Obtención de credenciales mediante el servidor proxy

10

¿Es posible obtener el username y password que ingresamos en sitios como Facebook usando un servidor proxy?

El escenario es así:
1.Mi computadora portátil está conectada a una red.
2.Está configurado para usar un servidor proxy para conectarse a Internet.
3.Intro mis credenciales en sitios seguros.

¿Es posible que otros obtengan credenciales en el escenario anterior?

    
pregunta Maximin 06.04.2013 - 13:25
fuente

6 respuestas

10

Si la URL usa SSL (es decir, es https:// ) y usa el proxy solo para el transporte, entonces no, el proxy solo ve datos encriptados y no puede verlos. (A menos que el proxy intente alimentarlo con un certificado falsificado, que requiere una instalación previa de una CA colaboradora en su máquina; esto puede suceder en entornos de trabajo, cuando su enemigo es el administrador del sistema local).

Si la conexión, al salir de su máquina, no está protegida, entonces sí, por definición, el proxy ve cada byte que aparece y desaparece. Esto es cierto para todas las tecnologías proxy.

La situación puede hacerse más compleja si el propio proxy solicita alguna autenticación y / o si el proxy negocia algún SSL entre él y el servidor de destino. Para los tecnológicamente desprevenidos, puede ser un poco difícil saber dónde va realmente la contraseña que escribe. If:

  • su navegador y la máquina local están limpios (no ha sido tocado por un administrador de sistemas o un malware potencialmente hostil);
  • su navegador dice "eso es SSL" con el (famoso) ícono de candado;
  • el nombre del servidor en la barra de URL es realmente lo que esperas (es exactamente www.facebook.com , y no algo como www.facebook.com.sdjygsdb.com );
  • su navegador no ve nada malo en el certificado del servidor (no hay advertencia de miedo, la barra de URL se pone roja o algo así);

Luego :

  • lo que envíe al servidor está a salvo de miradas indiscretas de entidades externas, incluidos los proxies.

De lo contrario :

  • todo vale. Sus datos son al menos potencialmente transferidos de forma insegura, y los representantes están en condiciones ideales para entrometerse con ellos.
respondido por el Thomas Pornin 06.04.2013 - 14:08
fuente
5

Depende.

Hay dos tipos principales de proxy: HTTP y SOCKS.

Un proxy HTTP puede, como su nombre lo indica, solo tratar realmente con el tráfico HTTP. Le envía una solicitud y la reenvía a la página de destino y le devuelve el resultado. Todo este tráfico se envía en texto sin formato, por lo que es posible rastrearlo y modificarlo. Sin embargo, es posible realizar una CONEXIÓN HTTP a través de algunos de estos proxies, que convierte el tráfico HTTP en un túnel TCP. Desde allí, se puede usar SSL en ese túnel, lo que permite la protección contra la mayoría de los tipos de ataques de rastreo. Otro tipo de proxy HTTP llamado funciones proxy de HTTPS de manera idéntica, excepto que todo el protocolo funciona a través de HTTPS.

En el otro lado de las cosas está SOCKS, que actúa como nada más que un túnel. Se envía un mensaje al proxy para crear una conexión a un servidor de destino, y el proxy luego reenvía todo entre usted y el servidor. Hay tres versiones principales de SOCKS en uso hoy en día: SOCKS4, SOCKS4a y SOCKS5. Las especificaciones de SOCKS4a agregaron la capacidad de pasar un nombre de dominio como parámetro de destino, en lugar de una dirección IP, de modo que el proxy realizaría la búsqueda de DNS en lugar del cliente. Esto ayudó a solucionar problemas en los que el cliente no podía realizar una búsqueda de DNS en sí, y también ayudó a mejorar la privacidad, ya que anteriormente era posible detectar el tráfico de búsqueda de DNS del cliente e identificar los sitios que estaba visitando. SOCKS5 amplió aún más el protocolo para incluir soporte de IPv6 y UDP, así como una mejor autenticación. Sin embargo, el tráfico SOCKS real es de texto simple y el cliente debe proporcionar su propia seguridad de transporte dentro de la conexión tunelizada.

En general, debe considerar el uso de un proxy como a lo sumo tan seguro como enviar el tráfico usted mismo. Seguirá enviando información de texto sin formato al proxy (a menos que sea un proxy HTTPS) y puede ser detectado. Una vez que se crea el túnel, el tráfico aún puede ser detectado a menos que esté hablando con el servidor de destino a través de HTTPS o un protocolo seguro similar.

