A través de la presión de Google, Facebook y otros proveedores importantes como Yahoo y Apple, la red mundial se está volviendo más lenta y cada vez más segura, con servicios web que utilizan HTTPS para cifrar el tráfico web por defecto. Sin embargo, la llegada del proyecto de Poderes de Investigación Bill plantea preguntas acerca de quién puede potencialmente tener acceso a lo que - aquí están algunas respuestas.
¿Alguien puede ver todas mis solicitudes web?
Sí. Cada vez que vea HTTP en la barra de direcciones del navegador, los datos enviados a través del enlace no se cifrarán. Esto significa la dirección de la página y el dominio que está explorando, y cualquier información que envíe, como en un formulario, y cualquier información que se devuelva.
¿Alguien puede ver mis peticiones web si uso HTTPS?
No. Si ve HTTPS en la barra de direcciones del navegador, la conexión se cifra usando SSL / TLS. Solo se puede determinar la dirección IP del destino (y el puerto utilizado, generalmente 443). No se podrá acceder a los detalles de las páginas o los recursos a los que se haya accedido ni a los datos enviados a través de la conexión. Google, Facebook y muchos otros servicios en línea importantes ahora usan HTTPS de manera predeterminada, por lo que todas sus solicitudes de búsqueda de Google, por ejemplo, están protegidas y su ISP no puede ver la URL y los resultados de la solicitud.
Si utilizo HTTPS, será cualquier persona podrá acceder a más detalles a partir de los registros del servidor web remoto?
Sí. Los túneles HTTPS encriptan datos a través de Internet para evitar el espionaje, pero el tráfico se descifra en cada extremo para que el registro del servidor muestre detalles de qué dirección IP ha accedido a qué recurso y cuándo. Como el SSL / TLS utilizado por HTTPS usa un modelo de cliente-servidor, la clave necesaria para descifrar la conexión está disponible en el servidor, a diferencia de los servicios de cifrado de extremo a extremo donde solo las partes involucradas tienen la clave de descifrado. Esto significa que espías e investigadores podrían cumplir una orden y exigir al proveedor del servicio que entregue su copia de la clave de desencriptado y acceda a sus comunicaciones. HTTPS solo protege la transmisión de datos a través de Internet, y los detalles completos de la solicitud y respuesta pueden registrarse en el servidor.
¿Se pueden registrar mis solicitudes de DNS?
Sí. DNS - Domain Name System, lo que se traduce nombres de dominio hostiles para las personas en las direcciones IP de los servidores web donde se encuentran las páginas web - utiliza UDP sin cifrar en el puerto 53. El ISP será capaz de registrar sus solicitudes DNS, y cualquier espías o los investigadores podrán solicitar que los datos.
¿Puede mi ISP determinar cuál de nosotros en casa accede a un determinado sitio?
No. Por lo general, las conexiones de banda ancha domésticas comparten una sola dirección IP pública y trazable de Internet entre muchas computadoras y teléfonos inteligentes usando lo que se llama Traducción de Direcciones de Red (NAT). El ISP registrar sólo la dirección IP pública asignada a su router, no qué dispositivo individual en el hogar estaba usando en ese momento.
Si conecto a un sitio web utilizando una VPN, se registrarán mis solicitudes?
Quizás. La red privada virtual (VPN) es un túnel encriptado punto a punto de una computadora a otra a través de Internet público. Su ISP no puede ver los detalles de los paquetes de datos que viajan a través del túnel. Exactamente qué tráfico de red pasa por el túnel cifrado y qué no depende de cómo se haya configurado la VPN. Por ejemplo, también es posible pasar DNS a través de un túnel encriptado, si se enruta al servidor VPN corporativo. Las empresas también suelen utilizar sistemas llamados servidores proxy, donde los detalles de la computadora dentro de la red no se revelarán a los registros externos.
Si utilizo un navegador Tor, ¿mi ISP podrá registrar mis solicitudes web?
No. El uso de un navegador habilitado para Tor es posible navegar por la Internet pública mediante el anonymising red Tor. Su ISP no podrá ver ninguno de los datos transmitidos, y el registro del servidor web solo registrará la dirección del nodo de la puerta de enlace: el punto de entrada a la red Tor, no el origen (su navegador) o destino final (la web servidor).
