Desde hace años, las técnicas de Business Intelligence, Data Mining y el algo más reciente concepto de Big Data buscan la forma de ganar dinero con toda la información que sea posible atesorar. Los centros comerciales,para hacer seguimiento del movimiento de los clientes, usan técnicas modernas y sencillas de implementar, como seguir la ubicación de los dispositivos smartphones y la información que generan sus conexiones a redes de WiFi o Bluetooth.
|
etiquetas: centros comerciales , espionaje , wifi , bluetooth
#7 eso solo es un problema si el trafico no es cifrado. Si no usas SSL para navegar o lo que hagas.
O explotando alguna vulnerabilidad. También se de lo que hablo.
Y yo mismo he usado ssltrip con ettercap,etc. Para cursos que he dado efectivamente.
Si tanto miedo te da mira lo que es el ARP poisoning y bájate (o leeb el PDF)"yersinia", en base a eso ya me dirás si con el cable es más seguro.
El WiFi es inseguro por otros motivos, por su naturaleza.
En cambio el MiTM no se evita con hardware, sino con educación del usuario... ¿Qué gracia tiene hacer un MiTM a una comuniación sin SSL? La gracia es falsear el intercambio de claves, (ya sabes, Bob y Alice y sus cosas).
El problema son los gobiernos u otros organismos ilegales o alegales que usan esa información para otros asuntos que van mucho oscuros como espiar a los ciudadanos. Y no creo que pongan los puntos de acceso en centros comerciales, sino en la calle.
Sin espiar las llamadas y sin interponerse como estaciones base falsas, solo como si estuvieses escaneando las redes wifi en modo pasivo, pero equivalente a la señal de telefonía
www.meneame.net/story/estaciones-base-falsas-espian-llamadas-telefonic
Después están los sistemas con cámaras tipo al de la serie "Las Vegas" es.wikipedia.org/wiki/Las_Vegas_(serie_de_televisión) ,supongo que algo habrá que no sea ficción.
Los ataques a nivel 2 son más sencillos, y sí, el hardware ayuda... Pero el sentido común es gratis o saber usar un ordenador de cara a Internet.
La criptografía se usa para prevenir entre otras cosas que te hagan un MiTM. Ya sabes Diffie–Hellman key exchange y esas cosas.
Pero si envías tus claves en plano o visitas tu facebook en plano te sacan un plugin de firefox que te roba las sesiones, lee lo que Navegas,etc.
Por hardware también puedes usar AP isolation si el WiFi es públicoby pista.
Por favor...deja los tonos burlescos cuando me hables de este tema.
#15 te digo lo mismo de arriba.
Efectivamente, solucionas muchos problemas con una VPN. Pero lo que el artículo dice es que pueden "chupar" un montón de datos tuyos simplemente por tener activo el WiFi, ANTES de conectarte a ningún sitio. Por ejemplo, les das "de gratis" los SSID y MAC de las conexiones tuyas más habituales, ya que tu dispositivo "pregunta" por éstas. Y con la MAC tienen la geolocalización. Y con eso ya saben por dónde te mueves habitualmente.
Ahora vas y TE VUELVES A LEER MI COMENTARIO.
Veo que desde 1999 no has leído muchos libros, la comprensión lectora o mejor el interés por leer a los demás necesita atención por tu parte.
...hackers.
He dejado de leer ahí.
Personalmente creo que la batalla por la privacidad esta perdida, la tecnologia y la interconexion es tal que es casi imposible no dejar rastros aun siendo lo mas cuidadoso posible; creo que seria mejor asumirlo. Creo que lo mejor para prevenir abusos seria que todo fuera publico, tanto los datos del currito, como los del politico o el empresario. Y ojo que yo estoy en contra de todos los sistemas de espionaje y vigilancia, pero tal como veo el futuro, creo que solo las elites tendran privacidad; y peor aun, lo ejerceran a su favor.
Mi comentario al que "criticas", dice:
NO. Un MiTM con SSL solamente se puede abusando de la confianza del usuario.
