BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Identificación de usuarios en CGNAT

BocaDePez
BocaDePez

Pongamos un caso hipotético.

Yo llego aquí a bandaancha y me cago en los muertos de alguien, junto a sus datos y una foto de su hermana. Ese alguien me denuncia. La Guardia Civil (o quien sea, que no lo sé) le dice a Mr. Joshua con una orden judicial: "dame la IP de este mensaje". Y Mr. Joshua la da.

Luego llega la Guardia Civil y le dice a Telefónica (por ejemplo): "¿quién tenía esta IP este día a esta hora?". Telefónica mira los logs del servidor de DHCP, los casa con el cliente, que soy yo, y me veo metido en un lío.

Yo creo que funciona así, si alguien ve algún fallo, que me corrija.

Hasta ahí bien.

Pero si esa IP está detrás de un CGNAT (como cualquier operador móvil), ¿cómo me identifican? Pongamos que hay 100 usuarios reales tras esa IP pública. Dudo que el operador guarde logs de todas y cada una de las conexiones dentro del CGNAT ("desde 10.10.2.52 el 2/2/2016 a las 21:38 se abrió conexión a [ip de bandaancha] puerto 443"), ¿no?

Entiendo que hay otras maneras de ver eso. Por ejemplo, si me tienen pinchadas las comunicaciones de antes, pues podrán saberlo. Por otra parte, si tengo alguna relación con el "insultado", se podrán oler que soy yo... Pero no lo podrían demostrar, así es que no valdría como prueba. También podrían ver el User-Agent, ya que en el caso de los móviles suele venir el modelo completo... Pero claro, tampoco es una prueba definitiva. Una cookie sí lo sería (este mensaje se escribió desde este ID de sesión en la web, y en el móvil tienes guardada la cookie correspondiente), pero entendamos que el "agresor" tiene conocimientos y no le van a pasar estas cosas.

Lo estoy escribiendo y me estoy dando cuenta de que este parece el típico mensaje de "esta información no es para mí, es para un amigo" :stuck_out_tongue_closed_eyes:

BocaDePez
BocaDePez

Mira la LSSI, el resumen es que te pillan.

🗨️ 4
BocaDePez
BocaDePez

¿Y la LSSI qué dice? Cuando yo entro a bandaancha, ¿qué datos guardan de mí? Si tengo conocimientos el único dato útil que la web puede obtener de mí es la dirección IP.

🗨️ 3
pepejil

En un servidor web, los únicos datos que puede guardar de un usuario anónimo (Sin una cuenta en una web) son: IP, recurso a la que ha accedido y el user-agent del navegador por la que accedes. Nada más.

🗨️ 2
BocaDePez
BocaDePez

Eso ya lo sé, por eso pregunto qué poderes mágicos tiene la LSSI al respecto...

🗨️ 1
pepejil
BocaDePez
BocaDePez

Respondiendo a tu duda ... los operadores de móviles SI GUARDAN log de todas las conexiones que se hacen tras el NAT (que no siempre es un NAT) de los móviles, porque en la mayoría de los casos pasas por un proxy transparente.

🗨️ 7
BocaDePez
BocaDePez

Un proxy transparente no funciona bajo HTTPS.

🗨️ 6
BocaDePez
BocaDePez

Si que se puede, solo tienes que buscar en google y encontraras tutoriales a patadas de como configurar un proxy transparente HTTPS, además para 'pillar' la URL no hace falta mucha cosa, no estamos hablando de que hagan proxing de todo ... podrían incluso simplemente revisar los logs de el DNS y listo. ¿o tu cambias los parámetros de DNS de una conexión de móvil? ... incluso aunque lo cambiaras, se puede hacer un port-redirect y listo.

🗨️ 5
BocaDePez
BocaDePez

Lo primero, un proxy transparente no puede funcionar bajo HTTPS. HTTPS sirve para que, bajo ningún concepto, nadie pueda ponerse en medio de la conexión entre tu equipo y el equipo remoto.

Lo segundo, que yo haya pedido la dirección IP de "bandaancha.eu" no me convierte automáticamente en el usuario que ha dejado ese mensaje.

🗨️ 4
pepejil
🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
pepejil
pepejil

Pero si esa IP está detrás de un CGNAT (como cualquier operador móvil), ¿cómo me identifican? Pongamos que hay 100 usuarios reales tras esa IP pública. Dudo que el operador guarde logs de todas y cada una de las conexiones dentro del CGNAT ("desde 10.10.2.52 el 2/2/2016 a las 21:38 se abrió conexión a [ip de bandaancha] puerto 443"), ¿no?

La pregunta es, ¿Por qué crees que no hacen ese registro? ¿Una ISP que tiene millones de euros en infraestructura de red, no va a ser capaz de tener almacenamiento para guardar los logs que se genera del tráfico de sus clientes?

Si los logs del servidor web a la que ha accedido el usuario y el log de conexiones del CGNAT del operador están sincronizados en fecha y hora, la operadora te puede identificar. Por otro lado te va a dar igual que la web sea HTTP o HTTPS. Una cosa es que el contenido de ese paquete esté cifrado y otra cosa es que la CGNAT pueda saber hacia donde iba destinado ese paquete (En ese caso, la web de bandaancha).

El único problema es que pudiera darse el caso de que dos usuarios entren a la vez a bandaancha, a la misma hora y al mismo segundo y que casualmente salgan por el mismo gateway del CGNAT y coincidan en el user-agent.

🗨️ 2
BocaDePez
BocaDePez

Puede ser que guarden todos los registros, claro. No digo que no. Sólo que se generará una cantidad de registros inmensa, y me parece irreal que los almacenen. Piensa en la cantidad de conexiones que puede hacer tu ordenador a lo largo de una hora, multiplicado por cientos de miles de clientes de la operadora.

🗨️ 1
pepejil

Estás hablando de ISPs, que tienen millones de euros para comprar discos duros. Si pueden hacerlo, lo harán. Además la compresión de datos está inventado y siendo los log todo texto, con comprimirlos en zip o 7z, no ocupan ni el 20% del tamaño original.

Además me he topado con esto y no sé si sigue vigente, pero obliga(ban) a las ISP a conservar los datos para investigaciones durante un tiempo: boe.es/buscar/doc.php?id=BOE-A-2007-18243

mceds

Luego llega la Guardia Civil y le dice a Telefónica (por ejemplo): "¿quién tenía esta IP este día a esta hora?". Telefónica mira los logs del servidor de DHCP, los casa con el cliente, que soy yo, y me veo metido en un lío.

Yo creo que funciona así, si alguien ve algún fallo, que me corrija.

Pues exactamente igual, ¿dónde ves el problema? Telefónica mira los logs del servidor DHCP (o similar) que use para asignar IP locales a todos los que están tras un CGNAT, ve anotado un número de teléfono y lo casa con el cliente.

🗨️ 1
BocaDePez
BocaDePez

Claro, pero bandaancha sólo ve mi IP pública, y dicha IP corresponde a varios clientes en un mismo momento...

BocaDePez
BocaDePez

Piensa que existen empresas anunciantes de cuestionable reputación tipo Taptofun que, después de que hayas hecho click sin querer en uno de sus anuncios con el navegador del móvil (no con una app aparte), te hacen un cargo sorpresa en la factura de tu operador.