[uylug-varios] Interceptar SSL

Carlos M. Martinez carlosmarcelomartinez at gmail.com
Fri Jun 9 12:27:19 PDT 2017 

Por algo arranque diciendo que este mundo de la intercepción de 
tráfico a nivel de carrier es turbio. Y la pregunta original era si 
podíamos estar tranquilos con el cifrado de WA. Mi respuesta fue “me 
encantaría poderles decir que si, pero no estoy seguro”.

Hay equipos y software que no se venden o promocionan por Internet. El 
de HackingTeam es uno. Hay otras cosas, como el secuestro de CAs como 
pasó en el caso de DigiNotar, y más recientemente con las acciones de 
la CA china de CNNIC [3], [4].

Es turbio, muy turbio. Acá cobra mucho valor el rol de los contrapesos 
institucionales, ya sea poderes judiciales independientes, organismos de 
defensa del consumidor, organizaciones de la sociedad civil como la EFF 
o APC. Claro que si estás en un lugar donde estas cosa no existen, 
estas re-contra en el horno [1], [2]

[1] 
https://www.theguardian.com/technology/2011/aug/30/faked-web-certificate-iran-dissidents
[2] 
https://www.eff.org/deeplinks/2011/09/post-mortem-iranian-diginotar-attack
[3] 
https://thenextweb.com/insider/2015/04/02/google-to-drop-chinas-cnnic-root-certificate-authority-after-trust-breach/#.tnw_RHjumYDH
[4] 
https://blog.mozilla.org/security/2015/03/23/revoking-trust-in-one-cnnic-intermediate-certificate/

S2

Carlos


On 9 Jun 2017, at 15:38, Eduardo Trápani wrote:

> On 09/06/17 14:25, Carlos M. Martinez wrote:
>> El escenario de SSL Intercept en el mundo empresarial está bien 
>> claro.
>> En el post original en realidad estábamos hablando del mundo 
>> operador,
>> donde vos no podes hacer que los PCs de tus usuarios confíen en CAs
>> arbitrarias.
>
> Entonces la cita al software que vos ponías que "prometía" 
> descrifrar
> SSL no tenía mucho que ver ya que la condición necesaria para usarlo 
> es
> hacerte confiar en una CA arbitraria.
>
> Pero de todos modos yo sí estaba hablando del mundo operador. Por eso
> ponía el ejemplo del software que HP distribuía con sus equipos y
> mencionaba explícitamente los celulares y las tablets.
>
> Pero por ahí no era tan obvio y había que leer un poco entre línea. 
> A
> ver así: muchos de los equipos celulares son vendidos con software
> privativo de las telefónicas y con modificaciones privativas al 
> Android
> original que ellas mismos realizan, sobre las cuales el usuario no 
> tiene
> control ni auditoría. Entre esas modificaciones, fácilmente, como ya
> documenté, se puede agregar un certificado raíz, por diseño o 
> error.
> Ergo, el mismo agente tiene el "root" del equipo y tiene control del
> enlace. Ahora quedó más claro me parece, espero. Esa conjunción es 
> la
> que te pone en más riesgo.
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy

More information about the Uylug-varios mailing list