¿Cómo pueden los proveedores de Internet a rastrear?
Normalmente, un cookie de sesión se utiliza para la sesión de navegación de cada usuario. Estos son elementos de texto sin cifrar, que pueden ser claras cosecha cuando se comunica a través de HTTP y se extrae información que a menudo revelará detalles de identificación del usuario.
Se toman radiografías de mis mensajes de correo electrónico para obtener más información?
Improbable. Muchos proveedores de correo electrónico ahora cifrar el tráfico de correo electrónico a través de Internet, por ejemplo, el correo electrónico basado en web como Gmail o Yahoo Mail (mediante HTTPS), o versiones cifradas de la protocolos de correo comunes, tales como POP, SMTP o IMAP. Así que el ISP no puede leer su correo electrónico, pero sabrá que usted ha accedido a un servicio de correo electrónico. Esto significa que el ISP no tendrá que pasar a los detalles espías o investigadores.
¿Tendrán los investigadores poderes para examinar los registros del servidor web?
Sí, para aquellos basados en Gran Bretaña. Pero los servidores para los servicios web más utilizados se encuentran fuera del Reino Unido y, por lo tanto, no están sujetos a las leyes del Reino Unido. La credibilidad de la evidencia obtenida de los registros del servidor web también es cuestionable, ya que a menudo pueden ser manipulados, mientras que las direcciones IP pueden ser falsificadas (falsificadas).
¿Podría haber un "hombre en el medio"?
Quizás. El proyecto de Ley de poderes de investigación proporciona a los investigadores y espías con el derecho a manipular hardware y software para acceder a los datos, por ejemplo, para ayudar a eludir el cifrado. Si bien esto puede ser de uso limitado para sitios web alojados fuera del Reino Unido, hay muchos equipos en el Reino Unido entre su navegador web y esos servidores. También hay otras formas de engañar a los navegadores web y otros softwares usando HTTPS, como lo demuestra el ataque "man-in-the-middle" utilizado por el Superfish el software instalado en los equipos de Lenovo.
¿Un investigador verá mis contraseñas?
No. Cualquier sistema de inicio de sesión del sitio web diseñado correctamente utiliza HTTPS; si no lo hace, y usted está tratando con información confidencial, no la use. Todos los datos, incluidas las contraseñas enviadas a través de HTTPS, están encriptados y son seguros.
Entonces, ¿quién sabe realmente a qué tengo acceso?
Google. Incluso puedes descargar tu historial completo de cada búsqueda que hayas hecho.
Sobre el Autor
Bill Buchanan, director del Centro de Computación Distribuida, Redes y Seguridad de la Universidad Napier de Edimburgo. Actualmente lidera el Centro de Computación Distribuida, Redes y Seguridad, y trabaja en las áreas de seguridad, interfaces de usuario de próxima generación, infraestructuras basadas en Web, e-Crime, sistemas de detección de intrusos, forense digital, e-Health, computación móvil, sistemas basados en agentes y simulación
Este artículo se publicó originalmente el La conversación. Leer el articulo original.
Nota del editor: Todos los sitios web de InnerSelf están disponibles con https: // security. Si llega al sitio a través de http: // simplemente cambie a https: //. Puede cambiar sus marcadores a https: // y evitar tener que cambiar en el futuro. Cambiar ahora
Libro relacionado:
at
Esto es lo que podría parecer una guerra cibernética
Imagina que te despiertas y descubres un ciberataque masivo en tu país. Todos los datos del gobierno han sido destruidos, eliminando la atención médica ...
Gracias por su visita InnerSelf.com, dónde están 20,000+ Artículos que cambian la vida y promueven "Nuevas actitudes y nuevas posibilidades". Todos los artículos están traducidos al 30+ idiomas. Suscríbete a la revista InnerSelf, que se publica semanalmente, y a Daily Inspiration de Marie T Russell. InnerSelf Revista se publica desde 1985.
Esto es lo que podría parecer una guerra cibernética
Gracias por su visita InnerSelf.com, dónde están 20,000+ Artículos que cambian la vida y promueven "Nuevas actitudes y nuevas posibilidades". Todos los artículos están traducidos al 30+ idiomas. Suscríbete a la revista InnerSelf, que se publica semanalmente, y a Daily Inspiration de Marie T Russell. InnerSelf Revista se publica desde 1985.
