Voglio dire, il mio WiFi è protetto, quindi tutte le comunicazioni dovrebbero essere crittografate, giusto?

Lo è, ma non nel luogo in cui lo stai leggendo. La crittografia avviene a un certo punto della "pipeline" e la decrittografia deve avvenire anche a un certo punto della "pipeline" (altrimenti i dati sono inutili). Stai osservando i dati dopo che sono stati decrittografati, cosa che non sarebbe possibile se stessi usando HTTPS (che invece fornisce la crittografia end-to-end, che inizia dal server e termina nel browser).

Se hai tentato di utilizzare Wireshark per acquisire il contenuto di una transazione HTTPS, sarebbe stato così:

  + -------- + (crittografato) + --- ------- + (crittografato) + -------- + | Server | ----------- > | Internet | ------------ > | Router | + -------- + + ---------- + + -------- + | | (crittografato) + ------------------ + --- + | Il tuo PC | | | + ----------- + (e) | | | | Browser | < --- + | | + ----------- + | | | + ----------- + (e) | | | | Wireshark | < --- / | | + ----------- + | + ---------------------- +  

Qui, il tuo browser sa come decrittare i dati, perché "possiede "la transazione HTTPS in primo luogo; la tua istanza Wireshark (che, per lo scopo stesso della crittografia end-to-end, viene trattata come qualsiasi altro ficcanaso in questo scenario) no.

Ma la tua crittografia wireless inizia dal router e termina alle la scheda di rete del PC, quindi il risultato per te è più simile a questo:

  + -------- + (testo in chiaro) + ---------- + (testo in chiaro) + -------- + | Server | ----------- > | Internet | ------------ > | Router | + -------- + + ---------- + + -------- + | | (crittografato) + ------------------ + --- + | Il tuo PC | | | + ----------- + (p) | | | | Browser | < --- + | | + ----------- + | | | + ----------- + (p) | | | | Wireshark | < --- / | | + ----------- + | + ---------------------- +  

Qui, qualsiasi cosa sul tuo PC può leggere i dati, perché sono stati decifrati dalla scheda di rete. Altrimenti, quale applicazione decifrerebbe i dati? Niente funzionerebbe.

Non c'è quasi nessuna relazione tra HTTPS e WPA2-PSK; fanno lavori completamente diversi.

L'utilizzo di un router con WPA2-PSK (o qualsiasi altro algoritmo di crittografia di rete) non significa che tutti i siti siano obbligati a utilizzare https. Significa che il traffico non crittografato non è visibile a coloro che non sono collegati alla rete.

Considera HTTPS come una relazione tra il tuo browser e il sito web.

Considera WPA2-PSK come relazione tra il tuo dispositivo e il tuo punto di accesso.

Quando esegui Wireshark su un computer, acquisisci il traffico che il computer può "vedere".

Se esegui Wireshark mentre navighi su siti Web HTTP, il computer "vede" i dati in chiaro , perché la crittografia Wi-Fi avviene a livello di router / punto di accesso, noto come "livello di collegamento".

Se, invece, esegui Wireshark mentre navighi su siti Web HTTPS, Wireshark "vede "dati crittografati, anche se non stai utilizzando la crittografia Wi-Fi, perché la crittografia HTTPS (SSL / TLS) si verifica a livello di browser o, più precisamente, a" livello applicazione ".

Pensa questo modo.

Un punto di accesso consente a diversi dispositivi di connettersi a Internet. Senza alcun tipo di crittografia, qualsiasi dispositivo (sia all'interno che all'esterno della rete wireless) sarebbe in grado di "vedere" il traffico in chiaro da e verso qualsiasi dispositivo connesso alla rete. La crittografia Wi-Fi impedisce ai dispositivi esterni alla rete di vedere il tuo traffico (per questo viene utilizzata la passphrase) e impedisce ai dispositivi all'interno della rete di spiarsi a vicenda (semplificando un po ', i dati vengono crittografati con chiavi diverse per ogni dispositivo). Pertanto, se Alice e Bob sono collegati all'AP del punto di accesso, non solo Eve (che è fuori dalla rete) non può vedere il traffico relativo ad Alice e Bob, ma Bob non può vedere cosa sta facendo Alice e viceversa.

Tuttavia, il proprietario della rete Wi-Fi può vedere facilmente cosa stanno facendo Alice e Bob.

L'analogia

Pensa alla crittografia (per il momento) come a una serie di tubi e ai dati come lettere inviate attraverso quei tubi.

La rete wireless è un'enorme stanza in cui è possibile leggere, scrivere e trasmettere messaggi, poiché include anche un ufficio postale (punto di accesso).

L'ufficio postale permette che le tue lettere vengano inviate a qualcuno utilizzando un'altra casella, magari dall'altra parte del mondo. Lo fa controllando l'indirizzo scritto sulla lettera e inviandolo.

Se viene utilizzata la crittografia Wi-Fi, la stanza viene bloccata e ogni utente ha un tubo distinto, attraverso il quale può inviare e ricevere messaggi.

Internet è tutto ciò che è al di fuori della stanza enorme . Alice e Bob sono dentro la stanza, Eva è fuori.

