Sosed (man in the middle)

Pozdravljeni!

Ali se da preverit (npr. v situaciji ko si podnajemnik) ali ti lastnik/sosed pregleduje internetno linijo ali gre le-ta naravnost do ISP-ja? Je edini način stalna uporaba VPN-ja ali se da na kakšen način ugotoviti, če lastnik stanovanja vohlja umes?

Hvala!

cmd->tracert google.com

Za začetek in vidiš na kateri IP gre. Če sta 2 notranja potem imaš man in the middle drugače pa je OK.

Seveda pa je lahko kaj tudi na routerju, da podvaja promet in pošilja direktno lastniku, tega pa praktično ne moreš ugotovit drugače, kot da nastaviš honey pot (nek link, kjer preverjaš kdo ga je obiskal, ali samo ti in roboti od iskalnikov ali še kdo drug. Sosed recimo.)

111111111111 je 3. avg 2015 ob 09:37 izjavil:

cmd->tracert google.com

Za začetek in vidiš na kateri IP gre. Če sta 2 notranja potem imaš man in the middle drugače pa je OK.

Seveda pa je lahko kaj tudi na routerju, da podvaja promet in pošilja direktno lastniku, tega pa praktično ne moreš ugotovit drugače, kot da nastaviš honey pot (nek link, kjer preverjaš kdo ga je obiskal, ali samo ti in roboti od iskalnikov ali še kdo drug. Sosed recimo.)

Sploh ni res ...

Snifat se da tudi drugače ... Ni nujno da je še nekdo vmes ... Lahko je zraven ...

Lahko pa lastnik snifa, da mu ne pokuriš celega bandwidtha s porniči in torrenti. Jaz bi že ... Sam to je že napredno mrežno znanje ...

c3p0 je 3. avg 2015 ob 09:57 izjavil:

To velja le, če "prisluškuje" na layer 3 nivoju. Če na layer 2 (npr. switch z mirror portom.), ne more ugotovit nič.

Najprej si preberi vprašanje. Vprašanje je bilo za man in the middle attack. To je specifična vrsta napada, kjer gre žrtvin promet čez tvoj hardware, kjer ga primerno obdelaš.

Invictus je 3. avg 2015 ob 09:58 izjavil:

111111111111 je 3. avg 2015 ob 09:37 izjavil:

cmd->tracert google.com

Za začetek in vidiš na kateri IP gre. Če sta 2 notranja potem imaš man in the middle drugače pa je OK.

Seveda pa je lahko kaj tudi na routerju, da podvaja promet in pošilja direktno lastniku, tega pa praktično ne moreš ugotovit drugače, kot da nastaviš honey pot (nek link, kjer preverjaš kdo ga je obiskal, ali samo ti in roboti od iskalnikov ali še kdo drug. Sosed recimo.)

Sploh ni res ...

Snifat se da tudi drugače ... Ni nujno da je še nekdo vmes ... Lahko je zraven ...

Lahko pa lastnik snifa, da mu ne pokuriš celega bandwidtha s porniči in torrenti. Jaz bi že ... Sam to je že napredno mrežno znanje ...

Kaj ni res?

Kaj pa 35. in 37. člen Ustave (ko se tako lahkotno pogovarjate o preverjanju prometa in čekiranju, ali morda vleče pornografijo / torente)?

Kot lastnik priključka si ti tisti, ki postavlja pravila igre. Če pa najemniku kaj ni prav, si pa lahko uredi internet po svoje (npr. mobilni internet in podobne variante).

Kljub temu, da ti postavljaš pravila igre, pa te nima kaj zanimat, kaj podnajemnik gleda na interntu, televiziji, koga ima na obisku, katere torrente vleče, itd.
Seveda pa so tu lahko tudi neka siva področja, o katerih se je treba odkrito pogovoriti, da se lahko potem podnajemnik odloči, če so pogoji zanj sprejemljivi ali ne. Dokler igraš z odkritimi kartami in ne s figo v žepu, ne moreš zaiti v navskrižje z zakonom. Je pa dobro, da se način rabe skupnega priključka določi v pisni obliki (npr. da bo QOS nastavljen na 2Mbps, da boš dovolil max. 1000 connection/s, da morda torrentov ne boš dovolil,...). Tako se potem podnajemnik ne more pritoževati, če mu dejansko pripreš pipco do dogovorjenih parametrov, če sam ni upošteval pravil fairplay-a na skupni povezavi.

Če pa imaš kakšen res 'hud router', pa takointako lahko nastaviš, da se sosedov promet ne logira, da mu ne čekira AV in podobno, kar bi mu sicer lahko nudil.

