Ce este adulmecarea pachetelor și cum îl poți evita?

Spion Incognito

Activitățile dvs. de internet sunt transmise prin intermediul a numeroase routere și comutatoare care se îndreaptă către destinația lor. Aceste pachete sunt susceptibile de colectare și analiză în fiecare dintre aceste puncte printr-un proces numit adulmecare de pachete. Acest articol explică ce este adulmecarea pachetelor și câteva sfaturi practice despre cum să o evităm.

Vezi si: Cele mai bune sniffere de pachete și analizoare de rețea

Există multe forme de rețea și cea mai comună dintre toate este TCP / IP. Acronimul acesta înseamnă Protocol de control al transmisiei prin Protocolul Internet, ceea ce înseamnă că rețeaua trimite pachete TCP către calculatoarele de destinație folosind adrese IP. Partea critică a acestei descrieri sunt pachetele de cuvinte. Spre deosebire de ceea ce ne spun ochii, lucruri precum paginile web și e-mailurile nu călătoresc pe internet întreg. Sunt dezasamblate la capătul de trimitere în pachete de date mici și reasamblate la capătul de recepție în format original. În timp ce acele pachete de date călătoresc pe internet, acestea sunt susceptibile de a fi ascultate și chiar de modificări. Această tehnică se numește în mod colorant sniffing de pachete și este realizată de ISP-uri, guverne, companii de publicitate și oameni răi deopotrivă. În acest articol privim modalități de a vă proteja de adulmecarea pachetelor.

Ce este adulmecarea pachetelor?

Pentru a înțelege modul în care se produce adulmecarea pachetelor, este util să înțelegem cum funcționează rutarea pe internet. Pagini web și e-mailuri nu sunt trimise prin internet intact ca un singur document. Mai degrabă, partea de trimitere (computerul) le descompun în multe pachete de date mici. Aceste pachete sunt adresate unei adrese IP la capătul de primire, care de obicei are obligația de a confirma primirea fiecărui pachet pe care îl primește. Pentru a susține acest lucru, fiecare pachet conține adresa IP de trimitere și primire, precum și o mulțime de alte informații.

Aceste pachete nu sunt transmise de la expeditor la receptor într-o singură picătură. Mai degrabă, fiecare pachet parcurge internetul pe ruta către destinație, trecând printr-o serie de dispozitive de control al traficului, cum ar fi routere și comutatoare. De fiecare dată când un pachet trece printr-unul dintre aceste dispozitive de control al traficului, acesta este susceptibil de captare și analiză.

O notă despre rutare și convergență

Rolul router-urilor în acest proces este literalmente direcționarea traficului către destinația sa. Routerele de pe internet au o idee despre locul unde se află adresa IP de destinație sau cel puțin știu unde să trimită pachetul dacă nu sunt conectate direct la destinație. Această tehnică se numește convergență, deoarece pachetele din întreaga lume converg spre destinația lor în virtutea rutării. Luați în considerare o destinație mare, cum ar fi Facebook. Are trafic care vine la ea de pe tot globul. Pe măsură ce acele pachete se apropie de serverele Facebook reale, traficul diferit se transformă într-o secțiune foarte aglomerată a internetului. Routerele din aceste locații trebuie să fie foarte robuste și sigure.

O comparație mai ușoară poate fi luarea în considerare a unei autostrăzi care are sute de rampe în diferite orașe. Tot traficul care este destinat orașului Quahog va lua ieșirea Quahog de pe autostradă. Aceasta este o formă de convergență în sensul că aceste mașini sunt doar mașini individuale care nu par să aibă nimic în comun până când toate încep să iasă din Quahog. Dacă un observator a vrut să examineze toate mașinile care merg în acel oraș, este cel mai logic să stai la ieșirea de pe autostrada Quahog, deoarece 100% din mașinile care fac acea ieșire sunt mașinile de interes. Nu are sens să stați în altă parte pe autostradă și să examinați mașinile, deoarece doar o parte din acestea sunt destinate Quahog. Programul de supraveghere PRISM al ANS folosește această tehnică; snifferele de pachete NSA „parchează” la routerele cele mai apropiate de furnizorii de internet mari precum Google și Facebook pentru a colecta cât mai mult trafic destinat pentru acele site-uri..

