Attraverso la pressione di Google, Facebook e altri importanti provider come Yahoo e Apple, il world wide web sta diventando più sicuro, con servizi Web che utilizzano HTTPS per crittografare il traffico web di default. Tuttavia, l'arrivo del progetto di poteri investigativi Bill solleva domande su chi può potenzialmente avere accesso a ciò che - qui ci sono alcune risposte.
Qualcuno può vedere tutte le mie richieste web?
Sì. Ogni volta che vedi HTTP nella barra degli indirizzi del browser, tutti i dati inviati tramite il link non verranno crittografati. Ciò significa l'indirizzo della pagina e del dominio che stai navigando e tutti i dati che invii, come in un modulo e tutti i dati che vengono restituiti.
Chiunque può vedere le mie richieste web se uso HTTPS?
Non. Se vedi HTTPS nella barra degli indirizzi del browser, la connessione viene crittografata utilizzando SSL / TLS. È possibile determinare solo l'indirizzo IP della destinazione (e la porta utilizzata, in genere 443). Nessun dettaglio di quali pagine o risorse sono state consultate, né ulteriori dati inviati tramite la connessione saranno accessibili. Google, Facebook e molti altri principali servizi online ora utilizzano HTTPS per impostazione predefinita, quindi tutte le richieste di ricerca di Google, ad esempio, sono protette e il tuo ISP non può vedere l'URL e i risultati della richiesta.
Se uso HTTPS, sarà a chiunque in grado di accedere ai miei dati dai log del server web remoto?
Sì. I tunnel HTTPS crittografano i dati su Internet per evitare intercettazioni, ma il traffico viene decodificato alle due estremità in modo che il registro del server mostrerà i dettagli di quale indirizzo IP ha accesso a quale risorsa e quando. Poiché SSL / TLS utilizzato da HTTPS utilizza un modello client-server, la chiave necessaria per decrittografare la connessione è disponibile sul server, diversamente dai servizi di crittografia end-to-end in cui solo le parti coinvolte dispongono della chiave di decrittografia. Ciò significa che spie e investigatori potrebbero ottenere un mandato e chiedere al fornitore di servizi di consegnare la copia della chiave di decrittografia e accedere alle comunicazioni. HTTPS protegge solo la trasmissione dei dati su Internet e i dettagli completi della richiesta e della risposta possono essere registrati sul server.
Le mie richieste DNS possono essere registrate?
Sì. DNS - Domain Name System, che traduce i nomi di dominio umano-compatibili nelle indirizzi IP dei server web in cui si trovano le pagine web - usa UDP in chiaro sulla porta 53. L'ISP sarà in grado di registrare le richieste DNS, e le eventuali spie o ricercatori saranno in grado di richiedere i dati.
Il mio ISP può determinare chi di noi a casa sta accedendo a un determinato sito?
Non. In genere, le connessioni a banda larga domestiche condividono un unico indirizzo IP pubblico tracciabile tra molti computer e smartphone utilizzando ciò che viene chiamato Traduzione degli indirizzi di rete (NAT). L'ISP registrerà solo l'indirizzo IP pubblico unico assegnato al vostro router di casa, non quale dispositivo individuale in casa lo stava usando in quel momento.
Se mi collego ad un sito web utilizzando una rete VPN, saranno le mie richieste essere registrati?
Forse. UN rete privata virtuale (VPN) è un tunnel crittografato point-to-point da un computer a un altro attraverso l'internet pubblico. Il tuo ISP non può vedere i dettagli dei pacchetti di dati che attraversano il tunnel. Esattamente ciò che il traffico di rete attraversa il tunnel criptato e ciò che non dipende da come è stata impostata la VPN. Ad esempio, è possibile passare il DNS anche attraverso un tunnel crittografato, se è indirizzato al server VPN aziendale. Le aziende utilizzano spesso sistemi chiamati server proxy, in cui i dettagli del computer all'interno della rete non verranno rivelati ai registri esterni.
Se utilizzo un browser Tor, il mio ISP sarà in grado di registrare le mie richieste web?
Non. Utilizzando un browser Tor-enabled è possibile navigare in Internet con il pubblico rete anonimizzazione Tor. Il tuo ISP non sarà in grado di vedere nessuno dei dati trasmessi e il registro del server web registrerà solo l'indirizzo del nodo gateway - il punto di ingresso nella rete Tor, non l'origine (il tuo browser) o la destinazione finale (il web server).
