Domanda stupida, lo so, ma non l’ho vista già fatta. Se utilizzo nord vpn, nord potrebbe teoricamente decrittare il mio traffico e vederlo. Quando uso AWS per creare una VPN sulla rete open VPN, chi può decrittare i miei dati? Amazon?
Se è Amazon, mi sembra sospetto che una delle grandi aziende da cui stai cercando di tenere a distanza le tue informazioni sia quella che ha la chiave.
Comunque, grazie per la spiegazione.
Se utilizzo nord vpn, nord potrebbe teoricamente decrittare il mio traffico e vederlo.
Perché credi questo? Se il tuo traffico passa tramite SSL/TLS, la tua VPN non ha magicamente la chiave privata del server finale e la capacità di decrittare.
Sembra che tu possa non comprendere appieno come funzionano le VPN o la crittografia di rete.
Dipende interamente da quale certificato usi per crittografare il traffico…
Puoi sfruttare ACM a cui teoricamente AWS avrebbe accesso - ma qualsiasi entità AWS che accede ai certificati privati nel tuo account sarebbe catastrofica per il loro modello di business…
Puoi comunque sfruttare ACM e usarlo solo per memorizzare il tuo certificato, che comporta gli stessi rischi, oppure potresti estrarre il certificato da un’altra posizione che controlli - se sei così preoccupato, sarebbe la soluzione più ideale…
A meno che tu non stia rischiando qualche spionaggio o qualcosa di incredibilmente illegale, stai esagerando…
Facciamo un ripasso su come funzionano le VPN.
Una connessione VPN instrada tutto il tuo traffico internet tramite il server VPN e cripta solo il traffico tra la tua macchina client e il servizio VPN stesso. Quindi, in un certo senso, il fornitore VPN DEVE decrittare il tuo traffico affinché funzioni. Maschera anche il tuo indirizzo IP VPN dietro l’indirizzo IP del servizio VPN.
Dal punto di vista della privacy, questo fa sembrare che tu stia navigando sul web (o quel che stai facendo) direttamente sulla rete dei fornitori VPN. Quindi è impossibile per chiunque tra te e il fornitore VPN (ad es. il tuo ISP) vedere cosa stai facendo, e significa che i siti web che visiti vedono il fornitore VPN invece della tua rete domestica come sorgente del traffico. Ma il fornitore VPN ha visibilità diretta su tutto ciò che fai sulla loro rete, se sceglie di guardare.
Per quanto riguarda se stai meglio con Nord VPN o un servizio self-hosted su AWS: Entrambe le aziende hanno un interesse esplicito a non spiarti, perché comprometterebbe il loro modello di business, e anche per altre ragioni…
Tuttavia, mettendo il cappello del paranoico, sarei incline a fidarmi di più di AWS rispetto a qualsiasi fornitore VPN dedicato per due motivi:
Quando uso AWS per creare una VPN sulla rete open VPN, chi può decrittare i miei dati? Amazon?
A un certo punto i tuoi dati diventano decrittati e attraverseranno la rete di AWS. O internamente in una VPC o tramite egress. Vedranno il tuo traffico con o senza la chiave. La domanda è se gli interessa? Nessuno in AWS è seduto lì a leggere ogni pacchetto che stai inviando. Ma stanno cercando comportamenti anomali poiché devono proteggere la loro rete per proteggere se stessi e altri clienti. Cerca “modello di responsabilità condivisa”
Se è Amazon, mi sembra sospetto che una delle grandi aziende da cui stai cercando di tenere a distanza le tue informazioni sia quella che ha la chiave.
Nessuno dalla parte di Amazon ha alcuna visione o accesso a ciò che sta accadendo in una VPC AWS di un cliente. E perché ti interesserebbe se Amazon ha le tue informazioni o meno?
No, neanche lontanamente. Ma era mia comprensione che una VPN potesse teoricamente decrittare il tuo traffico se volesse. È errato?
No, niente di tutto ciò. Ho solo frainteso come funziona una VPN.
Questo è un post meraviglioso. Grazie. Hai esattamente valutato il mio livello di ignoranza sull’argomento e mi hai portato a un punto in cui mi sento abbastanza informato per decidere come procedere. Ti voterei ancora di più se potessi. 
Grazie. Per quanto riguarda il perché mi importa se Amazon ha le mie informazioni, il fatto che le abitudini di navigazione personale non siano in mano a grandi corporazioni mi sembra una richiesta di privacy piuttosto ragionevole. Lol può un uomo voler che la sua “scheda privata” sia ragionevolmente privata senza necessità di ulteriori giustificazioni?
