[uylug-varios] "HTTPS Inspection" ¿es ético?

[etrapani]

>  Para los Chinos poner las cajas en un ISP y comprar un certificado
> falso a una de las CAs que vienen metidas en los navegadores debe ser
> bastante fácil.

Hermoso.  Supongo que sí, que es trivialmente fácil.  También para los 
franceses[1] o para los catalanes[2] ...

Qué cosa que se hayan tomado entonces el trabajo de usar el certificado 
robado de Diginotar para hacer el único MITM de alcance global para un 
país, en el último año ...  Yo ni me hubiera gastado, con decenas de CA 
disponibles, algunas del propio gobierno, otras de gobiernos amigos.

Y bueno, la conclusión a la que llego, si ya se lo están ofreciendo las 
cajitas al gobierno federal de EEUU y teniendo en cuenta tu mensaje, es 
que TLS va a servir de bien poco en el futuro cercano.  No sé si era tu 
objetivo, pero es lo que queda flotando.

Ahora, por la posición en el hilo de tu mensaje, el que sea posible, o 
siquiera el que sea fácil, no implica que se esté haciendo.  Cuando las 
telefónicas empezaron a perder plata por las llamadas internacionales, 
se decía que iban a bloquear SIP, es trivial hacerlo.  Y acá estamos, ya 
sabemos el final de esa historia (y sí, sí, alguna lo hizo).

Si igual tomo tu impresión y la opinión de Carlos de que esto es tan 
fácil que *debe* estarse haciendo, seamos serios, por qué seguir 
diciendo ¡"China e Irán"!, ¡oo malditos destructores de la libertad en 
internet! (nótese la falta de entrecomillado :)) cuando sabemos que 
CALEA[3] es de EEUU (lo que fuerza a los fabricantes a incluirlo en 
hardware), que DCSNET[4] también ...  y tenemos buena parte del tráfico 
mundial pasando por ahí.  Claro, ahí dice claramente que se necesita una 
orden, como la (inexistente) que les permitió secuestrar el dominio 
rojadirecta.com (¿pagarán las renovaciones? porque hace un rato ya).

O sea, además de sensacionalista y sin pruebas, la frase "China e Irán 
lo hacen rutinariamente" ataca a los sospechosos de siempre.  No sé 
hasta cuándo nos van a vender "ejes del mal" tan bien que salimos a 
repetirlos.  Unos censuran, horror, y otros espían, no es tan grave.  
Pero este hilo era sobre "espiar".

La frase "China e Irán ..." me parece tan estrechamente ligada a la 
visión dominante, que me choca profundamente, porque niega lo más obvio, 
lo de [3][4] y podría seguir hasta [100].  Tu artículo deja claro que es 
al gobierno federal de EEUU a quienes le ofrecen la cajita.  Y el 
software en cuestión es de Microsoft.  Y, si me preguntan, para cuando 
aparece en Wired es probable que ya haya alguno en producción 
(suposición mía, nadie está libre ;)).  ¿Por qué seguir dándosela a los 
mismos de siempre?  ¿No parece todo apuntar a otra región del planeta?

A propósito, gracias, está bueno el artículo de hrichina.org.

Eduardo.

[1] 
https://www.mozilla.org/projects/security/certs/included/#Government%20of%20France
[2] https://www.mozilla.org/projects/security/certs/included/#CATCert
[3] http://transition.fcc.gov/calea/
[4] http://www.wired.com/politics/security/news/2007/08/wiretap