Skratka, ni problema, če sta oba 'normalna'. Če pa lastnika priključka premami 'temna stran', pa mu to dejansko teško dokažeš. Še najbolj ti je lahko v tolažbo dejstvo, da je hudo dolgočasno gledati tuje prometne podatke in da se tega še najbolj firbčni dokaj hitro naveličajo.

konspirator je 3. avg 2015 ob 14:33 izjavil:

Invictus je 3. avg 2015 ob 14:16 izjavil:

Miha 333 je 3. avg 2015 ob 13:45 izjavil:

Kaj pa 35. in 37. člen Ustave (ko se tako lahkotno pogovarjate o preverjanju prometa in čekiranju, ali morda vleče pornografijo / torente)?

OP je najemnik, kar najbrž pomeni da linija ni njegova?

Če mu ni všeč, naj se pač odseli ...

Ustave to nič ne briga.

Ustavno sodišče pa še manj.

V končni fazi pa mu najemodajalec niti ni obvezan nuditi internet ... Naj si pa naštima svoj mobilni internet.

Ta debata je tako ali tako samo teoretična, ker praktično nihče ne zna dokazati da mu snifajo promet ...

Poleg tega samo snifanje ni prepovedano, ampak uporaba teh podatkov skupaj z osebnimi podatki pa je.

Ma vi tukaj ste bolani in paranoični ...

To še firme ne zbirajo, kaj bo to delal nek najemodajalec ... Ki ima v lasti eno, mogoče dve stanovanji za oddajat ...

Mene bolj zanima s čem se OP ukvarja da se tako boji snifanja ... Nekaj na pol legalnega najbrž ...

Kaj se vse da dobiti ven iz podatkov ni sporno. Ampak zato greš preprosto na FB. Tam zveš vse. Sem tako par žensk preveril če bi bile dobre za mojo partnerko. Pa sem jih lepo odpikal glede na njihove butaste poste ...

V pravnem svetu moraš pa dokazati da je nekdo podatke iz snifanja tvojega prometa uporabil. Domneva in filozofiranje o tem kaj se da, ni nič ...

Neverjeten odziv na vprašanje. :)

Vprašal sem le teoretično oz. ker se mislim enkrat v prihodnosti pač preseliti v podnajemniško stanovanje in me zanima. Pred leti sem že bil podnajemnik in vse kar sem dobil od lastnika stanovanje je bil en UTP kabel iz stene, takrat še nisem vedel dosti o vsem tem. Kabel sem vklopil v PC in veselo uporabljal internet, lasnik pa je lahko na drugi strani delal kar ga je volja, ker niti pomislil nisem na to, da mi lahko pregleduje promet.

Pravna podlaga me niti ne zanima, čeprav vem da je sporno, zanima me bolj tehnični vidik.

Tracert mi bo povedal le to, da ima lasnik router umes, kar je bi bistvu logično. Če si sam dokupim še enega bo šlo pač preko dveh notranjih IP naslovov, to ne dokaže nič.

V podnajemniškem stanovanju vleči še en dodaten internet priključek do ISP-ja (torej imeti svoj "modem") - večina stanodajalcev bo le grdo pogledala in si našlo drugega podnajemnika verjetno, takega ki ne bo kompliciral.

Port mirroringa torej ni mogoče zaznati na noben način?

Je mogoče zaznati če se promet preverja z Wiresharkom?

HTTPS Everywhere plug-in deluje le za brskalnik, ne pa za npr. Skype, ne?

Stalno uporabljati VPN je pa spet dodaten strošek in sitnost...

Hvala vam!

He-Man je 3. avg 2015 ob 16:02 izjavil:

Neverjeten odziv na vprašanje. :)

Vprašal sem le teoretično oz. ker se mislim enkrat v prihodnosti pač preseliti v podnajemniško stanovanje in me zanima. Pred leti sem že bil podnajemnik in vse kar sem dobil od lastnika stanovanje je bil en UTP kabel iz stene, takrat še nisem vedel dosti o vsem tem. Kabel sem vklopil v PC in veselo uporabljal internet, lasnik pa je lahko na drugi strani delal kar ga je volja, ker niti pomislil nisem na to, da mi lahko pregleduje promet.

Pravna podlaga me niti ne zanima, čeprav vem da je sporno, zanima me bolj tehnični vidik.

Tracert mi bo povedal le to, da ima lasnik router umes, kar je bi bistvu logično. Če si sam dokupim še enega bo šlo pač preko dveh notranjih IP naslovov, to ne dokaže nič.