Come possono gli ISP me tracciare?
Normalmente, a cookie di sessione viene utilizzato per la sessione di navigazione web di ogni utente. Questi sono in chiaro, gli elementi di testo chiari che possono essere raccolte quando si comunica su HTTP e estratto per informazioni che spesso rivelano i dettagli identificativi dell'utente.
I miei messaggi di posta elettronica eseguire la scansione per i dettagli?
Improbabile. Molti provider di posta elettronica cifrare il traffico e-mail attraverso la rete internet, ad esempio posta elettronica web-based come Gmail o Yahoo Mail (tramite HTTPS), o le versioni crittografate del protocolli di posta comuni, come POP, SMTP o IMAP. Così il vostro ISP non è in grado di leggere le e-mail, ma si sa che ti sei collegato a un servizio di posta elettronica. Questo significa che il provider di servizi Internet non avrà i dettagli di passare alle spie o investigatori.
Gli investigatori avranno poteri per esaminare i log del server web?
Sì, per quelli con sede in Gran Bretagna. Ma i server per i servizi Web più utilizzati sono basati al di fuori del Regno Unito e quindi non soggetti alle leggi del Regno Unito. Anche la credibilità delle prove acquisite dai log dei server Web è discutibile in quanto spesso possono essere manomesse, mentre gli indirizzi IP possono essere falsificati (falsificati).
Potrebbe esserci un "uomo in mezzo"?
Forse. Il progetto di legge sui poteri investigativi fornisce investigatori e spie il diritto di manomettere hardware e software per accedere ai dati, ad esempio per aiutare a eludere la crittografia. Anche se questo potrebbe essere di uso limitato per i siti web ospitati al di fuori del Regno Unito, ci sono molte attrezzature nel Regno Unito tra il tuo browser web e quei server. Esistono anche altri modi per ingannare i browser Web e altri software che utilizzano HTTPS - come dimostrato dall'attacco "man-in-the-middle" utilizzato dal software Superfish installato sui computer Lenovo.
Un investigatore vedrà le mie password?
Non. Qualsiasi sistema di accesso al sito Web progettato correttamente utilizza HTTPS: in caso contrario, e si tratta di informazioni riservate, non utilizzarlo. Tutti i dati, incluse le password inviate tramite HTTPS, sono crittografati e sicuri.
Quindi, chi sa davvero a cosa accedo?
Google. Puoi anche scaricare la cronologia completa di ogni ricerca che tu abbia mai fatto.
Circa l'autore
Bill Buchanan, Direttore, Centro per il calcolo distribuito, le reti e la sicurezza, Università Napier di Edimburgo. Attualmente è a capo del Center for Distributed Computing, Networks, and Security e lavora nei settori della sicurezza, interfacce utente di nuova generazione, infrastrutture basate sul Web, e-Crime, sistemi di rilevamento delle intrusioni, digital forensics, e-Health, mobile computing, sistemi basati su agenti e simulazione
Questo articolo è stato pubblicato in origine The Conversation. Leggi il articolo originale.
Nota dell'editore: Tutti i siti Web InnerSelf sono disponibili con sicurezza https: //. Se si arriva al sito tramite http: //, è sufficiente passare a https: //. Puoi modificare i tuoi segnalibri in https: // ed evitare di doverli modificare in futuro. Passa ora.
Libro correlati:
at
Ecco come potrebbe sembrare una guerra informatica
Immagina di svegliarti per scoprire un massiccio attacco informatico al tuo paese. Tutti i dati del governo sono stati distrutti, eliminando l'assistenza sanitaria...
Grazie della visita InnerSelf.com, dove ci sono 20,000+ articoli che cambiano la vita e promuovono "Nuovi atteggiamenti e nuove possibilità". Tutti gli articoli sono tradotti in 30+ lingue. Sottoscrivi a InnerSelf Magazine, pubblicato settimanalmente, e Daily Inspiration di Marie T Russell. Rivista InnerSelf è stato pubblicato dal 1985.
Ecco come potrebbe sembrare una guerra informatica
Grazie della visita InnerSelf.com, dove ci sono 20,000+ articoli che cambiano la vita e promuovono "Nuovi atteggiamenti e nuove possibilità". Tutti gli articoli sono tradotti in 30+ lingue. Sottoscrivi a InnerSelf Magazine, pubblicato settimanalmente, e Daily Inspiration di Marie T Russell. Rivista InnerSelf è stato pubblicato dal 1985.
