Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: snake_linux en 1 Agosto 2019, 17:00 pm



Título: ¿Puede mi ISP conocer mis busquedas en google usando HTTPS?
Publicado por: snake_linux en 1 Agosto 2019, 17:00 pm
Buenas, he escuchado en muchos sitios que los ISPs pueden conocer los datos de navegación de los usuarios (búsquedas en google) pero de ser así, ¿Cómo pueden hacerlo si va sobre https?

Gracias.


Título: Re: ¿Puede mi ISP conocer mis busquedas en google usando HTTPS?
Publicado por: warcry. en 1 Agosto 2019, 23:05 pm
peticiones dns


Título: Re: ¿Puede mi ISP conocer mis busquedas en google usando HTTPS?
Publicado por: MinusFour en 2 Agosto 2019, 00:54 am
En teoría no. Pueden hacer conjeturas quizás sobre tu trafico no cifrado que pudiera ocurrir en paralelo o en serie. Por ejemplo, si tu visitas una web (y está no usa un reverse proxy como el de cloudflare) dependiendo de la configuración de su servidor puede ser que puedas explorar el servidor web con tan solo la IP y en base al contenido del sitio puedes formar una conjetura. Digamos que la pagina en cuestión es una pagina de torrents.

Ahora tu realizas una nueva búsqueda y entras a otro sitio de torrents. Dependiendo de la hora en que se logueo el tráfico tu ISP puede decir: "Este usuario está buscando torrents". ¿Puede decir que torrents estas buscando por ejemplo? Quizás no de tu tráfico HTTP, pero si te brincas a otro protocolo no cifrado ahí pueden obtener más información acerca de tu búsqueda. Por ejemplo, si te conectaste a un servidor IRC en plain text y preguntas por una película, tu ISP puede hacer la conjetura de que estuviste buscando torrents para esa película.

DNS es uno de los otros protocolos que pueden operar en plain text.


Título: Re: ¿Puede mi ISP conocer mis busquedas en google usando HTTPS?
Publicado por: @XSStringManolo en 2 Agosto 2019, 20:37 pm
Aunque cambies los servidores DNS por defecto muchos ISP secuestran el tráfico. La única manera fiable es usando un gateway por el que pase todo el trafico y sea cifrado desde el gateway antes del paso por el router. Tienes por ejemplo Whonix que son dos máquina virtuales. Una actúa de gateway cifrando el tráfico antes de enviarlo por el router hacia el nodo de entrada de Tor y los servidores DNS. Muchos proxies tienen leaks de DNS que delatan el los dominios que intentas resolver.
Aún con el tráfico cifrado pueden atribuirte el tráfico e intuir de que es. Por no decir que cualquiera puede montar un nodo en Tor e infectar las webs resueltas antes de renviartelas para que las visualices. Uno de los ataques más comunes son el clickjacking y el envenenamiento de cache. Por lo que al navegar sin tráfico cifrado y acceder a ciertos contenidos como podría ser google analitics que está en casi todas las webs, el archivo malicioso es cargado y acaba delatando tu ip junto a cualqiier identificador que el atacante quiera incluir para identificarte. También es común la modificación en parametros del router a traves de protocolos no seguros o que no necesiten autentificación al prevenir de la misma red local.
Muchas botnets actúan de esta forma infectando clientes de proxy y Tor.

También se puede analizar el tráfico en la web y el tráfico de origen si quien realiza el análisis tiene acceso al nodo de entrada/salida así como a la web origen.

A parte de todas las vulnerabilidades de los navegadores y todas las configuraciones indebidas como tener javascript activado o no forzar https en el navegador. Datos del dispositivo en navegadores desde dispositivos móviles, uso horario, memoria muscular de clicks y movimientos del ratón, y velocidad de escritura de algunas palabras entre otros muchos.
En la mayoría de situaciones es bastante sencillo confirmar si alguien es o no el autor de un click. Y más en gente que usa la misma setup y acaba pinchando en el los mismos 9 píxeles o haciendo los mismos gestos en la táctil así como expresiones, acentos, vocabulario y errores gramaticales.


