[uylug-varios] "HTTPS Inspection" ¿es ético?

Tue May 1 13:52:41 PDT 2012

	http://www.wired.com/threatlevel/2010/03/packet-forensics/

"At a recent wiretapping convention, however, security researcher Chris Soghoian discovered that a small company was marketing internet spying boxes to the feds. The boxes were designed to intercept those communications — without breaking the encryption — by using forged security certificates, instead of the real ones that websites use to verify secure connections."

"To use the Packet Forensics box, a law enforcement or intelligence agency would have to install it inside an ISP, and persuade one of the Certificate Authorities — using money, blackmail or legal process — to issue a fake certificate for the targeted website. Then they could capture your username and password, and be able to see whatever transactions you make online."

	Para los Chinos poner las cajas en un ISP y comprar un certificado falso a una de las CAs que vienen metidas en los navegadores debe ser bastante fácil.

http://www.hrichina.org/crf/article/3256

Slds
as

On 1 May 2012, at 17:40, etrapani wrote:

>>>> Esto se hace en Irán y en China rutinariamente.
>>> 
>>> No entiendo.  Para hacerlo necesitás tener una CA local y además confiar en ella.  A nivel intranet puede ser, pero a nivel país ... ¿estás seguro de que eso lo que están implementando?
>>> 
>>> Suena a confusión ... (con todas las otras chanchadas que sí hacen, como rapto de DNS, en EEUU también, filtrado de HTTP, ajuste de tráfico, ...)
> 
>> Lo hicieron con los root certificates que robaron de DigiNotar. Y
> 
> Ta, esa es una instancia *puntual*.  No le veo lo *rutinario*.  Y tu ejemplo me habla de algo a nivel país, no a nivel de empresas.  Obviamente a nivel empresas va a ser más y más frecuente de nuestro lado del planeta también si el software mencionado se vuelve más popular.
> 
>> hacen MITM regularmente o directamente filtran el ssl.
> 
> Decís que lo hacen "regularmente".  Sencillamente no te lo puedo creer, pero estoy abierto a demostración (no con un caso puntual, de repente sí con tres o cuatro).  Sugerir que alguien puede hacer eso regularmente a escala país es medio exagerado, por decirlo con cuidado, a mi modo de ver.  Exagerado porque hace que TLS sea un chiste.
> 
> Filtrar TLS, eso es harina de otro costal, suponiendo que querés decir "bloquear TLS".  Eso no tiene nada que ver con HTTPS inspection ni con MITM, que era el tópico.
> 
> Eduardo.
> 
> PD: por si no queda claro, "salto" porque ese pequeño adjetivo "rutinario" es para mí gratuitamente sensacionalista (acepto pruebas y ofrezco retractación si llega a ser necesario) y le da a los países mencionados algún tipo de "superpoderes" (que concuerdan con lo "supervillanos" que son en términos de internet) que les permite *regularmente* hacer MITM sobre *la* manera de acceder la web de modo seguro.  Me resisto a aceptar eso sin evidencia, a aceptar que TLS sea tan frágil como para embaucar países enteros, rutinariamente.
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20120501/bceb3b19/attachment-0002.htm>