Disclaimer: per brevità, parla = scrivi e leggi in questo contesto

1) Se la stanza non fosse chiusa a chiave, senza tubi e stavi inviando cartoline di testo in chiaro ( nessuna crittografia Wi-Fi, nessun HTTPS ), avresti un ufficio postale funzionante (inviando e ricevere lettere), ma molto insicuro. Alice potrebbe afferrare le lettere inviate da Bob e viceversa. Inoltre, chiunque poteva entrare nell'ufficio postale e prendere qualsiasi lettera. In altre parole, sarebbe un enorme pasticcio.

2) Crittografia Wi-Fi, nessun HTTPS corrisponde a una stanza chiusa a chiave usando un tubo a persona, in modo che Alice non possa afferrare le lettere inviate o ricevute da Bob. Chiaramente, Eve che non è nemmeno nella stanza, non può vedere niente. Tuttavia, quelle lettere sono cartoline di testo in chiaro, il che significa che il contenuto non è crittografato. Ciò significa che l'ufficio postale può vedere tutto ciò che invii e ricevi.

Ora, questo potrebbe non piacerti. Perché l'ufficio postale dovrebbe essere in grado di leggere i tuoi messaggi se deve solo spedirli? Quindi sei d'accordo con le persone con cui stai comunicando e decidi di scrivere cartoline codificate o criptate. Ad esempio, HI MIKE diventerebbe FJSDJHDNFSJ.

In questo modo, l'ufficio postale non può capire di cosa parlate tu e i tuoi amici.

3) Un sistema che include carte crittografate e una stanza sbloccata senza tubi distinti è simile a nessuna crittografia Wi-Fi, ma HTTPS . Quindi l'ufficio postale non sa cosa stai scrivendo e leggendo, ed Eve (che è fuori dalla stanza chiusa, ma può vedere le tue lettere mentre escono dalla stanza) può raccogliere o copiare i tuoi messaggi ma non può capirli. Va tutto bene, vero? Beh no. Bob, Eve e altre persone (sia all'interno che all'esterno della rete) possono ancora vedere con chi stai parlando.

4) Se il sistema prevede una stanza chiusa con tubi distinti e cartoline crittografate, è simile a crittografia Wi-Fi + HTTPS , il che è piuttosto carino. Nessuno sa di cosa stai parlando e solo l'ufficio postale sa con chi stai parlando.

TL; DR. HTTP su Wi-Fi protetto da password consente tu e il proprietario del punto di accesso per leggere il tuo traffico, anche se altre persone sulla stessa rete non possono.

HTTPS su Wi-Fi protetto da password significa che solo tu puoi leggere il tuo traffico e solo il proprietario del punto di accesso sa quali siti web stai visitando.

Per inciso, se non vuoi che il proprietario dell'AP sappia quali siti web stai visitando, dovresti utilizzare altre soluzioni, incluse VPN e Tor.

Il fatto che il tuo wifi sia protetto da WPA2 significa solo che i segnali inviati via etere dal tuo computer al router sono criptati, nient'altro. Da lì in poi (dal router all'hop successivo del tuo ISP e poi eventualmente al server web che serve la tua richiesta) il traffico non è crittografato.
https, tuttavia, fornisce la crittografia end-to-end. Un'estremità è il tuo browser (dalla tua parte), l'altra estremità è il server web che serve la richiesta. End-to-end significa che nessuna entità tra queste 2 estremità può vedere il testo normale. Controlla un sito Web https arbitrario e vedrai: Wireshark non può vedere nulla perché WireShark ascolta sull'interfaccia di rete e ottiene i dati solo dopo che il browser li ha già crittografati. D'altra parte, WPA2 non è end-to-end. Il dispositivo di rete gestisce la crittografia (e Wireshark intercetta i dati prima che lo faccia il dispositivo). Ecco perché puoi vedere i dati di testo in chiaro.
Un punto importante da sottolineare qui è che quello che puoi fare sul tuo computer tutti possono farlo su ogni router Internet che ottiene i dati tra il tuo router wifi e il server web. Pertanto, considera WPA2 come un mezzo per proteggere la privacy della parte trasmessa via etere della tua rete domestica. Se desideri la riservatezza della comunicazione che passa su Internet, i protocolli di crittografia end-to-end (come https) sono il metodo di scelta.

Ci sono molte idee in circolazione qui, con vari gradi di imprecisione.

WPAx crittografa il traffico over-the-air, tra il tuo dispositivo e il tuo punto di accesso wireless (AP) e da nessun'altra parte (incluso il router).

Anche se hai un solo dispositivo che chiami "router" o "modem", in realtà (tipicamente) hai 4 dispositivi. Sono tutti semplicemente incorporati nella stessa scatola per comodità e per semplificare la configurazione della rete per gli utenti domestici. Sulle mie reti, letteralmente tutti questi sono dispositivi fisicamente separati.