Cine împachetează adulmecarea?

Oricine are acces la un router poate efectua colectarea de pachete și analiza ulterioară. Deoarece utilizatorii de internet, în general, nu au nici o idee despre modul în care traficul lor este dirijat, nu este posibil să știm cine poate observa traficul respectiv. Cu toate acestea, istoria a arătat că următorii actori s-au implicat în adulmecarea pachetelor din diferite motive de-a lungul anilor.

O notă despre routere
Majoritatea dintre noi ne gândim probabil la routerul wifi din casele noastre atunci când auzim cuvântul router. Este complet corect. Routerul de calitate pentru consumatori din casa dvs. face aceeași treabă ca marile routere comerciale de pe internet. Routerul dvs. de acasă este responsabil de acceptarea traficului de pe diversele dispozitive conectate la internet din casa dvs. și de dirijarea acestora către internet. De asemenea, este responsabil pentru acceptarea traficului de răspuns de pe internet și direcționarea acestuia către dispozitivul specific care l-a solicitat. Singura diferență reală este că routerele de internet fac asta pentru milioane de dispozitive, în timp ce routerul de acasă nu ar fi în măsură să îndeplinească o astfel de sarcină monumentală.

Agentii guvernamentale

Statele Unite

Ziarele Snowden au scos la iveală un aparat masiv de supraveghere, numit PRISM, pe care Guvernul Statelor Unite le implementează în secret de ani de zile. În special, Agenția de Securitate Națională (ANS) a colectat pasiv traficul de internet destinat marilor site-uri de internet, cum ar fi Facebook, Google și altele. NSA dispune de instrumente de analiză la scară largă, precum XKeyscore, care îi permit să caute în pachetele colectate la o dată ulterioară.

Regatul Unit

Regatul Unit are un sistem similar de supraveghere a colectării pasive, numit Tempora. Marea Britanie este poziționată în mod unic, întrucât cea mai mare parte a traficului său de internet ajunge în Marea Britanie prin intermediul cablurilor de fibră optică submarină. Acest lucru oferă un singur punct de intrare și ieșire din și din Marea Britanie, iar dispozitivele de colectare Tempora funcționează în aceste locații.

Alte zeci de țări sunt cunoscute, de asemenea, pentru a supraveghea în masă pe internet. Toată supravegherea pe internet ar necesita o formă de colectare și analiză a pachetelor.

întreprinderile

Supravegherea internetului nu se limitează numai la guverne. Spionajul industrial a fost un lucru de zeci de ani și nu există nicio îndoială că unele corporații folosesc tehnici pentru a determina ce fac concurenții săi. Agenții de spionaj comercial nu au, în general, luxul mandatelor guvernamentale de a cere acces la rețelele interne și routerele pentru a colecta pachete. Prin urmare, cea mai mare parte a spionajului la nivel industrial bazat pe internet se bazează probabil pe metode încercate și adevărate, cum ar fi phishingul pentru a avea acces la rețelele interne. Odată obținută o amprentă în rețeaua țintă, colectarea și analiza pachetelor de date poate contribui la o mulțime de cunoștințe.

Agenții de publicitate

Agențiile publicitare sunt notoriu lipsite de scrupule, în special agențiile de publicitate pe internet. Agențiile de acest gen sunt plătite, de obicei, într-unul din două moduri: fie numărul de anunțuri afișate (cost pe mie - CPM), fie după numărul de clicuri pe anunțuri garner (Pay Per Click - PPC). În ambele cazuri, cu cât este afișat mai mult un anunț, cu atât acestea sunt mai mari. Agenții de publicitate pot folosi adulmecarea pachetelor pentru a utiliza utilizatorii de sondaj pentru a-și evalua gusturile pieței sau, chiar mai rău, pentru a injecta reclame în pachetele primite pe măsură ce trec,

Comcast a fost descoperit ca adulmecând pachete în rețeaua sa pentru a determina locul optim pentru a injecta reclame în pagini web arbitrare pe care utilizatorii săi le vizualizau.

