[uylug-varios] Interceptar SSL
Eduardo Trápani
etrapani at gmail.com
Fri Jun 9 13:04:43 PDT 2017
> "un proveedor de Internet puede hacerlo para aplicar tarifas
> diferenciales según si el tráfico es voz o texto?
> Nooo, ni ahí. Es bastante costoso en términos de recursos"
>
> excepto que alguien te esté pagando por espiar, o descontando impuestos,
> que es lo mismo
Sí, justamente. Para separar voz de texto no. Eso decía.
Lo de espiar, a mí lo que más preocupa de esos sistemas cerrados (sea
"Android", entre comillas porque es más lo privativo que lo Android, o
sea iOS) es que cuando vienen las actualizaciones, te podrían poner
cualquier cosa adentro, incluído algo tan "inofensivo" como una nueva CA
raíz.
Creo que era en la serie Mr Robot (está buenísima), los tipos primero se
arman una celda celular trucha y después desde ahí mandan
actualizaciones. Un root remoto, genial.
Bueno, si mañana le digo a LataYPiolín, una telefónica que opera donde
tengo un sospechoso, que por favor me agregue un CA en una actualización
... tal vez lo hagan. Porque de hecho el espionaje después puede ser
selectivo, aunque todos tengamos una CA raíz que se "porte mal" en
nuestra lista, como ya todos tuvimos varias veces, el único problema es
si efectivamente intentan atacarte a vos. El resto puede vivir con esos
bytes adicionales sin problema.
> mi conclusión: el 99% del tráfico es transparente para gobiernos,t
> elcos, grandes empresas, etcétera
Nooo. Hoy no. Ni siquiera para China, mirá lo que te digo. El otro día
creo que puse este enlace, sobre cómo el pasaje a https había
"descensurado" algunos artículos[0].
Eso en los grandes números. Ahora, si se les antoja seguirte a vos en
persona ... yo calculo que con muy poquito se pueden meter, por lo menos
en el teléfono inteligente, que es por lo lejos lo más vulnerable con lo
que uno anda.
Y digo vulnerable no solamente por los backdoors[1], el software
original[2] o las actualizaciones[3]. Digo porque si alguien lo tiene
físicamente en su poder, por cinco minutos, puede hacerle lo que quiera.
Aunque hoy día probablemente sea más viable hacerte "agarrar" algo via
ingenería social y alguna trampita.
[0]
https://news.slashdot.org/story/17/05/29/1547215/wikipedias-switch-to-https-has-successfully-fought-government-censorship
[1]
https://www.fsf.org/blogs/community/replicant-developers-find-and-close-samsung-galaxy-backdoor
[2]
http://www.securityweek.com/enterprises-infected-pre-installed-android-malware
[3]
http://www.securityweek.com/over-air-update-mechanism-exposes-millions-android-devices
More information about the Uylug-varios
mailing list