web-dev-qa-db-ja.com

ローカルネットワークを信頼するときにHTTPを使用するリスク

トラフィックを盗聴するために待機している悪意のあるハッカーが私の個人のWiFiネットワークに座っていない場合、HTTPSではなくHTTPを使用するリスクは何ですか?

ハッカーは海の真ん中にあるボートに座ってネットワーク回線を利用し、パケットを盗聴することはできますか?または、パケットがネットワークを離れると、そうすることは不可能(または非常に難しい)ですか?

私は常にこの考え方を持っています。攻撃を標的とするインセンティブのない平均的なユーザーにとっては、HTTPを使用するリスクが低いということです。

8
Dan

ローカルネットワークが安全であると仮定すると、最小限のリソースを持つ平均的なスクリプトキディ/ハッカーは、プレーンな暗号化されていないHTTPを使用している場合でも、接続を利用できません。これは、プレーンHTTPを使用してもリスクがないという意味ではありません。次の方法で、データをキャプチャしてログに記録したり、自由に変更したりできます。

  • あなたのISPとあなた自身の政府
  • トラフィックが経由する国のISPおよび政府
  • BGPルートハイジャック攻撃を仕掛けることができる人

そしてもちろん、上記のいずれでも、選択したサードパーティとデータを共有したり、これらの外部パーティにネットワークトラフィックへの直接アクセスを許可したりすることもできます。


いくつかの例:

一部のISPは、JavaScriptをHTMLページに挿入することが知られています。これは、追加の広告または追跡、または最近の Comcast の場合のようなカスタム通知である可能性があります。

私はフィンランドに住んでおり、フィンランドのインターネットトラフィックの多くはスウェーデンを経由しています。 2009年、スウェーデンはスウェーデンの諜報機関FRAが国境を越えるすべてのインターネット接続を監視することを許可する法律を可決しました。これは、スウェーデンがフィンランドのインターネットユーザーに対して大量の監視を技術的および合法的に使用できることを意味します。 FRAはNSAおよびGCHQと緊密に協力することも報告されており、データを共有する可能性が高いです。

2013年、監視ソフトウェア会社のHacking Team BGP Hijackを編成 は、イタリア政府およびホスティング会社と協力して行われました。同様のルートハイジャックは、世界中のどこからでもHTTP接続を利用するために簡単に使用できます。 BGPハイジャックまたは「リーク」はまれではありません。 @ bgpmon Twitterアカウントなどは、これらのタイプのイベントを追跡および報告します。多くの場合、イベントは設定ミスや人為的エラーが原因ですが、ほとんどの場合、確実に知ることはできません。多くの場合、犯人は中国または同様の国の個々のISPであり、ISP自体がハッキングの対象ではなかったという保証はありません。


セキュリティ以外にも、HTTPSを使用する理由は他にもあります。オーバーヘッドの少ないHTTPの新しいバージョンであるSPDYおよびHTTP/2は、ほとんどの実装でTLSを介してのみサポートされます。 JavaScript Webテクノロジーの多くは、HTTPS Webサイトでのみ利用できます。 Service WorkersとLocation API。

9
jupenur

実際にデータを読み取ることができる大陸間線をタップするという技術的なハードルは別として、あなたが提供したシナリオは確かに可能です。 HTTPSの代わりにHTTPを使用する場合、データはエンドツーエンドでクリアテキストとして移動するため、ISP、その間のすべての人、および宛先ホストのISPは、本当に必要な場合にデータを読み取ったり、変更したりできます。

EFFには、HTTP/Sで何が表示されるかを詳しく説明する素敵なウィジェットがあります。 https://www.eff.org/pages/tor-and-https