Título: Re: ¿Puede mi ISP conocer mis busquedas en google usando HTTPS?
Publicado por: Sonic_Soy en 3 Agosto 2019, 22:42 pm
Pagar una VPN, ofrecen una aplicacion llamada VPN Router, que oculta el trafico de todos los dispositivos conectados al Router.

La malo, es que "ellos" la VPN, el trafico no es oculto para ellos.


Título: Re: ¿Puede mi ISP conocer mis busquedas en google usando HTTPS?
Publicado por: engel lex en 6 Agosto 2019, 01:28 am
Aunque cambies los servidores DNS por defecto muchos ISP secuestran el tráfico.

por defecto muchos carteros secuestran tus cartas! XD hasta que se las entregan al siguiente secuestrador así hasta que la reciba el destinatario! XD

no secuestran, tu trafico pasa por ellos, simplemente leen los paquetes no cifrados

por otro lado se están yendo a paranoia total con todo, un vpn normal usualmente basta, solo asegurate que seguir su tutorial sobre como pasar el trafico por sus servidores (en caso que no lo haga automaticamente, cosa que es común hoy dia...


Citar
A parte de todas las vulnerabilidades de los navegadores y todas las configuraciones indebidas como tener javascript activado o no forzar https en el navegador. Datos del dispositivo en navegadores desde dispositivos móviles, uso horario, memoria muscular de clicks y movimientos del ratón, y velocidad de escritura de algunas palabras entre otros muchos.

te fuiste! esto es estadisticamente poco eficiente y requieres muchos recursos para el análisis (básicamente tienes que hacer fuerza bruta con la db de huellas de usuarios)... por otro lado la probabilidad de dar con el usuario único es baja...

increíblemente no diste con los métodos mas comunes de identificación de usuario único XD


Título: Re: ¿Puede mi ISP conocer mis busquedas en google usando HTTPS?
Publicado por: @XSStringManolo en 6 Agosto 2019, 02:43 am
por defecto muchos carteros secuestran tus cartas! XD hasta que se las entregan al siguiente secuestrador así hasta que la reciba el destinatario! XD

no secuestran, tu trafico pasa por ellos, simplemente leen los paquetes no cifrados

por otro lado se están yendo a paranoia total con todo, un vpn normal usualmente basta, solo asegurate que seguir su tutorial sobre como pasar el trafico por sus servidores (en caso que no lo haga automaticamente, cosa que es común hoy dia...


te fuiste! esto es estadisticamente poco eficiente y requieres muchos recursos para el análisis (básicamente tienes que hacer fuerza bruta con la db de huellas de usuarios)... por otro lado la probabilidad de dar con el usuario único es baja...

increíblemente no diste con los métodos mas comunes de identificación de usuario único XD

Me hizo gracia tu comentario jajaja. Casi me defines sin conocerme!
Más comunes supongo que te refieres a analizar paquetes, trackers de sitios, romper cifrado o ingeniería social. O quizás al uso de tecnologías en el equipo que se comunican automáticamente con sus servidores mientras estás tranquilamente navegando. Como SE dudo que las empresas de este tipo utilicen la técnica más eficiente. Jeje.


Título: Re: ¿Puede mi ISP conocer mis busquedas en google usando HTTPS?
Publicado por: engel lex en 6 Agosto 2019, 03:54 am
Citar
Más comunes supongo que te refieres a analizar paquetes, trackers de sitios, romper cifrado o ingeniería social. O quizás al uso de tecnologías en el equipo que se comunican automáticamente con sus servidores mientras estás tranquilamente navegando. Como SE dudo que las empresas de este tipo utilicen la técnica más eficiente. Jeje.

mas comunes son el "browser fingerprinting"

por ejemplo un canvas puede retornar un hash casi unico de una imagen debido a como tu cpu y gpu combinados la tratan en base a tus drivers y navegador

suma esto a tus cabeceras donde indicas tus idiomas preferidos, las fuentes en tu navegador, tu version de navegador, que tipo de protocolos aceptas

con esas 2 cosas pueden en general crear una buena pista tuya incluso bajo incognito

esto para los sitios web...


