marzo 2011
L	M	X	J	V	S	D
« feb		abr »
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

Realizar búsquedas encriptadas con Google

10 marzo, 2011 lipman 3 comentarios

Desde hace unas semanas, debo ser de las pocas personas que no tenga google.com de página principal en el navegador que uso. En vez de ello, descubrí que Google disponía de un buscador (en fase beta) para realizar búsquedas encriptadas.

La página en cuestión es: https://encrypted.google.com Pero realmente, ¿cual es la diferencia?. Bien, para ello simplemente tenemos que recurrir a un analizador de paquetes como Wireshark, del cual últimamente no paro de usar. Cuando navegamos por la red, normalmente lo hacemos mediante el protocolo HTTP, por lo que escribiendo “http” en el filtro de Wireshark obtendremos todos los paquetes http capturados.

Por aquí la información viaja en texto plano, de forma totalmente insegura, y si a eso le sumamos el estar en una red que no nos pertenece, todavía más inseguridad, es decir, se puede ver exáctamente todo lo que hacemos. Para ello se inventó la capa segura (SSL) a través de la cual, Google ofrece sus servicios.

Veamos una captura de Wireshark navegando por el google normal y corriente:

Como podemos observar, somos capaces de leer sin problemas lo que enviamos para buscar (Nota: lo que buscamos está como fragmentado. Esto es debido a Google Instant, que a cada letra que escribimos la envía para darnos recomendaciones de búsquedas). Pero, hay algo que enviamos a través de la red sin cifrar todavia más grave: las cookies!

Sin embargo, al realizar la búsqueda usando el buscador basado en la capa segura de transporte SSL, para ver los paquetes enviados (eso si, encriptados), podemos escribir en el filtro de Wireshark “ssl”. La única pega que produce navegar mediante este servicio es que tarda más tiempo en cargar la página, como un cuarto de segundo más.

Otra cosa curiosa, que igual no todos saben, es que los navegadores no almacenan el referrer de una página que usa el protocolo seguro. Por ejemplo, supongamos que estoy buscando “ebay” desde mi google con navegación segura. En estos momentos, los paquetes que envío al servidor de Google están cifrados, pero en el momento que entramos en la susodicha página, dejamos de enviar los paquetes a Google, y por tanto, navegaremos de forma insegura, as usually. Sin embargo, la página visitada no puede saber de dónde venimos usando el HTTP_REFERRER (los programadores web sobre todo entenderán esto último).

Conclusión: no cuesta nada ponerse esta versión de google de página principal. Nuestras búsquedas serán seguras y no demora tanto las búsquedas como pueda aparentar.

Saludos, lipman.

Seguridad Google

#1 | Escrito por Juan Miguel hace 11 meses.

Amigo lipman, en primer lugar felicitarte por esta página que, de seguro, me va a aportar muchas cosas. Actualmente no tengo mucho conocimiento de la materia pero estoy deseoso de aprender esa magnífica herramienta de análisis que es WireShark. Echando un vistazo a los filtros de captura y visualización he intentado buscar la sintaxis correcta para, bien desde las opciones de captura o desde la posterior visualización, hacer lo siguiente: quería aplicar filtros a los siguientes host: http://www.google.es y https://www.google.com (conjuntamente) para mostrar primeramente sólo el tráfico HTTP. ¿Qué sería mejor, filtrar en la captura por los puertos o filtrar por los host? ¿Como filtro el host https en captura y en visualización?
Luego quería hacer lo propio pero capturarndo todo el tráfico excepto HTTP y ARP pero también me ha fallado la experiencia. Y para rematar luego queria capturar el tráfico con origen o destino en los puertos 80 y 443. Sé que en el filtro de la captura podría poner algo así como “port 80 and port 443″ ¿pero como le añado al filtro los dos host, en esa misma captura o mejor en la visualización con otro filtro? En fin, para ser mi primera experiencia con esta herramienta tengo muchas dudas que debo pulir, empezando por aplicar bien los operadores lógicos, que me siguen liando. Por favor, algún consejo. Otra cuestión que me gustaría preguntarte es sobre la herramienta, o mejor dicho plugin de IE “IEWatch”, que he escuchado que permite visualizar sin más que visitar una página web, incluso https, el contenido de la misma, pudiendo ver incluso las cookies, ¿pero sobre una página https supongo que sólo se podrá visualizar el contenido no encriptado o me equivoco? Por otro lado Wireshark podría analizar el contenido de los paquetes con origen/destino el puerto 443 -https-?. Como puedes comprobar soy un mar de dudas.
Muchas gracias por todo (espero que mi poca experiencia no provoque muchas risas), y cordiales saludos,
Juan Miguel
#2 | Escrito por lipman hace 11 meses.

Hola, encantado, me llamo como tu por cierto =P.

Empecemos: dices que quieres buscar tráfico de google encriptado y sin encriptar.
Para google sin encriptar, yo pondria en el filtro algo como: http contains “www.google.es” ya que buscas tráfico http que contenga el host http://www.google.es.

Para la versión encriptada.. no puedes hacer esto, porque te viene encriptado el host. Lo que si te viene es la dirección IP, en mi caso me sale que la dirección IP de la versión encriptada de Google es la siguiente: 209.85.227.139. Entonces en este caso, escribiria en el filtro: ip.src==209.85.227.139 || ip.dst==209.85.227.139. Esto quiere decir que filtramos todo el tráfico que tenga como IP de destino o de fuente la de Google encriptado. Se filtra igual cuando estamos capturando que cuando estamos visualizando.

Sigo: para visualizar tráfico HTTP y ARP, en el filtro escribiriamos lo siguiente: http && arp, pero como queremos hacer justo lo contrario, lo negamos, y nos quedaria lo siguiente: !http && !arp.

Para los puertos, tambien es fácil, en el caso de que quisieras visualizar el tráfico que pasa por los puertos 80 y 443 seria: tcp.port==80 && tcp.port==443

Con respecto al IEWatch tengo que mirarlo, te contestaré lo antes que pueda sobre eso.

Volviendo al tema de Wireshark, te doy unos consejos:
-Saberse todos los filtros de memoria es muy dificil, asi que no te preocupes
-Lo más importante es saberse los que solemos usar, que además, por usarlos mucho se nos quedan más fácilmente en la cabeza
-Importante los concatenadores Y, O y negación: &&, || y ! respectivamente
-Cuando quieras igualar o desigualar, se hace con: == y != respectivamente (notese que hay simbolos de operador).

Repito que miraré lo de IEWatch lo antes que pueda y te comento, y si me he dejado algo de responderte repitemelo (creo que no vamos).

Un saludo!!
#3 | Escrito por lipman hace 11 meses.

Ya he mirado por encima el IEWatch y me voy a animar a hacer un post sobre él cuando pueda.

#1 | Pinged by [IEWatch] Analizando tráfico de red con este complemento para Internet Explorer – Delanover hace 9 meses.

[...] través de los comentarios de un tocayo mio, en el post de Realizar búsquedas encriptadas con Google me enteré de la herramienta (más bien complemento) [...]
#2 | Pinged by Seguridad a la hora de crear entradas en Wordpress – Delanover hace 6 meses.

[...] WiFi por los hoteles, o en casa de un pariente. Yo, con lo paranoico que soy que incluso uso la versión encriptada de Google, siempre trato de intentar comprometer lo menos posible mis [...]

Delanover

Entradas recientes

Categorías

Enlaces

Calendario

Realizar búsquedas encriptadas con Google

Dejar un comentario

Delanover

Entradas recientes

Categorías

Enlaces

Calendario

Tags

Realizar búsquedas encriptadas con Google

Dejar un comentario