¿Por qué debería importarme si un sitio utiliza cifrado o no si no estoy intercambiando datos confidenciales? [duplicar]

El problema con el que estás lidiando, es que si decides no cifrar una conexión, estás haciendo suposiciones con respecto a la sensibilidad de los datos que pasan por esa conexión.

Desafortunadamente, es imposible hacer esa suposición correctamente porque:

• Es posible que no haya comprendido completamente todas las implicaciones de los datos (por ejemplo, si Twitter no cifró los datos, las agencias gubernamentales podrían utilizarlos para detectar disidentes y oponentes).
• Los datos pueden volverse confidenciales después de ser transmitidos (por ejemplo, responder a "quién fue su maestro de primer grado" en un chat web con amigos de la vieja escuela podría llevar a un compromiso de su cuenta de iTunes más adelante).

Al final, es lo mismo que tratar con documentos en papel sensibles: puede decidir destruir lo que es sensible solo, pero todo lo que se necesita para que el modelo se desmorone es un solo error. Es mucho más fácil simplemente destruir TODOS los documentos de forma segura y no preocuparse por la clasificación.

Dado el costo relativamente bajo y el uso de la seguridad de conexión y el hecho de que lo protege contra todos los problemas anteriores (en su mayoría), tiene mucho más sentido cifrar todo lo que se intenta para elegir el contenido "correcto" para ser cifrado.

El cifrado no solo consiste en evitar que los interceptores escuchen los datos de lectura , sino que también evita que los cambien.

Darle la vuelta a las imágenes de las páginas web es una broma divertida para jugar con compañeros de casa, pero una persona maliciosa podría inyectar anuncios o códigos dañinos (Java, Javascript, Flash, etc.) en sus páginas web sin que usted se dé cuenta.

enlace

Además de las otras buenas respuestas, agregaría que HTTPS garantiza que cuando creo que estoy leyendo bbc.com , realmente estoy leyendo el contenido proporcionado por bbc.com , no un hostil tercero que quiere engañarme.

Algunos sitios de noticias todavía presentan hechos. Las personas toman decisiones basadas en esos hechos, decisiones que tienen consecuencias reales.

Una razón en general que me gustaría agregar a las respuestas anteriores es que aunque no esté haciendo algo altamente ilegal en un país occidental, no debe asumir que el gobierno no está interesado en lo que lee. Leer lo siguiente podría ponerte en una lista:

• Clasificados, documentos filtrados por denunciantes que son técnicamente ilegales
• Un sitio de noticias o revista en un país musulmán (si vive en los Estados Unidos)
• Un sitio de noticias o una revista, etc. con sede en los Estados Unidos si vive en China o en un país musulmán

En general, sabemos que muchos gobiernos crean perfiles de personas que visitan ciertos sitios y es posible que desee mantener en privado sus intereses políticos. Para su ejemplo de cualquier fuente de noticias, incluso considerando solo a China y ninguna de las razones anteriores es razón suficiente.

Editar: Steve a continuación me recordó que, en esta situación, la página que visita es privada, pero no el sitio web. Así que necesitas ser consciente de eso.

Como regla general, es una buena política cifrar enérgicamente todos los datos que viajan a través de redes públicas.

La razón es que si solo los datos "confidenciales" están encriptados, es muy fácil para los que los escuchan identificar datos potencialmente útiles simplemente buscando cualquier cosa que esté encriptada.

Sin embargo, si todo está cifrado de forma predeterminada, no tienen idea de qué información es útil hasta que ya la hayan descifrado.

Dado que el descifrado (sin la clave) es relativamente costoso en términos de capacidad de procesamiento, mientras que el cifrado es bastante barato, y que ningún sistema de cifrado es completamente seguro, la mejor manera de garantizar que sus datos permanezcan seguros es si absolutamente todo está cifrado con cifrado fuerte, incluso información que es trivial o que ya se encuentra en el dominio público.

Creo que eso realmente depende del grado de definición de "datos confidenciales". Las contraseñas y los números de las tarjetas de crédito son ciertamente uno, pero tal vez buscar información de WebMD sobre una erupción, mientras que una información generalmente pública, puede ser algo que le preocupa, y no quiere que el empleador o su ISP lo sepan No obstante los derechos y uso de los argumentos del equipo de trabajo). O tal vez siguiendo las noticias y las elecciones, y no necesariamente querer revelar su afiliación. Las noticias sobre las elecciones son públicas, sin embargo, las que usted lea pueden no ser algo que desee revelar. Entonces, en general, la información en sí puede ser de dominio público. Quién tiene acceso a qué información y qué se puede perfilar sobre uno no tiene necesariamente que serlo. Aquí es donde el cifrado puede ser útil (y, por supuesto, otras tecnologías que hacen que dicha información esté disponible de nuevo, no obstante, solo se trata de un argumento estrictamente con respecto al cifrado).

