[uylug-varios] Interceptar SSL

[Eduardo Trápani]

On 09/06/17 14:25, Carlos M. Martinez wrote:
> El escenario de SSL Intercept en el mundo empresarial está bien claro.
> En el post original en realidad estábamos hablando del mundo operador,
> donde vos no podes hacer que los PCs de tus usuarios confíen en CAs
> arbitrarias.

Entonces la cita al software que vos ponías que "prometía" descrifrar
SSL no tenía mucho que ver ya que la condición necesaria para usarlo es
hacerte confiar en una CA arbitraria.

Pero de todos modos yo sí estaba hablando del mundo operador. Por eso
ponía el ejemplo del software que HP distribuía con sus equipos y
mencionaba explícitamente los celulares y las tablets.

Pero por ahí no era tan obvio y había que leer un poco entre línea. A
ver así: muchos de los equipos celulares son vendidos con software
privativo de las telefónicas y con modificaciones privativas al Android
original que ellas mismos realizan, sobre las cuales el usuario no tiene
control ni auditoría. Entre esas modificaciones, fácilmente, como ya
documenté, se puede agregar un certificado raíz, por diseño o error.
Ergo, el mismo agente tiene el "root" del equipo y tiene control del
enlace. Ahora quedó más claro me parece, espero. Esa conjunción es la
que te pone en más riesgo.