V podnajemniškem stanovanju vleči še en dodaten internet priključek do ISP-ja (torej imeti svoj "modem") - večina stanodajalcev bo le grdo pogledala in si našlo drugega podnajemnika verjetno, takega ki ne bo kompliciral.

Port mirroringa torej ni mogoče zaznati na noben način?

Je mogoče zaznati če se promet preverja z Wiresharkom?

HTTPS Everywhere plug-in deluje le za brskalnik, ne pa za npr. Skype, ne?

Stalno uporabljati VPN je pa spet dodaten strošek in sitnost...

Hvala vam!

Nekateri ponudniki (npr. T-2) imajo tako, da lahko do 3 naprave priključiš direktno v njihov modem in ima vsaka potem direkten internetni dostop ter seveda svoj zunanji IP. Morda se z lastnikom poskusiš dogovoriti, da se tako priključiš na njegov priključek. Potem lahko imata vsak svoj router čisto neodvisno drug od drugega, vsak z direktnim dostopom in svojim IPjem.

T-2 mislim da omogoča do 2 IP-ja na istem modemu, ja.

SeMiNeSanja - zelo dobro si povedal, se strinjam z vsem.

Zanimivo se je razvila tema. :)

111111111111 je 3. avg 2015 ob 21:05 izjavil:

He-Man je 3. avg 2015 ob 16:02 izjavil:

Tracert mi bo povedal le to, da ima lasnik router umes, kar je bi bistvu logično. Če si sam dokupim še enega bo šlo pač preko dveh notranjih IP naslovov, to ne dokaže nič.

Izrecno za man in the middle napad greš preko 2 IP naslovov, ki jih lepo vidiš s tracert. Tvoji zgornji trditvi sta sicer pravilni samo nimata veze z man in the middle attack-om.

To pa še zdaleč ne drži! Če se uporablja transparentni proxy na routerju, gredo lahko tvoji ICMP paketki lepo naravnost skozi, medtem ko se ti lahko http in https (in še kaj drugega) preusmeri 'nekam drugam', kjer se promet razmontira po vseh pravilih umetnosti, analizira, prepakira, nato pa pošlje nazaj na router in v svet, kot da se vmes ni nič zgodilo. Edino https bo tu znal malo pojamrati, da nekaj ni čisto v najboljšem redu s certifikati, ostalo pa kot da se prometu ni nič zgodilo.

Skratka, traceroute ti bo razkril kvečjemu 'šalabajzerja in the middle', ki se na svoj 'posel' ne spozna. Kakšen 'NSA in the middle' pa ne pričakuj, da boš na ta način razkril....

@Chuapoiz - ne repenči se tako na veliko prosim.

Vsakdo si komot na ebay kupi star WatchGuard firewall, ki te ne bo stal kaj dosti več, kot en malo bolj spodoben routerček (tudi za kakšnih 100EUR se jih že dobi).

Tudi brez vseh dodatnih licenc ti bo zadeva delala lepe loge, kam so tvoji uporabniki hodili, katere URL-je so si ogledovali, komu so pošiljali maile in od koga so jih prejemali. Za kakšnega malo preveč firbčnega lastnika več kot dovolj informacij, zate kot uporabnika pa bistvena kršitev zasebnosti, tudi če ravno ne vidi vsebino mailov.

Da ti nekdo vohlja promet, pa ne boš odkril prav z ničemer, dokler nebi vklopil dekripcije https prometa. Toda če firbca zgolj zanimajo URL-ji, mu tega ni potrebno vklapljati. Sicer mu dekripcija nebi prav veliko koristila, saj proxy NI implementiran kot 'vohunski', temveč kot varnostni - da se lahko izvaja AV, IPS in podobna preverjanja nad prometom, blokira neželjene vsebine in podobno, ne omogoča pa vpogleda v samo vsebino, ki se prenaša.

111111111111 je 3. avg 2015 ob 23:56 izjavil:

Torej se ti zdi, da ima avtor te teme opraviti s sosedom na tem nivoju? Da bo kupil firewall samo zato, da bo pregledoval promet? Daj, no daj. Malo realizma prosim. Še najverjetneje je da bo lastnik poklical operaterja, ki bo na routerju pač zaprl najbolj common porte. Kaj več pa dvomim. Lepo da naštevaš dodatne opcije, ki so možne, ampak to ni poanta man in the middle.