Sono sicuro che tutti noi ricordiamo la pubblicità mirata di articoli per bambini a una teenager incinta prima che il padre lo sapesse. Penso che possa essere difficile sapere cosa si desidera mantenere privato, o perché, o da chi fino a quando quelle informazioni sono state usate in un modo che non ti aspettavi.
#/u/spez può leccarmi i coglioni
La domanda è cosa vuoi esattamente nascondere. Se ti connetti tramite https (come dovresti), allora il fornitore di servizi non può vedere i dati che trasmetti indipendentemente dal fatto che tu usi VPN o meno. Questo è il punto cruciale di SSL
Detto ciò, il fornitore di servizi può vedere dove ti sei connesso - cioè, se si trattasse di chiamate telefoniche: vedono quando hai effettuato una chiamata e quale numero hai composto, ma non sanno di cosa stavi parlando.
Ora, se usi la VPN per connetterti alla rete di Amazon, allora interrompi la crittografia lì e stabilisci una connessione ordinaria con il mondo esterno - allora Amazon potrebbe davvero vedere dove ti sei connesso. Ma finché usi https, non saprebbero cosa trasmetti.
Sì, hai torto. C’è più sfumature da esplorare, ma per i fini della tua domanda, un fornitore VPN non può decrittare il traffico crittografato.
Quando invii traffico web, ci sono dati e intestazioni (pacchetti che contengono dati) le intestazioni vengono decrittografate altrimenti non sapranno dove inviare il tuo traffico. I tuoi dati, tuttavia, rimangono crittografati in transito e vengono decrittografati quando raggiungono il server web.
La pubblicità mirata, ecc. è dovuta alla ricerca di parole chiave di Google, annunci di terze parti nelle pagine web, dns e tracciamento… un sacco di cose. Questa è la parte spaventosa e avviene nel tuo browser, non nei centri dati AWS che decrittano i tuoi dati per vedere cosa stai navigando (è così dispendioso in termini di energia e non in tempo reale).
Quindi, ad esempio, se visiti Salesforce Platform for Application Development | Salesforce US (http è aperto ma https è crittografato *)
Le terze parti nella rete possono vedere che sei andato su site.com. Solo il tuo browser e il server finale sanno che hai visitato /me/about.html.
Ovviamente sto parlando in una configurazione normale dove non hai ispezione ssl o traffico proxy.
Spero che questo aiuti.
sembra che non sai come funzionano le VPN e ottieni le tue notizie tecnologiche da MSNBC
La VPN ti dà la possibilità di accedere a una rete privata o cambiare posizione (puoi anche aggiungere un firewall di rete se vuoi).
Ciò che ti aspetti è privacy, che è quasi impossibile avere considerando che tutto utilizza cookie, tracker, ecc. per tenerti traccia e mostrarti annunci rilevanti ecc.
Cosa farebbero esattamente quelle scatole NSA?
Sono abbastanza sicuro che se l’NSA volesse spiare, avrebbe il suo spyware installato nel software di gestione che gli impiegati di AWS usano, oppure accesso diretto al software - che AWS sia a conoscenza o meno, sembra più logico che (al massimo) passare attraverso petabyte di traffico legittimo per trovare ciò che stanno cercando.
HTTPS consentirà comunque molte analisi del traffico, come la richiesta DNS non crittografata, dove e quanto traffico sta andando al server.
Ok, quindi se tutto ciò che voglio fare è scaricare il nuovo film Fast and Furious, ad esempio, e utilizzo la mia VPN AWS, e il sito che sto visitando è https, allora il mio ISP non saprà cosa ho scaricato, Amazon non può o non vorrà guardare e il sito web avrà solo un indirizzo IP che non è il mio, giusto?
In HTTPS (HTTP su TLS) le intestazioni HTTP si trovano nella parte crittografata dei pacchetti TLS. A meno che l’osservatore non cracchi la chiave di sessione, non può vedere le intestazioni.
SNI (Server Name Indication) è diverso. Durante la stretta di mano TLS, il nome di dominio a cui ti connetti viene condiviso in chiaro. Quindi l’osservatore sarà in grado di sapere che hai visitato thepiratebay DOT com o un altro dominio il cui semplice accesso rivelerebbe più di quanto desideri.