los ISP no tienen acceso a esos datos

pero los ISP no necesitan romper paquetes (de nuevo, ineficiente) pueden analizar a que ips van y viene el trafico en relacion a tus dns querys, tambien hacerse idea mas o menos que va a donde, asi deducir tu actividad (estas viendo videos en youtube, fotos en FB, jugando, chateando) etc... con respecto al contenido especifico (si buscas pan o buscas carros), depende mas del sitio que entres, y de descuidos con imagenes o contenido no bajo https...

sin embargo y basado en el tema principal, no es casi imposible que tu ISP sepa que haces en google especificamente


Título: Re: ¿Puede mi ISP conocer mis busquedas en google usando HTTPS?
Publicado por: @XSStringManolo en 6 Agosto 2019, 06:05 am
Qué más trackers suelen utilizarse? Conocía el del canvas porque Tor Browser te avisa, pero tengo ni idea de las técnicas frecuentes fingerprinting. Me has dado curiosidad asique investigaré.

Sigo considerando más eficiente en muchos casos la opción de trackear usando movimientos de ratón, memoria muscular, pixeles clickeados y velocidad de escritura de ciertas palabras. No te sirve para bots pero sí para saber si en una casa en la que viven 7 personas quien es el que navegó por tu web. El padre, el hijo mayor, la madre, el abuelo, la abuela, el hijo menor, el hijo del medio, el vecino robando el wi-fi o el cuñado con el teamviewer :P

Ahora, lo que sea usado más frecuentemente estoy seguro de que como dices es el browser fingerprinting.

Cuando me refiero a secuestro me refiero a secuestro, no a dejar pasar las consultas, analizarlas y crear logs.
 https://en.m.wikipedia.org/wiki/DNS_hijacking
El cartero te abre la carta y si se la mandas a alguien que no le cae bien te devuelve otra diciéndote que la dirección no viene en el mapa. Jeje.

En wikipedia creo que no viene pero si buscas la topología que suelen usar los ISP para el secuestro de DNS verás a que me refiero xD

Creo que lo leí hace tiempo en un pdf que me descargué de un manual avanzado basado en un artículo de owasp que venían los ataques más comunes relacionados con DNS.


Título: Re: ¿Puede mi ISP conocer mis busquedas en google usando HTTPS?
Publicado por: Sputnik_ en 6 Agosto 2019, 06:17 am
Snake_linux

Como bien dicen los compañeros sin ningún tipo de recaudo pueden ver los sitios a los que accedes mediante las consultas dns, sin embargo firefox agregó hace un tiempo una herramienta que soluciona este inconveniente, te invito a leer el siguiente post muy interesante de este mismo foro

https://foro.elhacker.net/seguridad/aporte_activar_dns_over_https_doh_en_mozilla_firefox-t497666.0.html



Título: Re: ¿Puede mi ISP conocer mis busquedas en google usando HTTPS?
Publicado por: engel lex en 6 Agosto 2019, 06:26 am
Citar
Sigo considerando más eficiente en muchos casos la opción de trackear usando movimientos de ratón, memoria muscular, pixeles clickeados y velocidad de escritura de ciertas palabras. No te sirve para bots pero sí para saber si en una casa en la que viven 7 personas quien es el que navegó por tu web. El padre, el hijo mayor, la madre, el abuelo, la abuela, el hijo menor, el hijo del medio, el vecino robando el wi-fi o el cuñado con el teamviewer :P

entonces dudo mucho que entiendas todo lo involucrado tras ello

seguir mediante analisis del movimiento del raton o incluso distinguir personas no es para nada facil, a menos que la brecha sea muy grande... la memoria musculas poco cabe aquí en este caso es un mal uso del termino... pixeles clickeados tampoco importan, en tal caso la precisión del click... velocidad de escritura, lo mismo que lo primero, hay que tener una brecha muy grande