Muchos sitios de noticias / sitios de periódicos ofrecen cuentas para funcionalidad adicional, suscripciones, etc. Forzar todo el tráfico web a través de SSL reduce el riesgo al asegurarse de que nadie pueda iniciar sesión en una conexión no cifrada.

En general, es mejor prevenir que lamentar. Hoy en día, HTTPS no es tanto una sobrecarga como solía ser, así que, ¿por qué no cifrar todas las conexiones para estar seguro?

Algunos antecedentes antes de llegar a mi respuesta:

Encuentro los teléfonos fascinantes y uno de los teléfonos más interesantes que encontré fue la Unidad de Telefonía Segura (STU, por sus siglas en inglés) o la Unidad de Telefonía Segura, que básicamente consistía en un / a dd / a. dentro de un teléfono y estaba en su mayor parte conectado a líneas telefónicas normales y a la red telefónica pública. Fueron muy populares durante la guerra fría. La forma básica en que se usaron es descolgar el auricular, verificar el tono de marcado, realizar la llamada, verificar que alcanzó el número correcto, aceptar iniciar el modo seguro, ambas paridades activarán la clave para iniciar el modo seguro, esperar a que el criptográfico se sincronice , mantenga una conversación segura, acepte finalizar el modo seguro, gire la llave hacia la inseguridad, finalice la llamada.

En mi investigación sobre los STU encontré un relato de algunos espías rusos que discutían la interceptación de llamadas entre los STU. Aunque estos agentes de campo no pudieron aprender el contenido de la conversación cifrada, hicieron un esfuerzo especial para escuchar todas las llamadas en una línea que tenía una STU conectada además de grabar la conversación cifrada para su análisis. Dijeron que aprendieron todo tipo de cosas interesantes y valiosas de la parte no cifrada de las llamadas, bastante más allá de las identidades de las partes de la llamada.

La moraleja de la historia: incluso si no crees que la información sea valiosa, el enemigo podría. (independientemente de quién creamos que es el enemigo)

Porque realmente no sabe qué se puede inferir de los datos que emite. Ya que todo el alboroto de la NSA surgió en las noticias, mucha gente piensa: "sí, claro, la NSA sabe acerca de los correos electrónicos que le envío a mi primo y mis hábitos de compra. ¿Y qué?".

Lamentablemente, hemos entrado en la era de BigData y el aprendizaje automático. No se trata solo de crear enormes bases de datos para obtener modelos y predicciones. Personalmente, creo que el aprendizaje automático representa un gran paso adelante para las ciencias en general. Representa un cambio de lo analítico a lo que yo llamaría métodos metanalíticos. "De vuelta en los días", comenzaría con datos provenientes de algún dominio (por ejemplo, datos demográficos), los analizaría con un marco analítico que coincida con el dominio y obtendría un resultado en los términos de este dominio (por ejemplo, un modelo para predecir el crecimiento). de alguna población dada).

El aprendizaje automático funciona en el nivel superior: tiene su propio conjunto de herramientas y métodos analíticos, pero se utiliza para construir "cerebros electrónicos" que realizarán el análisis real. La consecuencia directa de este ser es que es más fácil unir dominios y realizar inferencias cruzadas entre ellos. Por ejemplo, es posible predecir dónde estará 24 horas a partir de ahora sobre la base de algunos de sus Datos de Facebook.

O saber si una mujer está embarazada mirando lo que compra.

Target predice el embarazo con Big Data.

  

Después de comprar en Target, la niña comenzó a recibir correo en la casa de su padre publicitando artículos para bebés: pañales, ropa, cunas y otros productos específicos para bebés. Su padre se indignó ante los intentos de la compañía de "alentar" el embarazo en adolescentes y se quejó ante la gerencia. Unos días después, un padre avergonzado llamó al gerente para disculparse; Al parecer, su hija estaba embarazada.   Esto no es una ocurrencia inusual con las colecciones de datos asistidas por computadora de hoy en día por parte de las tiendas minoristas. Target asigna a los clientes un número de identificación de huésped que está vinculado a su nombre, tarjeta de crédito, dirección de correo electrónico y cualquier otra información que la tienda pueda recopilar. Utilizando la información de compras pasadas, Target puede crear un perfil sorprendentemente preciso para usar en publicidad específica del cliente.

Por supuesto, estoy exagerando el poder del aprendizaje automático (y subestimo la importancia de los conocimientos / expertos específicos del dominio). Sin embargo, las perspectivas son abrumadoras: la identificación de personas homosexuales u oponentes políticos de alguna actividad aparentemente no relacionada podría lograrse mediante gobiernos u organizaciones malintencionados que suenan plausibles. Incluso podrían reprimir revoluciones antes de que las personas tengan la oportunidad de protestar en las calles. Etc ...

