当我信任本地网络时使用 HTTP 的风险

信息安全 tls http 中间人
2021-09-08 02:58:10

假设没有任何恶意黑客坐在我的个人 WiFi 网络上等待嗅探我的流量,那么使用 HTTP 而不是 HTTPS 有什么风险?

一个黑客可以坐在他的船在大洋的中央窃听网络线路并嗅探我的数据包吗?或者一旦数据包离开我的网络就不可能(或非常难)这样做?

我一直有这样的心态,对于没有动机进行攻击的普通用户来说,使用 HTTP 的风险较低。

4个回答

假设您的本地网络是安全的,即使使用普通未加密的 HTTP,资源最少的普通脚本小子/黑客也无法接入连接。这并不意味着使用纯 HTTP 是没有风险的。您的数据仍然可以通过以下方式捕获和记录或自由修改:

  • 您的 ISP 和您自己的政府
  • 您的流量经过的国家/地区的 ISP 和政府
  • 任何能够发起 BGP 路由劫持攻击的人

当然,以上任何一项都可以与他们选择的第三方共享数据,甚至可以让这些外部方直接访问您的网络流量。

几个例子:

众所周知,某些 ISP 会将 JavaScript 注入 HTML 页面。这可能是额外的广告或跟踪,或者像最近的康卡斯特那样的自定义通知。

我住在芬兰,很多芬兰的互联网流量都经过瑞典。2009 年,瑞典通过了一项法律,允许瑞典情报机构 FRA 监控所有跨境互联网连接。这意味着瑞典在技术和法律上都能够对芬兰互联网用户进行大规模监控。据报道,FRA 还与 NSA 和 GCHQ 密切合作,他们可能会共享数据。

2013 年,监控软件公司 Hacking Team与意大利政府和一家托管公司合作策划了一次 BGP 劫持类似的路由劫持可以很容易地用于从世界任何地方接入 HTTP 连接。BGP 劫持或“泄漏”并不罕见。@bgpmon Twitter账户,等等,跟踪和报告这些类型的事件。这些事件通常归因于错误配置和人为错误,但在大多数情况下,无法确定。罪魁祸首通常是中国或类似国家的个别 ISP,并且不能保证 ISP 本身不是黑客攻击的目标。

除了安全之外,还有其他使用 HTTPS 的原因。SPDY 和 HTTP/2 是 HTTP 的新版本,开销更少,在大多数实现中仅支持通过 TLS。许多 JavaScript Web 技术也仅适用于 HTTPS 网站,例如 Service Workers 和 Location API。

除了获取可以实际读取数据的洲际线路的技术障碍之外,您提供的方案确实是可能的。如果您使用 HTTP 而不是 HTTPS,您的数据将以明文形式从端到端传输,因此您的 ISP、中间的任何人以及您的目标主机的 ISP 都可以读取甚至修改您的数据,如果他们真的想要的话。

EFF 有一个很好的小部件,详细说明了谁可以通过 HTTP/S 看到什么:https ://www.eff.org/pages/tor-and-https

HTTP 本质上是一种“信任”协议:它包含很少或没有内置安全性。这意味着它容易受到以下因素的影响:

  1. 流量监控通过 HTTP 传输的任何内容都可以被连接到位于源设备和目标服务器之间的任何网络的任何人拦截和读取。
  2. 流量重定向和操纵只需很少的工作,您的流量就可以重新路由到由第三方控制的服务器,而您不会注意到任何事情。一旦流量被重定向,它可以被读取但也可以被改变:有人可以将任何类型的数据,包括脚本,注入到流中。除非您有一些外部方法来验证您通过 HTTP 连接获得的内容,否则无法确定它来自“正确”的来源。

如果您经常使用 HTTP 而不是 HTTPS,还可以执行各种不太明显的攻击(如URL 重定向攻击)。

假设攻击者已经在您的无线网络中,您必须知道即使是您的 https 连接也可以使用sslstrip等技术进行嗅探。避免这种技术的好做法是https://在开头使用字符串创建所有书签和快捷方式。例如,如果您尝试直接访问放在栏中的页面,https://outlook.com则连接不能成为 sslstrip 的受害者。如果您仅举个例子outlook.com而不使用 https 前缀,即使在 ssl 连接中,您也可能被黑客入侵,并且如果您的网络上有熟练的黑客,您的数据可能会被简单地嗅探。

sslstrip 是如何工作的?

许多网站都在使用HSTS(Http Strict Transport Security),它基本上包括将普通的 http 请求重定向到 https 以得到保护。例如,您会注意到,如果您输入outlook.com重定向已完成,您将看到带有绿色锁并使用 https 的站点。这是因为已配置并强烈建议将其放在网站上的 HSTS。但是在这种情况下,有一个对 http 的请求......第一个请求是 sslstrip 用来做“它的魔力”的。首先完成 MITM(中间人)的攻击者,以纯 http 的形式向受害者提供页面,然后他与真实服务器建立 https 连接。受害者可能会注意到酒吧里没有绿色锁……但相信我,你没有注意到,所以非常有效。

像 facebook 这样的一些网站不能被 sslstrip 删除,因为从前一段时间,浏览器有一个已知使用 https 的网站的内部列表,所以无论你是否向http://facebook.com浏览器询问,浏览器都会直接询问https://facebook.com所以没有初始的 http 普通请求并且 sslstrip 不能工作。但是该浏览器的列表中没有太多站点...我想这些站点应该向浏览器付费才能进入该列表,对此不确定。所以这只影响到像facebook这样的“大网站”和其他一些世界知名的网站。

因此,如果黑客已经在您的网络中,那么嗅探有用的东西是一个时间问题。首先尝试保护您的第一级(以保护您的网络被破坏)。如果不可能并且黑客已经在网络中,那么,请始终https://在您的书签和快捷方式上使用...这会有所不同...相信我。

这是一个关于sslstrip的更详细的视频

其它你可能感兴趣的问题
上一篇与传统的 2 因素相比,彭博身份验证系统有什么优势? 下一篇802.11w 受保护的管理帧 - Wi-Fi