por que el seguir movimiento y tecleo es difícil? porque cambia durante el día en gran medida... hay veces que se usa el ratón con pereza, o el teclado con un dedo, mientras que hay veces que escribes con ambas manos en el teclado, así como puedes estar ocupado, distraído, comiendo en la pc, etc... esto sin contar personas con mas de 1 monitor que están moviéndose de pantalla a pantalla (ya que solo puedes detectar dentro del area activa del html en el navegador... necesitas mucho contexto para tener informacion util... trata de conseguir una libreria o proyecto (serio) que lo intente y discutimos al respecto...



no voy a caer en lo de los DNS porque eso es otro asunto... y simplemente no es comun por parte de ISP, ellos bloquean o dejan pasar, pero raramente mas allá (con sus excepciones)

Citar
si buscas la topología que suelen usar los ISP para el secuestro de DNS verás a que me refiero

no se que topologia, ya que básicamente requieres 0 topologia, esto es bastante fácil de hacer al vuelo, sin embargo en este caso el https + hsts te pintará una alerta enorme cuando te des con un certificado falso


Título: Re: ¿Puede mi ISP conocer mis busquedas en google usando HTTPS?
Publicado por: @XSStringManolo en 6 Agosto 2019, 08:06 am
entonces dudo mucho que entiendas todo lo involucrado tras ello

seguir mediante analisis del movimiento del raton o incluso distinguir personas no es para nada facil, a menos que la brecha sea muy grande... la memoria musculas poco cabe aquí en este caso es un mal uso del termino... pixeles clickeados tampoco importan, en tal caso la precisión del click... velocidad de escritura, lo mismo que lo primero, hay que tener una brecha muy grande

por que el seguir movimiento y tecleo es difícil? porque cambia durante el día en gran medida... hay veces que se usa el ratón con pereza, o el teclado con un dedo, mientras que hay veces que escribes con ambas manos en el teclado, así como puedes estar ocupado, distraído, comiendo en la pc, etc... esto sin contar personas con mas de 1 monitor que están moviéndose de pantalla a pantalla (ya que solo puedes detectar dentro del area activa del html en el navegador... necesitas mucho contexto para tener informacion util... trata de conseguir una libreria o proyecto (serio) que lo intente y discutimos al respecto...



no voy a caer en lo de los DNS porque eso es otro asunto... y simplemente no es comun por parte de ISP, ellos bloquean o dejan pasar, pero raramente mas allá (con sus excepciones)

no se que topologia, ya que básicamente requieres 0 topologia, esto es bastante fácil de hacer al vuelo, sin embargo en este caso el https + hsts te pintará una alerta enorme cuando te des con un certificado falso
Mal uso del término? Creo que no tienes ni la menor idea de lo que te identifica un simple movimiento del ratón. Me he tirado cientos de horas estudiando la memoria muscular y analizando replays de jugadores profesionales para detectar bots y ayudas de 1 PIXEL en el aim. Cuando digo cientos no digo 100 o 200 hablo de como mínimo 3000 horas, te aseguro que no te lo puedes ni imaginar. Unos 7 años y con sesiones puntuales de más de 30 horas y habituales y constantes de 16 horas diarias.
Como construirla más rapido, como borrarla, como se regenera, como actúa, como corrige movimientos forzados e involuntarios o como corrige por cambios de objetivos, coordinación ojo mano, coordinación teclado ratón/click, como se genera memoria muscular con burradas de setups, configuraciones y dispositivos.

