Domanda I log degli ISP e https

[Eoloprox]

Ciao a tutti.
Vorrei sapere dato che gli ISP loggano tutto il traffico, con gli https riescono a capire quello che succede?

 

[JunkCoder]

HTTPS cifra metodo, query string, headers e corpo della richiesta. Status code, headers e corpo della risposta. Cosa rimane visibile? La prima cosa sono le richieste DNS, il protocollo è in chiaro e molti ISP fanno comunemente DNS hijacking per fini di controllo e censura (in occidente perlopiù lo usano per censurare i siti streaming pirata). Poi c'è anche la parte di IP e di handshake che resta scoperta dalla crittografia. Ricapitolando, l'ISP:

• Conosce il dominio a cui ti colleghi, eccetto se si usa DNS-over-HTTPS o incapsulando in altro modo il protocollo (socks5, vpn, ssh tunnel ecc)
• Può fare un minimo di fingerprint: di TCP con TTL e Window size e dei cipher supportati e negoziati dal tuo browser con l'host
• Conosce sempre IP di sorgente e di destinazione (anche risolvendo gli indirizzi con un DNS sicuro è possibile fare reverse DNS sull'IP di destinazione)
• Conosce tempi esatti di ogni richiesta e dimensione dei messaggi arrotondati per block-size: es. con AES la lunghezza del ciphertext sarà sempre divisibile per 16, viene aggiunto padding al messaggio per rispettare questo criterio

Quindi in definitiva teoricamente è possibile capire cosa si sta facendo se si conosce bene le risposte tipo del sito e le sue risposte non sono troppo dinamiche in lunghezza. Ma nella pratica questo non viene mai fatto per l'alta probabilità di falsi positivi, faccio un esempio dove i log tornano utili: Bob ha TIM con IP dinamico e fa una SQL Injection su un sito della PA, gli analisti del soc rilevano l'attacco, sporgono denuncia, viene chiesto a TIM chi ha fatto richiesta in quel millisecondo, l'IP corrisponde, il nome sul contratto e il tuo indirizzo fisico vengono dati alla polizia, fine.

 

[Eoloprox]

ok, mettiamo caso che la postale starebbe cercando prove su di me, mettendo l'isp in ascolto oppure controllando i log successivamente, l'interrogazione di un database verrebbero fuori le parole chiave esaminate?

 

[Mikmik]

Non credo che la polizia postale vada direttamente dall'isp, per la legge sulla privacy bisogna andare con un mandato, nel dubbio usa tor configurato con bridge come primo nodo e così l'isp non saprà cosa stai facendo. Per parole chiave intendi le ricerche che hai fatto? Se ti riferisci a questo allora si potrebbero venir fuori, ma non dovrebbe essere un reato ricercare qualcosa su internet, in italia abbiamo la libertà di informazione.

 

[Eoloprox]

" con bridge come primo nodo" questa mi è nuova, ma e nelle impostazioni di deflaut?

 

[Mikmik]

Cerca su Inforge il sistema operativo tails, trovi diversi post, di default Tails ti fa usare Tor e quando lo avvii ti fa inserire un bridge.

 

[Eoloprox]

io utilizzo sempre whonix fa uguale?