Domanda I log degli ISP e https

JunkCoder

Moderatore
5 Giugno 2020
1,124
23
977
458
HTTPS cifra metodo, query string, headers e corpo della richiesta. Status code, headers e corpo della risposta. Cosa rimane visibile? La prima cosa sono le richieste DNS, il protocollo è in chiaro e molti ISP fanno comunemente DNS hijacking per fini di controllo e censura (in occidente perlopiù lo usano per censurare i siti streaming pirata). Poi c'è anche la parte di IP e di handshake che resta scoperta dalla crittografia. Ricapitolando, l'ISP:
  • Conosce il dominio a cui ti colleghi, eccetto se si usa DNS-over-HTTPS o incapsulando in altro modo il protocollo (socks5, vpn, ssh tunnel ecc)
  • Può fare un minimo di fingerprint: di TCP con TTL e Window size e dei cipher supportati e negoziati dal tuo browser con l'host
  • Conosce sempre IP di sorgente e di destinazione (anche risolvendo gli indirizzi con un DNS sicuro è possibile fare reverse DNS sull'IP di destinazione)
  • Conosce tempi esatti di ogni richiesta e dimensione dei messaggi arrotondati per block-size: es. con AES la lunghezza del ciphertext sarà sempre divisibile per 16, viene aggiunto padding al messaggio per rispettare questo criterio
Quindi in definitiva teoricamente è possibile capire cosa si sta facendo se si conosce bene le risposte tipo del sito e le sue risposte non sono troppo dinamiche in lunghezza. Ma nella pratica questo non viene mai fatto per l'alta probabilità di falsi positivi, faccio un esempio dove i log tornano utili: Bob ha TIM con IP dinamico e fa una SQL Injection su un sito della PA, gli analisti del soc rilevano l'attacco, sporgono denuncia, viene chiesto a TIM chi ha fatto richiesta in quel millisecondo, l'IP corrisponde, il nome sul contratto e il tuo indirizzo fisico vengono dati alla polizia, fine.
 

Eoloprox

Utente Gold
20 Marzo 2016
477
126
36
304
Ultima modifica:
ok, mettiamo caso che la postale starebbe cercando prove su di me, mettendo l'isp in ascolto oppure controllando i log successivamente, l'interrogazione di un database verrebbero fuori le parole chiave esaminate?
 

Mikmik

Utente Bronze
29 Novembre 2021
72
1
20
26
Non credo che la polizia postale vada direttamente dall'isp, per la legge sulla privacy bisogna andare con un mandato, nel dubbio usa tor configurato con bridge come primo nodo e così l'isp non saprà cosa stai facendo. Per parole chiave intendi le ricerche che hai fatto? Se ti riferisci a questo allora si potrebbero venir fuori, ma non dovrebbe essere un reato ricercare qualcosa su internet, in italia abbiamo la libertà di informazione.
 

Mikmik

Utente Bronze
29 Novembre 2021
72
1
20
26
Cerca su Inforge il sistema operativo tails, trovi diversi post, di default Tails ti fa usare Tor e quando lo avvii ti fa inserire un bridge.