Poniéndote un botón arriba de poco tamaño y otro exactamente en el mismo pixel horizontalmente debajo a una distancia decente con algo en el centro para centrar la vista y un borde suavizado que no llame la atención, te prometo que no hay 2 personas en el mundo que recorran los mísmos píxeles si la distancia es adecuada. Normalmente te desvías según como esté construida tu memoria muscular de una forma o de otra, la velocidad varía según el material del dispositivo y la fricción con la superficie con la que se desplaza, los píxeles se saltan según la aceleración y los drivers. Influyen el dpi, la resolución de pantalla, los hz del monitor, los fps... Y hasta capturas la trayectoria del rebote al sobrepasar el pixel de origen debido al peso, los G del ratón, el polling rate, el drift y tu respuesta en ms del drift generado corrigiéndolo con tu memoria muscular, así como la efectividad de la correción y los pixeles recorridos durante la misma. Tasa de inestabilidad, tiempos de reacción, velocidad de movimiento...

En 5 minutos por la web y con unos cuantos algoritmos te aseguro que sacas datos suficientes para identificar decenas de patrones similares únicos a cada individuo que se repetiran constantemente en este independientemente de la setup, la configuración, el sistema, la resolución, el dpi...

Si no se utilizan en tracking de usuarios es por desconocimiento absoluto de sus capacidades y la casi no existencia de personas con conocimientos avanzados en el tema.

La memoria muscular no se olvida por completo nunca. Aunque seas consciente de ella no puedes falsearla, tendrías que usar bots o mover el cursor mediante el teclado.

En el link de wikipedia te salen unos cuantos ISP y hay muchas noticias de más ISP.


Título: Re: ¿Puede mi ISP conocer mis busquedas en google usando HTTPS?
Publicado por: engel lex en 6 Agosto 2019, 08:24 am
comentarios son eso XD por eso te digo, muéstrame un proyecto que haga uso del análisis de uso de mouse y teclado para identificar sujetos dentro de un buen rango de seguridad... o por lo menos para distinguirlos...

sobre los isp, incluso cuando está alli si lees las fuentes ves que no es hijacking como tal todos los casos... si usas los server DNS de tu isp y ellos deciden retornar lo que mejor les salga del corazon (por no decir otra parte) no es hijacking es simplemente una mala (o maliciosa) configuración del server... hijacking es por ejemplo si haces la solicitud a google (8.8.8.8) y el valor que recibes, no es el enviado por google... por lo que se tiene años esperando que se estandarize un dns query cifrado o por lo menos firmado


Título: Re: ¿Puede mi ISP conocer mis busquedas en google usando HTTPS?
Publicado por: animanegra en 6 Agosto 2019, 13:24 pm
Normálmente no hace falta nada de DNS para saber a que dominio se esta conectando alguien usando https. En los primeros paquetes suele ir información en plano del certificado que te ayuda a saber si estas conectando, por ejemplo, con youtube, google o microsoft. Digo por sencillez. Y por supuesto, todo operador sabe con que servidor físico te conectas, porque eso es de capa IP. Igual que el cliente que esta pidiendo que tambien está en dicha capa.
No obstante en el DNS solo va el nombre del dominio, no va ningun dato de la búsqueda.
Lo de saber la búsqueda de google, lo que tecleas dentro de un formulario, y siempre que no haya error tuyo, no es posible. Eso son datos y van cifrados.
Lo de identificacion basándose en pixeles o movimiento de raton no se a que viene en este contexto.

PD: Por si acaso aclaro un poco más, todo esto hablamos de captación masiva e ISPs normales, alguien con suficiente poder te meten un certificado firmado por un CA oficial y te joden sin amor. MITM y probablemente te lo comerás con patatas por que el CA que lo firma es válido. Pero esto a priori, solo deberían tener mano gobiernos o cosas así.


Título: Re: ¿Puede mi ISP conocer mis busquedas en google usando HTTPS?
Publicado por: @XSStringManolo en 6 Agosto 2019, 16:01 pm
A parte de todo lo conentado no hay que olvidarse de toda la info que saben de muchas personas, contratos con empresas que también tienen info, ordenes judiciales...

Si eres un don nadie y tienen sospechas serias de que eres un radical, no tardarán mucho en saber todo lo que haces con el PC. La info es poder, y hay demasiados jueces como para que ninguno esté haciendo búsquedas inadecuadas mediante su ISP. Pronto se lo recuerdan y no tardará en darles una orden judicial para obtener toda la info que quieran y no hayan podido obtener por otros medios.