4
Up Here

HTTPは本質的に「信頼できる」プロトコルであり、組み込みのセキュリティはほとんどまたはまったく含まれていません。これは、次の影響を受けやすいことを意味します。

  1. トラフィックモニタリングHTTP経由で送信されたものはすべて、ソースデバイスとターゲットサーバーの間にあるネットワークに接続している誰でも傍受して読み取ることができます。
  2. トラフィックのリダイレクトと操作少しの作業で、トラフィックは、何にも気付かれることなく、サードパーティによって制御されているサーバーに再ルーティングされる可能性があります。トラフィックがリダイレクトされると、読み取ることができますが、変更することもできます。誰かがスクリプトを含むあらゆる種類のデータをストリームに挿入する可能性があります。 HTTP接続を介して取得したものを検証する外部の方法がない限り、それが「正しい」ソースからのものであることを確認する方法はありません。

HTTPSの代わりにHTTPを日常的に使用している場合に実行される可能性のある、あまり目立たないさまざまな攻撃もあります( RLリダイレクト攻撃 など)。

2
Stephane

この回答では、OP、または通信ターゲットが何らかのビジネス関係を持っているパートナー、改ざんされていない途中、またはその場所の政府であるパー​​トナーが信頼されていると想定します。つまり、銀行の例では、次の関係者は完全に信頼されています。

  • OP自身のネットワークとそれに関係するすべての関係者、たとえば彼の家族。
  • OPの家主。建物内の通信回線にアクセスできます。
  • OPのISP、およびバックボーンオペレーターを含むこれまでのすべてのISP。
  • OPの所在地で活動している政府機関。
  • Banks ISP、およびバックボーンオペレーターを含むこれまでのすべてのISP。
  • 銀行の家主は、通信回線にアクセスできる場合とできない場合があります。
  • 銀行はネットワークを所有しており、IT管理者など、ネットワークに関係するすべての関係者がいます。
  • 銀行の所在地で営業している政府機関。
  • そして最後に、ターゲットの場所に向かう途中のルーターが改ざんされていないことを考慮して、ターゲットの場所に向かう途中の国で動作している政府機関。

セキュリティについては、次のことも想定しています。

  • OPが所有する機器はすべて安全です。
  • 銀行が所有する機器はすべて安全です。
  • 政府が所有する機器はすべて安全です。

私がこれらの仮定をする理由は、トラフィックの盗聴または変更が単にユーザーにとって迷惑であるのではなく、セキュリティリスクをもたらすケースを分離するためです。政府が意図的にOPsクレジットカード番号を盗聴した場合、それはクレジットカード番号は政府にそれ以上のアクセス権を与えないので、OPにリスクをもたらすことはありません。1回の電話で、政府はとにかくOPアカウントからすべてのお金を奪うことができます。ISP、トラフィックを変更するISPと同じです広告を挿入するために、とにかくOPのFacebookのパスワードを使用するつもりはありません。

別の重要なことは、組織が機器を外部の攻撃者から安全に保つことができるかどうかを評価することです。ここでは、OPは知識があり、独自のルーターとファイアウォールを安全に構成できると想定しています。したがって、OP機器を安全に設定します。これは、OPが所有するすべての機器をリモートで侵害できないことを意味します。銀行の機器は明らかに安全に設定されています。また、盗聴されたデータや類似の情報を保存するために使用される政府の機器は、もちろん銀行よりもさらに安全に設定されています。

この信頼評価を考えると、これは有線ネットワーク経由でHTTPを攻撃する攻撃ベクトルがほとんどないことを意味します。

私が見ることができる唯一の攻撃ベクトルは次のとおりです。

  • 宣伝アクセス可能な配線を盗聴。例としては、空中吊り下げ電話回線からのADSL信号のリスニングがあります。

  • 破壊し、地元の機器室に入る。たとえば、ISPまたは家主が所有する機器室。より広いエリアを提供するより大きな機器室は、通常、厳しいアラーム保護、オンサイトでない場合は近くの警備、および高いセキュリティを備えていますが、ローカル機器室は、しばしば弱いセキュリティであり、セラーにロックされたラックキャビネットがあり、配線が露出しており、盗聴や盗聴が可能です。ラックキャビネットのロックには影響しません。

  • ローカル機器へのリモートハッキング。小規模な家主の家主機器は、不正なパスワードで安全に設定されていないことがよくあります。これは、ローカルのISP機器にも当てはまります。 OPがISPから採用し、顧客による管理機能を持たないルーターも、簡単にハッキングされる可能性があります。