În afară de problemele etice de modificare a conținutului care nu aparține nici Comcast, nici nu se află în rețeaua sa, nu este nevoie de multă imaginație pentru a specula cu alte lucruri care pot fi injectate în pachete pe parcurs. Anunțurile pe Internet sunt cunoscute pentru a conține malware în multe cazuri. Atunci când un actor, cum ar fi un agent de publicitate, poate prelua traficul destinat computerului dvs. și poate introduce conținut arbitrar, o mare parte din care se știe că este un malware, ceea ce eludează multe protecții pe care le puteți pune în aplicare.

O demonstrație excelentă în acest sens este inclusă în Steal My Login (nu folosiți un nume de utilizator / parolă setat pentru testare). Această pagină încearcă să demonstreze cum un atacator vă poate fura datele de autentificare dacă este capabil să injecteze o singură linie de cod în pagina de conectare. În timp ce Comcast injecta reclame prin javascript, un atacator poate injecta javascript la fel de ușor care îți fură tăcut datele de acreditare.

Baieti rai

Băieții răi sunt mereu la maxim. Mulți dintre ei sunt pricepuți și sunt capabili să folosească o mare varietate de metode pentru a fura informații de la dvs. Phishingul rămâne metoda numărul unu prin care băieții răi au acces la informații, cum ar fi autentificări și date financiare. Dar, phishingul nu se face doar după un tip de informații. Un cetățean obișnuit poate fi înșelat pentru informațiile pe cardul de credit pe care cel rău le poate vinde apoi cu profit. În schimb, un administrator de sisteme de la o bancă poate fi falsificat pentru datele de autentificare. Cel rău poate apoi să se ascundă în rețeaua internă a băncii, să aducă pachete și să colecteze date financiare la toți clienții băncii. Multe atacuri insidioase și profund penetrante încep cu un simplu e-mail de phishing.

Un alt vector foarte obișnuit pentru băieții răi la scară mai mică este să configurați un punct de acces wireless fals în locuri publice, cum ar fi cafenele, și să colectați pachetele de date ale unor persoane neobservate care s-au conectat în mod involuntar la acesta.

Programele malware pot conține sniffere de pachete care monitorizează activitatea online a utilizatorilor, trimițând date înapoi la centrul de comandă și control al unui hacker. VPNFilter Malware, care a infectat o jumătate de milion de routere wireless în peste 50 de țări, a inclus un sniffer de pachete în a treia etapă. VPNFilter interceptează pachetele de date care conțin date de autentificare și le trimite hackerilor din rețeaua Tor.

De ce este rău pentru mine?

A vă urmări traficul este rău din câteva motive largi și sute de motive mai mici.

Informatii personale

Luați în considerare cât de multe afaceri personale desfășurați online. Cei mai mulți dintre noi ne fac activitățile bancare, stabilim programări medicale, scriem e-mailuri cu detalii personale și continuăm discuții pe termen lung cu prietenii și familia noastră online. Cât de multă informație ați dori să devină publică sau cel puțin să fie citită de alte persoane?

Este ușor să-ți imaginezi băieții răi care îți fură numerele cardului de credit, dar ce zici de informații mai subtile? Vrei compania de asigurări să știe că ai avut o angiogramă recent? În curând va fi noul dumneavoastră angajator să știe că tocmai ați programat o programare la o clinică de familie? Doriți banca dvs. să știți că v-ați pierdut recent locul de muncă? Motivul pentru care numim o clasă de informații „informații personale” se datorează faptului că este personal și este pentru noi să controlăm distribuția acelei cunoștințe.