Título: Re: ¿Puede mi ISP conocer mis busquedas en google usando HTTPS?
Publicado por: MinusFour en 7 Agosto 2019, 02:15 am
Normálmente no hace falta nada de DNS para saber a que dominio se esta conectando alguien usando https. En los primeros paquetes suele ir información en plano del certificado que te ayuda a saber si estas conectando, por ejemplo, con youtube, google o microsoft.

Si está es una forma muy fácil de obtener un dominio visitado pero tiene algunos detalles. Si el certificado tiene un wildcard, no sabes exactamente el subdominio. Y también tienes el problema con reverse proxies y SANs. Tal es el caso de cloudflare, por ejemplo, elhacker.net que usa cloudflare tiene este certificado:

Citar
CN = ssl389553.cloudflaressl.com
OU = PositiveSSL Multi-Domain
OU = Domain Control Validated
DNS Name=ssl389553.cloudflaressl.com
DNS Name=*.basin.com
DNS Name=*.basinwhite.com
DNS Name=*.clubpromos.fr
DNS Name=*.elhacker.net
DNS Name=*.instafreight.de
DNS Name=*.nieuwnieuwnieuw.com
DNS Name=*.payspective.com
DNS Name=*.puresoap.nl
DNS Name=*.rcminn.com
DNS Name=*.spamcontrol.io
DNS Name=*.standardheating.com
DNS Name=*.sungod.co
DNS Name=*.touch.org.sg
DNS Name=*.uniformity.io
DNS Name=*.vivalamoda.nl
DNS Name=basin.com
DNS Name=basinwhite.com
DNS Name=clubpromos.fr
DNS Name=elhacker.net
DNS Name=instafreight.de
DNS Name=nieuwnieuwnieuw.com
DNS Name=payspective.com
DNS Name=puresoap.nl
DNS Name=rcminn.com
DNS Name=spamcontrol.io
DNS Name=standardheating.com
DNS Name=sungod.co
DNS Name=touch.org.sg
DNS Name=uniformity.io
DNS Name=vivalamoda.nl

Así que los que ven el certificado no pueden saber exactamente a cual de los sitios estás entrando (a menos que cada uno de estos sitios vaya por por un reverse proxy diferente, entonces las IPs te delatan).

PD: Por si acaso aclaro un poco más, todo esto hablamos de captación masiva e ISPs normales, alguien con suficiente poder te meten un certificado firmado por un CA oficial y te joden sin amor. MITM y probablemente te lo comerás con patatas por que el CA que lo firma es válido. Pero esto a priori, solo deberían tener mano gobiernos o cosas así.

Nadie debería poder decirle a un CA que cree certificados falsos, pero estoy seguro que debe de pasar. Estoy seguro que ya ha habido root CAs comprometidos y muchos otros incidentes que pueden pasar en cualquier parte del proceso del PKI. Pero que el gobierno le pueda decir a un CA que publique un certificado falso le están quitando toda la validez a ese CA.

Si tu tuvieras un negocio que literalmente se basa en que tu digas la verdad y viene el gobierno y te dice que tienes que mentir. ¿Que crees que haga esto con tu negocio? Se viene abajo completamente. Y no solo eso, todos tus clientes que necesitan de este nivel de confianza ya no lo tienen, ahora necesitan buscar a otro CA. Como gobierno, no solo te jodes al CA, te jodes a todos sus clientes también.

Pero bueno, no se que tan permisivos sean los que mantienen los trust stores. Hasta donde yo se se lo toman muy en serio y no creo que quieran tener CAs comprometidos por gobiernos de algún otro país.

En fin, si le tienes miedo a tu gobierno, no te queda otra mas que salirte por una VPN en otro país. Ah y para caer de una buena vez en la paranoia completa te reunes con el proveedor en su país (en un lugar seguro porfavor, mínimo a 20 metros bajo el suelo) y que ahí te den la copia de tus certificados necesarios.