  • OPが制御できない暗号化が弱い、または暗号化されていないワイヤレスリンクの盗聴。これは、物理ケーブルの配線が困難なエリアをブリッジするためにISPによって設定されたポイントツーポイントリンクに適用できます。これは、特定のモバイルリンクにも適用できます。

  • 誰かが所有していないネットワークのルートをアナウンスすることによるBGP操作。これは、実際に検討する価値のある唯一のリスクです。一部のISPは、許可されていない人々がISPネットワークの可用性を知らせないようにする方法を使用している場合もあります。このようなセキュリティソリューションには、顧客所有の機器からのBGPトラフィックを制限することが含まれますが、これに限定されません。

1

攻撃者がすでにワイヤレスネットワークの内部にいるとしたら、https接続でさえsslstripのような手法を使用して傍受できることを知っておく必要があります。この手法を回避するための良い方法は、最初に文字列https://を使用してすべてのブックマークとショートカットを作成することです。たとえばhttps://Outlook.comなどのバーに配置したページに直接アクセスしようとすると、接続がsslstripの犠牲になることはありません。 https接頭辞を使用せずに、たとえばOutlook.comのみを入力すると、ssl接続でもハッキングされる可能性があり、熟練したハッカーがネットワーク上にいる場合は、データが明白に盗聴される可能性があります。

Sslstripはどのように機能しますか?

多くのWebサイトが [〜#〜] hsts [〜#〜] (Http Scrict Transport Security)を使用しています。これは、基本的にプレーンなhttpリクエストをhttpsにリダイレクトして保護することで構成されています。たとえば、リダイレクトが完了したことをOutlook.comに入力すると、緑色のロックとhttpsを使用しているサイトが表示されます。これは、ウェブサイトに配置するように構成され、強く推奨されているHSTSのためです。しかし、このシナリオでは、httpへの要求が1つあります。最初の要求は、sslstripが「その魔法」を実行するために必要なものです。最初にMITM(中間の男)を実行した攻撃者は、被害者にプレーンhttpでページを提供し、実際のサーバーへのhttps接続を行います。被害者はバーに緑の鍵が付いていないことに気づくかもしれません...しかし私を信じてください、あなたはそれに気付かないので、非常に効果的です。

Facebookのような一部のサイトはsslstrippedできない場合があります。これは、ブラウザがhttpsを使用することがわかっているサイトの内部リストを持っているため、ブラウザにhttp://facebook.comを要求しても、ブラウザがhttps://facebook.comに直接問い合わせるので、最初のhttpプレーンリクエストはなく、sslstripは機能しません。しかし、そのブラウザのリストにはあまり多くのサイトはありません...私は、サイトがそのリストに含まれるためにブラウザにお金を払っているはずだと思いますが、これについてはわかりません。したがって、これはFacebookや世界的に知られている他のいくつかのような「大きなサイト」にのみ影響します。

そのため、ハッカーがすでにネットワークに存在している場合、何か便利なものを盗聴する時間の問題です。最初に最初のレベルを保護するようにしてください(ネットワークが破壊されるのを防ぐため)。それが不可能な場合で、ハッカーがすでにネットワークに接続している場合は、ブックマークとショートカットに常にhttps://を使用してください...違いがあります...信じてください。

これは sslstrip についてより説明的なビデオです

1
OscarAkaElvis

WAHHからのこの質問に対する私のお気に入りの回答:

盗聴者が常駐する可能性があります:

  1. ユーザーのローカルネットワーク上
  2. ユーザーのIT部門内
  3. ユーザーのISP内
  4. インターネットバックボーン上
  5. アプリケーションをホストしているISP内
  6. アプリケーションを管理するIT部門内

Stuttard、Dafydd、Pinto、Marcus。「Webアプリケーションハッカーのハンドブック:セキュリティ上の欠陥を見つけて悪用する」(p。169)。Wiley。Kindle版。

1
Zatara7