Hai:

• Un modem: tipicamente cavo o DSL, che collega i pacchetti Ethernet da la tua rete domestica su Internet
• Un router: questo instrada pacchetti tra reti diverse e generalmente ha funzionalità firewall per la sicurezza
• Uno switch Ethernet: tutto ciò che è connesso a un interruttore è sulla stessa rete locale (LAN)
• Un punto di accesso wireless (AP): questo è ciò a cui si connettono i tuoi dispositivi wireless

WPAx solo crittografa i pacchetti tra i tuoi dispositivi e l'AP.

L'AP decrittografa i pacchetti, li trasforma in normali vecchi pacchetti Ethernet e li inoltra allo switch. Qualsiasi altra cosa collegata a quello switch potrebbe potenzialmente leggere i tuoi pacchetti in testo normale.

Il tuo router è anche connesso allo switch e il modem è collegato al router o al switch.

Il percorso del traffico ha questo aspetto:

  [dispositivo ----- AP] ---- switch ---- router ---- modem -> Internet WPAx | | computer, stampante?  

WPAx è un protocollo di sicurezza solo wireless. Fa parte del percorso tra i tuoi dispositivi e il tuo punto di accesso. Se hai un computer collegato allo switch con un cavo, quel computer potrebbe vedere il tuo traffico "wireless" non crittografato e, allo stesso modo, anche tutti i pacchetti in uscita su Internet tramite il router e il modem non sono crittografati.

La crittografia WPA2-PSK serve a proteggere l'emissione radio wireless tra la scheda wireless del PC e il router Wifi. Il payload (dati) trasferito tra il client del PC (ad es. Browser web) e il server remoto può essere crittografato (SSL, ecc.) O meno: questo è un altro livello. Senza WPA2-PSK chiunque a distanza ravvicinata (~ 50 metri) può spiare tutto il tuo traffico. Per un semplice confronto immagina che il Wifi con WPA2-PSK sia un cavo enthernet che entra in casa tua dove le persone esterne non hanno accesso e senza WPA2-PSK lo stesso cavo sta attraversando un luogo pubblico (strada, tetto, ecc.)

Sebbene esista una cosa chiamata "protocollo Internet", non esiste un unico protocollo che componga Internet. Piuttosto, Internet è composta da molti protocolli diversi, molti dei quali vengono utilizzati insieme in qualsiasi momento per formare quello che viene chiamato un stack”.

Il livello più basso nello stack è chiamato livello di collegamento e gestisce la questione di come ottenere un segnale tra due macchine che sono direttamente connesse in qualche modo. Ethernet è un esempio di protocollo a livello di collegamento. Così è Wi-Fi, e così è PPP (utilizzato soprattutto dai modem, ma anche DSL e telefoni cellulari lo usano dietro le quinte).

Il livello successivo è chiamato livello Internet , e gestisce la questione di come ottenere un segnale tra due macchine che non sono collegate direttamente, utilizzando una serie di macchine che lo sono. IP (il "protocollo Internet" di cui ho parlato sopra) vive qui. Nota che il livello di collegamento non deve sapere o preoccuparsi di come le macchine sono connesse: è teoricamente possibile che i tuoi dati possano passare attraverso Wi-Fi, Ethernet, PPP e altri tipi di collegamenti esotici sulla strada per la sua destinazione, e non farà alcuna differenza.

Sopra questo c'è il livello di trasporto , che prende il segnale e lo trasforma in dati significativi di qualche tipo . TCP, che raccoglie questi segnali e li trasforma in "connessioni" più durature, vive qui. Così fa UDP, che è meno preoccupato per le connessioni e si limita a mandare avanti e indietro bit di dati. così come molte altre cose.

Per ultimo arriva il livello dell'applicazione , dove i dati dal livello di trasporto vengono interpretati per scopi particolari. L'HTTP vive qui, così come i vari protocolli di messaggistica, la maggior parte dei protocolli di gioco e la maggior parte delle altre cose a cui tendiamo a pensare quando pensiamo a Internet.

Il motivo per cui tutto quanto sopra è importante è che la crittografia del traffico Web interessa solo i livelli al o al di sotto del livello in cui avviene la crittografia . WPA protegge il Wi-Fi, che è un protocollo a livello di collegamento: il traffico è effettivamente crittografato, ma solo tra le due macchine che sono direttamente connesse, perché è così che funzionano i protocolli a livello di collegamento. Wireshark vede il testo in chiaro perché quando arriva il traffico, è già stato decrittografato .

Per impedire a Wireshark di rilevare i contenuti di una connessione, devi crittografarlo in un livello più alto rispetto a quello in cui funziona Wireshark, in modo che non sia stato decrittografato nel momento in cui Wireshark lo vede . Questo è lo scopo di SSL / TLS. Funziona a livello dell'applicazione (sebbene agisca come un altro livello di trasporto, da cui il nome "Transport Layer Security"), quindi se esegui Wireshark su di esso, vedrà il testo crittografato. In realtà ci sono modi per aggirare il problema con Wireshark, ma implicano un'alterazione fondamentale della connessione in modo che Wireshark possa agire come un uomo di mezzo. Non è qualcosa che puoi fare a meno che tu non conosca già le chiavi di crittografia che la connessione utilizzerà.