Un caso interesante ocurre cuando el operador del proxy es malicioso. Cualquier tráfico de texto plano puede ser detectado y robado independientemente, pero un proxy malintencionado puede realizar ataques activos. Por ejemplo, podría inyectar contenido en su tráfico o redirigirlo a otros servidores. Si usa HTTPS, su privacidad y seguridad aumentan, pero es posible que el atacante pueda "degradar" o pasar por alto el SSL al interferir con el protocolo de enlace de SSL. Incluso puede devolverle un certificado falsificado y decir que es el servidor de destino, mientras descifra todo su tráfico en secreto.

En pocas palabras: los proxies pueden ser peligrosos, y solo debes usar proxies en los que confíes.

    
respondido por el Polynomial 06.04.2013 - 13:54
fuente
5

Hay dos casos principales: si te conectas a http://facebook.com , o si te conectas a https://facebook.com ( HTTP vs HTTPS ). Facebook te redirige a HTTPS de forma predeterminada, por cierto.

Con HTTP, todas las comunicaciones son en texto plano. Cualquier persona que controle parte de la infraestructura de Internet entre usted y el servidor puede escuchar la comunicación y obtener sus credenciales. No importa si ha especificado un proxy o no: un proxy puede ser transparente , e incluso si no hay proxy, alguien podría estar escuchando.

En la práctica, los ISP no espían a sus clientes. Los empleadores a veces espían a sus empleados. Además, si estás utilizando una conexión wifi, otros usuarios locales de wifi pueden ser capaces de espiarte .

Por cierto, sus credenciales no son solo su nombre de usuario y contraseña. Una vez que haya establecido la conexión, su sesión se identifica mediante una cookie; Si el atacante obtiene su cookie, puede pasar por usted (al menos hasta que cierre la conexión).

Con HTTPS, la respuesta básica es no, sus credenciales son seguras y su conexión es segura. Puede saber que su conexión es segura si se cumplen todas estas condiciones:

  • Su navegador muestra un ícono de candado verde junto a la URL (o lo que sea que use para indicar una buena conexión HTTPS). (Esto muestra que estás usando HTTPS, pero no es suficiente).
  • La URL comienza con facebook.com/ o cualquier sitio al que te estés conectando (si ves algo diferente como facebook.com.evilhackers.com/… , estás conectado de manera segura al sitio incorrecto).
  • Su máquina está libre de cualquier malware.
  • Su navegador no ha sido configurado para aceptar una autoridad de certificación no estándar.

El último punto es relevante en las computadoras emitidas por la compañía: algunos empleadores instalan su propia autoridad de certificación, de modo que su navegador acepte cualquier conexión como genuina si se hace con el proxy de la compañía. Dependiendo del país en el que viva, esto puede o no ser legal, y es posible que se les solicite o no información (en letra pequeña en la política de TI de 100 páginas).

Suponiendo que HTTPS se usa de forma segura, un proxy solo puede transmitir bytes cifrados de un lado a otro. Sabe a qué sitio se está conectando (tiene que saber dónde enviar los paquetes), pero no puede conocer las URL completas a las que accede, el contenido de las páginas o los datos que envía en formularios.

    
respondido por el Gilles 06.04.2013 - 15:26
fuente
0

Esto es muy posible cuando se usan sitios web sin cifrar, pero es mucho más difícil con SSL.

Con SSL, sería posible que un ataque Man In The Middle (MITM) revele esos datos. Esto requeriría que el proxy negocie el certificado con el sitio web y luego lo negocie con su navegador, para lo cual los datos se cifrarán entre usted y el proxy, se descifrarán y se volverán a cifrar para enviarlos a Facebook.

Asegúrese de que cuando reciba un error de certificado de un sitio SSL, no agregue automáticamente una excepción sin saber de dónde proviene.

    
respondido por el David Houde 06.04.2013 - 13:47
fuente
0

Es posible mediante el uso de strippers ssl y algunas otras herramientas de rastreo. He probado este caso en mi red usando algunas herramientas de eliminación de SSL. Tengo contraseñas y nombres de usuario fácilmente. Estamos utilizando el servidor Squid. Facebook y gmail están utilizando con https pero lo tengo. Así que la seguridad es una simple broma. Podemos dar la máxima protección pero eso no es lo menos importante.

    
respondido por el James 12.04.2013 - 05:33
fuente
0

Agregando a las otras respuestas

  1. Si la red que está utilizando tiene un proxy HTTPS, entonces es difícil capturar sus credenciales a través de la red (a menos que alguien intente un MITM en SSL) pero un posible punto de ataque sería el DNS.
  2. Si confía en su servidor proxy para hacer resoluciones de nombres por usted, es posible que el administrador del proxy lo redirija a un sitio web malicioso (de phishing) que se parece exactamente al original. Allí ingresa sus credenciales y van a un servidor malicioso (puede estar alojado en su propia red).
respondido por el Shurmajee 06.04.2013 - 14:15
fuente

Lea otras preguntas en las etiquetas