Da, ai ceva de ascuns

Există un grup de persoane care consideră că nu le pasă dacă sunt supravegheate pe internet, deoarece „nu am nimic de ascuns”. Sincer, acest lucru arată o neînțelegere fundamentală a problemei. Adulmecarea pachetelor este condusă de oameni răi care încearcă să facă rău, atât cât este de către agențiile de ordine. Deoarece nu există nicio modalitate de configurare a unui pachet de date care să permită aplicarea legii să-l citească, dar nu și băieții răi, nu există altă concluzie decât noi toți, într-adevăr, avem ceva de ascuns.

Informații despre afaceri

Întreprinderile se comportă, în general, cu un văl de secret asupra eforturilor lor viitoare. O afacere care se află în negocieri pentru a cumpăra un concurent sau pentru a construi o nouă locație într-o locație strategică, ar putea deveni brusc foarte dezavantajată dacă aceste informații ar cădea în mâinile greșite. În cazul bunurilor imobiliare, o afacere are, în general, un punct „go, no-go” atunci când se face o investiție mare. Dacă s-au scurs informații sensibile după acel punct, este posibil ca o întreprindere să piardă sume mari de bani. Acest lucru poate duce la pierderea locurilor de muncă și, în regiuni mai mici, la un impact economic real. Unul dintre modurile în care se scurge informația de genul acesta este prin spionajul industrial, care poate include e-mailuri și mesaje e-mail-uri nesigure de pachet..

Cum să vă protejați împotriva adulmecării pachetelor

Pentru a înțelege cum să vă protejați împotriva adulmecării pachetelor, este important să știți cum arată traficul dvs. în diferite scenarii. Mă voi concentra pe web, dar se aplică aceleași principii pentru orice comunicare pe internet, precum e-mail și mesagerie. Folosirea HTTP simplă necriptată este o poziție de securitate mai proastă posibil. Utilizarea HTTPS (sesiuni criptate SSL) oferă mai multă protecție, dar nu atât de multă protecție pe care o poate oferi VPN.

În primul rând, să începem cu un formular de autentificare pe un site web necriptat, numai folosind HTTP. Cred că este destul de comună cunoștința de a face că, dacă introduceți date pe un site web care nu afișează HTTPS și / sau o blocare în bara de adrese, aceasta nu este sigură. În ciuda acestui fapt, un număr uluitor de operatori de site-uri încă nu au implementat HTTPS pe paginile de conectare, ceea ce îi lasă pe utilizatori într-o stare de securitate foarte slabă..

Am creat o pagină de autentificare falsă și m-am autentificat cu numele de utilizator foo și cu bara de parole. Această captură de ecran arată captarea Wireshark a acelei date de conectare. Un observator poate vedea cu ușurință numele de utilizator și parola și îl poate folosi ulterior pentru a vă autentifica în contul meu.

Wireshark-NoVPN-HTTP

În continuare, am vizitat site-ul web Comparitech, care obligă utilizatorii la HTTPS. Am tastat comparatitech.com în browserul meu pentru a începe acest lucru. Primul lucru care se întâmplă este că sistemul meu a făcut o căutare DNS necriptată pentru a obține adresa IP a compareitech.com.

Wireshark-DNS-căutare

Această informație spune oricărui observator că sunt pe punctul de a vizita site-ul web Comparitech.

Apoi, browserul meu a încercat să se conecteze la comparatitech.com. Putem vedea că site-ul web nu va permite conexiuni HTTP necriptate, astfel încât acesta trimite anteturile înapoi în browserul meu, care să instruiască să reîncerce folosind HTTPS:

Wireshark-HTTP-301-redirect

Browserul meu face acest lucru și de atunci sesiunea mea este criptată. Acest proces este puțin mai bun decât HTTP simplu, deoarece autentificarea mea ulterioară pe site, precum și toate celelalte activități pe site sunt acum criptate. Dar, acest proces a oferit în continuare unui observator informațiile pe care le-am vizitat site-ul web Comparitech. Aceasta se numește meta date și este punctul central al modului în care majoritatea programelor de supraveghere guvernamentală își justifică spionarea. Aceste programe încearcă să afirme că metadatele nu sunt valoroase, dar acest lucru nu este clar. Să știi unde merg oamenii online este de mare valoare.

