<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><br></div><div><br></div><div><span class="Apple-tab-span" style="white-space:pre">        </span><a href="http://www.wired.com/threatlevel/2010/03/packet-forensics/">http://www.wired.com/threatlevel/2010/03/packet-forensics/</a></div><div><br></div><div>"At a recent wiretapping convention, however, security researcher Chris Soghoian discovered that a small company was marketing internet spying boxes to the feds. The boxes were designed to intercept those communications — without breaking the encryption — by using forged security certificates, instead of the real ones that websites use to verify secure connections."</div><div><br></div><div>"To use the Packet Forensics box, a law enforcement or intelligence agency would have to install it inside an ISP, and persuade one of the Certificate Authorities — using money, blackmail or legal process — to issue a fake certificate for the targeted website. Then they could capture your username and password, and be able to see whatever transactions you make online."</div><div><br></div><div><span class="Apple-tab-span" style="white-space:pre">        </span>Para los Chinos poner las cajas en un ISP y comprar un certificado falso a una de las CAs que vienen metidas en los navegadores debe ser bastante fácil.</div><div><br></div><div><a href="http://www.hrichina.org/crf/article/3256">http://www.hrichina.org/crf/article/3256</a></div><div><br></div><div>Slds</div><div>as</div><br><div><div>On 1 May 2012, at 17:40, etrapani wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div><blockquote type="cite"><blockquote type="cite"><blockquote type="cite">Esto se hace en Irán y en China rutinariamente.<br></blockquote></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">No entiendo.  Para hacerlo necesitás tener una CA local y además confiar en ella.  A nivel intranet puede ser, pero a nivel país ... ¿estás seguro de que eso lo que están implementando?<br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">Suena a confusión ... (con todas las otras chanchadas que sí hacen, como rapto de DNS, en EEUU también, filtrado de HTTP, ajuste de tráfico, ...)<br></blockquote></blockquote><br><blockquote type="cite">Lo hicieron con los root certificates que robaron de DigiNotar. Y<br></blockquote><br>Ta, esa es una instancia *puntual*.  No le veo lo *rutinario*.  Y tu ejemplo me habla de algo a nivel país, no a nivel de empresas.  Obviamente a nivel empresas va a ser más y más frecuente de nuestro lado del planeta también si el software mencionado se vuelve más popular.<br><br><blockquote type="cite">hacen MITM regularmente o directamente filtran el ssl.<br></blockquote><br>Decís que lo hacen "regularmente".  Sencillamente no te lo puedo creer, pero estoy abierto a demostración (no con un caso puntual, de repente sí con tres o cuatro).  Sugerir que alguien puede hacer eso regularmente a escala país es medio exagerado, por decirlo con cuidado, a mi modo de ver.  Exagerado porque hace que TLS sea un chiste.<br><br>Filtrar TLS, eso es harina de otro costal, suponiendo que querés decir "bloquear TLS".  Eso no tiene nada que ver con HTTPS inspection ni con MITM, que era el tópico.<br><br>Eduardo.<br><br>PD: por si no queda claro, "salto" porque ese pequeño adjetivo "rutinario" es para mí gratuitamente sensacionalista (acepto pruebas y ofrezco retractación si llega a ser necesario) y le da a los países mencionados algún tipo de "superpoderes" (que concuerdan con lo "supervillanos" que son en términos de internet) que les permite *regularmente* hacer MITM sobre *la* manera de acceder la web de modo seguro.  Me resisto a aceptar eso sin evidencia, a aceptar que TLS sea tan frágil como para embaucar países enteros, rutinariamente.<br>_______________________________________________<br>Uylug-varios mailing list<br><a href="mailto:Uylug-varios@listas.uylug.org.uy">Uylug-varios@listas.uylug.org.uy</a><br>http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy<br></div></blockquote></div><br></body></html>