Creo que este es un tema muy importante para nuestras sociedades modernas, sobre todo porque no se ha identificado como uno de los grandes desafíos éticos de este siglo, a diferencia de la ingeniería genética humana.

Un punto que a menudo se pierde en esta discusión es el hecho de que SSL también cifra la URL de la página que se usa al acceder a un sitio web.

Si alguien escuchaba a escondidas tu conexión (¿NSA?) y estabas visitando un sitio que no tenía SSL, alguien podría ver a qué páginas accedes y crear un perfil a tu alrededor según tus hábitos de navegación.

Si visita sitios con SSL habilitado, no solo se encripta el contenido de la página, sino también la URL real de la página (la ruta en el servidor) que se encripta.

Entonces, si alguien está escuchando a escondidas, solo saben qué dominios visita. No pueden decir a qué páginas accedes.

Se han cubierto todos los puntos principales, pero pensé que vale la pena cubrir este escenario en particular:

Era / es popular cifrar una página de inicio de sesión, luego permitir que el usuario autenticado continúe navegando en el sitio en una conexión no cifrada (para guardar ciclos de CPU en el servidor). Este uso aparentemente eficiente y parsimonioso del cifrado es en realidad casi inútil.

Le permite a un mitm capturar sus cookies de sesión y luego suplantarlo por completo en el sitio en cuestión. Posiblemente les permita cambiar sus credenciales de inicio de sesión o incluso recuperar su contraseña de texto sin formato.

THE WREAD WRETE WROTE: ¿Pero qué pasa si solo estoy leyendo un sitio de noticias? Todo el mundo tiene acceso a eso, incluso en todos los periódicos. ¿Para qué sirve cifrar información fácilmente accesible?

MI RESPUESTA: Sí, todo en el sitio de noticias es público; pero, ¿se sentiría cómodo con alguien parado sobre su hombro mientras está con su computadora en una cafetería, usando su WI-FI, por ejemplo, viendo qué artículos elige leer? ¿Y qué pasa si el sitio de noticias tiene un inicio de sesión para que los lectores puedan personalizar el feed? ¿No es que parte de lo que haces allí debe estar encriptado? Entre las dos cosas, es más fácil para el propietario del sitio simplemente cifrar todo.

THE WREAD WRETE WROTE: Muchos usuarios tienen perfiles de redes sociales públicas con sus intereses enumerados, creencias políticas y religiosas, o esa información se puede encontrar fácilmente en sus blogs y sitios web personales. No lo ven como una amenaza para su vida personal, por lo que eligen no ocultarlo. ¿Cómo puede perjudicarles la visualización de contenido público popular no cifrado? ¿Y cómo el cifrado de tales páginas protege su privacidad?

MI RESPUESTA: A algunos de ellos no les importa su privacidad. Tienen, como lo expresó el psicólogo Sherry Turkle, un " Lo comparto, por lo tanto, soy " una especie de mentalidad. En cualquier caso, como en el ejemplo anterior, incluso los que comparten libremente deben iniciar sesión en dichas páginas para cambiar las cosas, ¿no? Y su hacerlo debe estar encriptado, ¿no? Además, aquellos que leen su información pueden no querer que otros en la cafetería donde usan su computadora portátil sepan que están viendo la página de redes sociales de tal y cual.

Obtenga información acerca de lo que se llama " pirateo lateral ", en el que alguien se sienta en otra mesa con su computadora portátil, en una cafetería donde también está usando su computadora portátil, con ambos en la misma WI-FI LAN, puede usar una extensión simple de Mozilla Firefox llamada "Firesheep" para "ver" en su pantalla, todo lo que está haciendo en su computadora en su mesa en el otro lado de la habitación. O puede usar su teléfono Android y una pequeña cosa llamada "DroidSheep" para lograr casi lo mismo. Y hay otras herramientas similares.

¿Estarán de acuerdo con que te hagan eso? Exactamente cuando descubres que lo son, ¿no sería bueno que el sitio web que estás utilizando tenga activado SSL, y tu acceso a dicho sitio fuera a través de enlace en lugar de mero enlace ?

Es por eso que las extensiones de Firefox y Chrome como " HTTPS Everywhere " existe: para cambiar automáticamente miles de sitios desde "http" inseguros a "https" seguros, lo que lo protege de muchas formas de vigilancia y secuestro de cuentas / secuestro lateral; y en países menos libres que los Estados Unidos, incluso algunas formas de censura.

Además, todos los sitios web deberían utilizar SSL para el contenido de todos . Período. Debería ser tan normativo como lo que debemos ponernos en ropa antes de salir de casa.

Espero que ayude!