Jezi me pač, da nekaj mečeš iz konteksta, man in the middle je točno specificirana vrsta napada in ni namenjena logiranju prometa, ampak spremembi in zajemu podatkov, ki se po mreži pretakajo. Razni port mirorr, IPS, so namenjeni čisto drugim stvarem. Najbližje si bil s transparent proxy-em, ki pa je konkretno en nivo višje od klasičnega man in the middle attacka, zahteva poznavanje SSL-a, podpisovanja itd...

Ne vem, kaj se buniš na polno, kajti če bi prebral, kar sem prej napisal OPu, bi točno vedel, da je govora o hipotetičnih možnostih, ki so na razpolago vsakomur, ki se malo spozna na tehnologijo in ima v sebi dovolj negativne (kriminalne?) energije, da se zadeve loti.

Ko pa se govori o 'man in the middle', pa je čisto odvisno, v kakšnem kontekstu na zadevo gledaš - ali govoriš zgolj o prvotni 'implementaciji zlorabe' ali o izpeljankah, ki danes služijo tudi za malo bolj koristne reči in jim ni namen vohuniti za nekom.

Dejansko tudi jaz robantim, kadar nekdo reče, da se gre za 'MITM napad', če mu promet filtrira DPI firewall, ki izvaja dekripcijo https prometa. Vendar je bilo tu govora o zasebnosti, v kontekstu katere pa je zadeva lahko tudi dokaj 'nerodna'. Še najbolj nerodno pa je, če ne moreš drugače dokazati, da ti nekdo posega v zasebnost, kot da mu naredijo hišno preiskavo in dobesedno zalotijo s prstom v loncu z marmelado.

Skratka ne kompliciraj, ker sem o 'realnih' možnostih že napisal, da bo lastnika lahko tudi užalil, če ga bo sumničil takšnega početja.

Invictus je 3. avg 2015 ob 15:43 izjavil:

Ma vi tukaj ste bolani in paranoični ...

Glede na masovnost prisluskovanja danes bi prej rekel temu folku realisti. Unim ki opletajo s temi izrazi pa jebivetri.

V pravnem svetu moraš pa dokazati da je nekdo podatke iz snifanja tvojega prometa uporabil. Domneva in filozofiranje o tem kaj se da, ni nič ...

Mhm. Pa ko namesti skrite kamere v svoje stanovanje, ki ga nato odda, bo problem sele ko drka na posnetke. Ce jih samo gleda ni problema ane.

Mehmed je 4. avg 2015 ob 09:06 izjavil:

Glede na masovnost prisluskovanja danes bi prej rekel temu folku realisti. Unim ki opletajo s temi izrazi pa jebivetri.

Prisluškuje se odkar so izumili telefon.

S pojavom digitalnih central je postalo prisluškovanje standardna oprema vse telekomunikacijske opreme. By default. Tudi v Sloveniji. Že zadnjih 40 let.

Če ti živiš v utvari da se tega včasih ni počelo, moraš biti pa res naiven ...

Sej sm naiven, ne skrivam. Naiven, ker sem mislil, da bojo mogoce le koncno sedaj, ko je tok jebeno jasno kok zelo se prisluskuje ipd. po svetu pa kok enostavno je to in dostopno vsem nekateri koncno nehali opletati z izrazi paranoik. Ker te, ki so bli vceraj paranoiki, so danes te, ki so imeli se kako prav. Uni, ki jim lepijo te izraze pa idioti, ki zivijo v svojmu baloncku.
Samo jebiga, idiot ne bo nehu biti idiot zaradi takih detajlov.

He-Man je 3. avg 2015 ob 00:28 izjavil:

Pozdravljeni!

Ali se da preverit (npr. v situaciji ko si podnajemnik) ali ti lastnik/sosed pregleduje internetno linijo ali gre le-ta naravnost do ISP-ja? Je edini način stalna uporaba VPN-ja ali se da na kakšen način ugotoviti, če lastnik stanovanja vohlja umes?

Hvala!

če gre preko kakšnega pcja z linuxom lahko vidi vse, tudi katere internetne strani obiskuješ. vprašanje je ali se mu izplača s tem ukvarjat.

c3p0 je 4. avg 2015 ob 11:30 izjavil:

111111111111 je 3. avg 2015 ob 23:56 izjavil:

Jezi me pač, da nekaj mečeš iz konteksta, man in the middle je točno specificirana vrsta napada in ni namenjena logiranju prometa, ampak spremembi in zajemu podatkov, ki se po mreži pretakajo. Razni port mirorr, IPS, so namenjeni čisto drugim stvarem. Najbližje si bil s transparent proxy-em, ki pa je konkretno en nivo višje od klasičnega man in the middle attacka, zahteva poznavanje SSL-a, podpisovanja itd...