Aceasta este o captură de ecran a ceea ce poate observa un observator despre activitățile mele pe site folosind HTTPS. Este în mare parte cibernetică criptată.

Wireshark-NoVPN-HTTPS

În cele din urmă, am capturat câteva pachete când funcționează VPN-ul meu. În acest caz, totul este criptat. Singurul lucru pe care un observator îl poate obține din observarea traficului meu este o grămadă de pachete OpenVPN criptate destinate unui server OpenVPN.

Traficul meu este criptat în vrac pe computer înainte de a fi trimis prin VPN și nu este decriptat până când ajunge la serverul VPN. Apoi, serverul VPN elimină stratul de criptare pe care l-a adăugat la capătul de trimitere, apoi trimite traficul la destinația sa în numele meu.

Rețineți că, de asemenea, îmi trimit DNS-ul prin VPN, astfel încât chiar și întrebările mele DNS sunt criptate și invizibile pentru un observator.

Wireshark-VPN

Pe baza acestor exemple de capturi de pachete, regulile pentru a vă proteja de adulmecarea pachetelor sunt:

Utilizați un VPN tot timpul

Capturile de pachete de mai sus arată că conexiunile VPN oferă cea mai completă protecție. Traficul dvs. este complet criptat și, dacă vă asigurați că întrebările dvs. DNS trec și prin VPN, destinațiile dvs. nu pot fi derivate.

Singura parte care vă poate vedea traficul este furnizorul dumneavoastră VPN, deoarece trebuie să înlăture criptarea VPN pentru a vedea unde ar trebui să meargă traficul. Va trebui să aveți un anumit nivel de încredere în furnizorul dvs. VPN pentru a vă asigura că nu fac lucruri precum logarea traficului dvs..

Puteți crește nivelul de anonimat și confidențialitate utilizând Tor împreună cu un VPN. Există două moduri principale de a face acest lucru, după cum explică Paul Bischoff în articolul nostru Best VPNs for Tor Users.

Utilizați întotdeauna HTTPS când este disponibil

Dacă vizitați un site web folosind HTTP, vedeți dacă va accepta o conexiune HTTPS, doar legând https: // în bara browserului înainte de adresa site-ului. Multe site-uri web au certificate SSL, dar întreținătorul site-ului nu obligă în mod activ vizitatorii să-l folosească. Fundația Electronic Frontier menține un complement pentru browser, Chrome, Firefox și Opera, numit HTTPS Everywhere, care poate face acest lucru pentru tine. Acesta va încerca să se conecteze la fiecare site web pe care îl accesați folosind HTTPS fără nicio acțiune suplimentară din partea dvs..

Merită menționat că ar trebui să utilizați în continuare HTTPS chiar dacă utilizați un VPN. Acest lucru se datorează faptului că o sarcină utilă criptată HTTPS poate fi decriptată numai de serverul web de destinație sau de propriul browser. Un furnizor VPN va trebui să decripteze criptarea VPN pe care a adăugat-o în pachet, dar nu va putea decripta pachetul HTTPS în sine, ceea ce înseamnă că furnizorul dvs. VPN va putea colecta doar metadatele.

Nu trimiteți niciodată date de formular folosind HTTP

Dacă vă aflați într-o situație în care pur și simplu nu puteți utiliza o VPN sau HTTPS, atunci ar trebui să evitați să trimiteți date pe un site web. Mai exact, acest lucru înseamnă să nu completați nicio casetă de formular sau să faceți clic pe butoanele de formular de pe un site web. Formularele trimit date de pe computer către serverul web, iar cele mai comune locuri pe care le vedem sunt în formularele de autentificare, formularele de contact și alte pagini care colectează informații de la dvs..

De fiecare dată când trimiteți date către un site web folosind HTTP necriptate, aceste date sunt clar vizibile pentru un observator. Prima captură de ecran din această secțiune ilustrează cât de ușor este să-mi vezi numele de utilizator și parola într-un pachet HTTP; orice informație pe care o trimiteți prin HTTP va fi la fel de vizibilă.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

70 − = 64

Adblock
detector