que le permita inspeccionar todo el tráfico cifrado (incluso TLS) antes de que abandone la red de la empresa. Por lo tanto, aunque esté usando TLS, todo lo que envíe estará expuesto.

El modelo de amenaza que dice que tener una red segura es importante es sobre la propia red y no sobre los demás usuarios de la red.

    
respondido por el schroeder 01.08.2017 - 14:48
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguro se consideraría este método para el almacenamiento de contraseñas? ¿Por qué una sobrecarga de solicitudes le da acceso a una raíz de repente?