Avtor je sicer napisal MITM v naslovu, ampak potem je takoj omenil, da ga zanima, če mu lahko lastnik preglejuje promet, kar pa ni MITM, ampak le sniffanje. Zato je tudi dobil take odgovore, kot jih je. Beri včasih tudi malo med vrsticami in ne takoj bentit.

Preberi raje moje poste, kjer izrecno omenjam, samo man in the middle attack in ne njegovih izpeljank, ostali pa se obešajo na tracert ukaz, da ne more odkrivat raznih transparent proxyev, IPS, port mirroringa. Seveda ne more, ampak osnovni napad pa lahko. Tako da ti preden bereš med vrsticami, preberi vrstice, pa ti bo šlo komentiranje bolje. Kar se teme tiče, se pa umikam, se kregamo za isti korenček, itak pa korenja ne maram preveč. :D

Verjetno bi bil bolj primeren naslov 'gazda in the middle', da se nekateri nebi tako zelo obešali na klasični MITM napad in zadevi sledili malo bolj v kontekstu vprašanja.

Dejansko nisi nikjer 'varen' pred tem, da bi kdo mogel spremljati in analizirati tvoj internetni promet. Celo če imaš lastni priključek, ti lahko nekdo pri ISP-ju spremlja dogajanje na tvoji povezavi - pustimo zdaj ob strani, ali zakonito ali nezakonito in za kaj bi se ti podatki lahko (zlo)rabili.

Kjerkoli se priključiš, to narediš z določeno mero zaupanja, ki je lahko bolj ali manj upravičena. Dejansko ti lahko tudi v internetnem kafiču ali na nekem hotspotu spremljajo in prestrezajo tvoj promet. Načeloma si misliš, da si takointako anonimen - vendar se v to ne velja zanašati, saj tvoji prometni podatki lahko izdajo tvojo identiteto.

Na splošno velja, da je dobro na javnih hotspotih vključiti neko vrsto VPN povezave, tako da lepo premostiš tisti kritični del povezave.

Če si najemnik in ti stanodajalec nudi priklop do interneta, je na tebi, da oceniš ali je zaupanja vreden, pa če je sploh sposoben prestrezati in analizirati tvoj promet. Wireshark priključiti na mrežo ni nobena umetnost. Iz prestreženih podatkov izluščiti karkoli 'uporabnega' je pa že druga zgodba in zahteva tudi nekaj znanja, predvsem pa veliko potrpljenja.
Pravi MITM 'napad' ne moreš pričakovati od nekega osivelega gospoda v 70-ih letih, pa tudi kakšen tipični 'gazda', ki dneve preživlja po fitness klubih tega ne bo sposoben. Prej bi se bilo za skrbeti kakšne firbčne mularije, wannabe hackerčkov, ki bi se radi na tebi učili. Ampak kolikšna je dejanska možnost, da na takega mulca naletiš? 1:10.000?

Tudi če imaš malo bolj napredno požarno pregrado z vso analitiko prometa, ki ti dejansko omogoča vpogled v URL-je in naslove mailov, teh podatkov 'normalen' admin ne bo gledal, ker so preprosto dolgočasni. Seveda pa se vedno najdejo kakšne izjeme, ki vtikajo svoj nos tja, kamor ga drugi ne. Najdejo se tudi izjeme, ki te podatke potem zlorabljajo za razna izsiljevanja. Ampak se splača zaradi parih izjem generalno reči, da se ne boš povezoval preko tujega priključka?

Kadar sam konfiguriram kakšno požarno pregrado v kakšnem podjetju, dejansko vidim, kam vse uporabniki hodijo, katere URL-je si nalagajo. Ampak za mene so to 'anonimni podatki', saj nikogar od teh uporabnikov ne poznam. Bolj kot kdo, mene zanima kam se hodi, da lahko ustrezno nastavim spletni filter, da ne blokira premalo ali preveč prometa. Če npr. Websense trdi, da moškisvet.com spada pod 'erotiko', jaz pa vidim, da so do te strani poskušali dostopati, dodam zanjo izjemo, da se stvar ne blokira po nepotrebnem. Kdo si je tam šel pogledati zadnjico kakšne Coco ali Kardashianove, pa me sploh ne zanima.

Pozoren postanem šele, ko vidim, da nek računalnik ponavljajoče skuša kontaktirati nek URL, ki je kategoriziran kot 'rizični'. Takrat se pač mora ukrepati in prveriti izvor in razlog, zakaj do tega prihaja. Vendar to nima nič skupnega s kakšnim poseganjem v zasebnost uporabnikov.