El título lo dice todo, de verdad. Soy Alice y quiero iniciar sesión en la interfaz web de Gmail a través de mi navegador. Ike, el proveedor de servicios de Internet, y Adam, el administrador de la red local, desean saber cuál es mi dirección de correo electrónico de Gmail (nombre de usuario). ¿Hay alguna forma concebible para que sucedan las cosas para que cualquiera de ellos pueda aprenderlo?
Para su usuario doméstico promedio, los servicios como GMail (que se ejecutan en TLS) no filtrarán información como el nombre de usuario al ISP o al administrador de la red.
Si está utilizando una máquina que también es administrada por el administrador de la LAN (por ejemplo, una computadora de trabajo conectada a un dominio administrado por la empresa), debe asumir que puede leer todo lo que haga en ella. Podrían tener software para registrar su actividad (navegación y / o pulsaciones de teclas), podrían haber instalado certificados SSL adicionales que les permitan MITM su conexión a Gmail (o cualquier otro sitio).
Si cree que su computadora no ha sido manipulada y no está bajo el control de alguien en quien no confía (es decir, el administrador de LAN no controla su máquina), puede conectarse a GMail a través de https. (En este punto, el administrador de LAN es equivalente a un atacante en Internet). Asegúrese de conectarse a enlace con un certificado válido, y entonces todo su tráfico entre su computadora y los servidores de GMail están encriptados. Esto incluiría toda la información sobre su cuenta, incluido el nombre de usuario con el que inició sesión.
Para complementar las respuestas de @ David's y @ Steve's:
Si el atacante ("Adam", en su caso) tiene acceso administrativo a su máquina, entonces puede aprender todos sus secretos. Instalación de una CA raíz adicional, bajo su control, para ejecutar la rutina intercepción MitM en sus conexiones SSL es una herramienta popular para los administradores de sistemas honestos (pero entrometidos): es una instalación de una sola vez que no se pondrá en peligro por las actualizaciones de software y no incurrirá en problemas de compatibilidad con otro software como el antivirus. Sin embargo, un administrador del sistema que quiere que su espionaje se mantenga discreto tiene muchas otras opciones, como instalar keyloggers, herramientas de captura de pantalla y, en general, saquear los datos directamente desde la memoria RAM de la máquina.
Si el atacante no tiene acceso a las entrañas de su máquina, debe mantenerse fuera de sus intercambios de SSL. Todavía podrá notarlo cuando se conecte a Gmail, y podrá observar el tamaño exacto de los elementos de datos intercambiados con Gmail. Probablemente pueda calcular la longitud (en caracteres) de su dirección de Gmail.
Como observa @Steve, una dirección de Gmail no está diseñada para ser un secreto, y se filtrará en muchos lugares. En cualquier caso, como una dirección de correo electrónico , necesariamente se comparte con otras personas (las personas que le envían correos electrónicos) y, por lo tanto, no se puede considerar realmente secreto.
Si usa Google+ (indexado por su dirección de correo electrónico), el malvado administrador de sistemas notará su actividad y puede correlacionarla con la actividad visible en algunas cuentas de Google+ candidatas. Después de todo, si él está detrás de ti, entonces está interesado en ti, y también puede mostrarte algo de dedicación y rastrearte de manera competente.
Como dice David, el proveedor de su red generalmente no puede ver los datos pasados a través de conexiones https.
Sin embargo, su dirección de Gmail no se pasa necesariamente solo a través de conexiones https. Por ejemplo, si inicia sesión en StackExchange con su cuenta secreta de Gmail y visita la versión http (no https) de su página de perfil de usuario, su dirección de Gmail se le envía sin estar seguro en el contenido de esa página. El proveedor de su conexión de red podría verlo. Lo mismo puede ocurrir con otros sitios que utilizan https para el inicio de sesión de OAuth pero no para todo el tráfico.
También, como user49372 señala , si Adam está dispuesto a montar un hombre activo en el ataque intermedio, y si inicia sesión en StackExchange con su dirección secreta de Gmail, podría inyectar cosas en su tráfico http normal que redirigiría su navegador a la versión http de su página de perfil StackExchange.
Entonces, sí, hay formas concebibles de que Adam o Ike lo aprendan, incluso asumiendo que no pueden interferir con su máquina o superar la seguridad proporcionada por https.
La única respuesta que no he visto aquí es la que se relaciona con los entornos corporativos, como el mío, donde las máquinas corporativas acceden a la red a través de un filtro / proxy, que permite a los "administradores" inspeccionar el tráfico SSL, por obligando a las máquinas cliente a confiar en el certificado SSL de webfilter / webproxy. El filtro de web / webproxy se hace pasar por la máquina cliente a Google (o cualquier otro servicio en línea), descarga el contenido y luego lo pasa de nuevo a la máquina del cliente mediante la personificación de Google (o cualquier otro servicio en línea) al cliente.
Esto es, en efecto, un ataque MITM, pero es bastante común que creo que vale la pena mencionar, específicamente.
Si accede a la red a través de un proxy o filtro que está configurado para inspeccionar el tráfico SSL, entonces para sus administradores , todo lo que se haga a través de https se puede ver como si se hubiera enviado en texto sin formato.