[uylug-varios] Interceptar SSL
Carlos M. Martinez
carlosmarcelomartinez at gmail.com
Fri Jun 9 12:27:19 PDT 2017
Por algo arranque diciendo que este mundo de la intercepción de
tráfico a nivel de carrier es turbio. Y la pregunta original era si
podíamos estar tranquilos con el cifrado de WA. Mi respuesta fue “me
encantaría poderles decir que si, pero no estoy seguro”.
Hay equipos y software que no se venden o promocionan por Internet. El
de HackingTeam es uno. Hay otras cosas, como el secuestro de CAs como
pasó en el caso de DigiNotar, y más recientemente con las acciones de
la CA china de CNNIC [3], [4].
Es turbio, muy turbio. Acá cobra mucho valor el rol de los contrapesos
institucionales, ya sea poderes judiciales independientes, organismos de
defensa del consumidor, organizaciones de la sociedad civil como la EFF
o APC. Claro que si estás en un lugar donde estas cosa no existen,
estas re-contra en el horno [1], [2]
[1]
https://www.theguardian.com/technology/2011/aug/30/faked-web-certificate-iran-dissidents
[2]
https://www.eff.org/deeplinks/2011/09/post-mortem-iranian-diginotar-attack
[3]
https://thenextweb.com/insider/2015/04/02/google-to-drop-chinas-cnnic-root-certificate-authority-after-trust-breach/#.tnw_RHjumYDH
[4]
https://blog.mozilla.org/security/2015/03/23/revoking-trust-in-one-cnnic-intermediate-certificate/
S2
Carlos
On 9 Jun 2017, at 15:38, Eduardo Trápani wrote:
> On 09/06/17 14:25, Carlos M. Martinez wrote:
>> El escenario de SSL Intercept en el mundo empresarial está bien
>> claro.
>> En el post original en realidad estábamos hablando del mundo
>> operador,
>> donde vos no podes hacer que los PCs de tus usuarios confíen en CAs
>> arbitrarias.
>
> Entonces la cita al software que vos ponías que "prometía"
> descrifrar
> SSL no tenía mucho que ver ya que la condición necesaria para usarlo
> es
> hacerte confiar en una CA arbitraria.
>
> Pero de todos modos yo sí estaba hablando del mundo operador. Por eso
> ponía el ejemplo del software que HP distribuía con sus equipos y
> mencionaba explícitamente los celulares y las tablets.
>
> Pero por ahí no era tan obvio y había que leer un poco entre línea.
> A
> ver así: muchos de los equipos celulares son vendidos con software
> privativo de las telefónicas y con modificaciones privativas al
> Android
> original que ellas mismos realizan, sobre las cuales el usuario no
> tiene
> control ni auditoría. Entre esas modificaciones, fácilmente, como ya
> documenté, se puede agregar un certificado raíz, por diseño o
> error.
> Ergo, el mismo agente tiene el "root" del equipo y tiene control del
> enlace. Ahora quedó más claro me parece, espero. Esa conjunción es
> la
> que te pone en más riesgo.
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
More information about the Uylug-varios
mailing list