Por favor. No es tan complicado, antes de comentar deja que pasen unos segundos, lee bien y escribes.
#25 VPN ??
He dejado de leer ahí.
este es el ultimo comentario que te dirijo. Me acaba de quedar claro que no sabes de lo que hablas. Debi haberlo supuesto al ver que tienes que ponerte en tu pseudonimo un cero en vez de una letra "o" para "parecer mas hacker".
Llevo en esto desde 1985, cuando tu todavia intentabas aprender a cambiar el canal de la tele de tus padres yo ya programaba en "assembler" del micro Z80 de Zilog y craqueaba por mi mismo las protecciones de los juegos de Spectrum.
Cuando cumpli la mayoria de edad abandone el "cibercrimen" y me pase al sector profesional. Llevo usando Slackware desde 1995, a finales del siglo XX fui profesor de seguridad informatica en la primera academia privada del pais que impartia tales cursos, Aebius Centro Linux, en la calle Profesor Waksman, junto al Paseo de la Castellana, en Madrid, y en 2000 abandone la ensenianza porque estaba mal pagada y desde entonces llevo trabajando como administrador de sistemas, con experiencia laboral en 5 paises europeos diferentes mas Sudafrica, asi que has elegido al tipo equivocado para intentar tirarte el pegote en "Meneame".
Hasta nunca, payaso, y gracias por haberme hecho reir tanto. Quizas deberias plantearte abandonar la informatica y dedicarte a eso profesionalmente, te aseguro que tienes madera.
Un saludo a todos mis antiguos alumnos, que me consta que algunos leen "Meneame" a diario.
El mundo de la seguridad... un pozo de mierda con zurullos flotantes en busca de demostrar al resto quién la tiene más gorda. Respeta al resto un poco que #13 no se sobró y te dijo una verdad, así de claro.
Mira, te lo repito, ¿Qué gracia tiene hacer un MiTM si no es para interceptar el inicio de una conexión SSL y falsear el intercambio de llaves? (y no me respondas obviedades de intercepción y modificación de tráfico no cifrado)
toma, un obsequio por haberme echado un cable sin conocerme de nada, solo porque has visto que tengo razon:
www.youtube.com/watch?v=CRqN9ph5OY8
En la descripcion hay algun enlace mas interesante tambien.
Un saludo
Paz.
Un simple, corto e inocente comentario que ademas aportaba informacion util ha generado un circo muy divertido para mi pero muy desagradable para el resto, este ambiente hostil aunque ameno provoca un serio desgaste de tiempo y esfuerzo que no puedo permitirme en esta etapa de mi vida.
Hasta siempre a todos y no lo olvideis: un autentico "hacker" no necesita poner numeros en lugar de letras en su pseudonimo.
Es algo q todo el mundo deberia hacer.
Yo alucino cuando enchufo el BT por cualquier causa, y veo en el movil decenas de BT a mi alrededor...
Yo es que flipo, ya puestos saca Tor.
Yo te digo que con SSL no es posible EXCEPTO a) explotando una vulnerabilidad puntual b) abusando de la confianza del usuario, que en la mayoría de casos será advertido del ataque directa o indirectamentey me saltas con vaciladas y diciendo "hamijo", en tono burlesco.
Ni eres un hacker, ni tienes idea de lo que hablas.
(#40 #36 #15)
Que, por cierto, es un método mucho más seguro que las conexiones SSL para evitar que el complaciente proveedor de WiFi gratuito del centro comercial husmee en tu tráfico de datos. Por eso lo menciono.
En cualquier caso, insisto, si lees el artículo original, verás que no es necesario establecer una conexión para que te monitoricen.
Estamos partiendo de la base de que te tienes que conectar en un sitio público, al Wifi y de que usas Bluetooth. Obviamente, si no te conectas o te conectas solo en tu casa es más seguro que una red pública. CLARO.
Pero es que decir aquí que más seguro que el SSL es usar aquí una VPN es como decir que mejor no te conectes y estás blindado.
Aparte, con usar 3G y no un Wifi público suficiente. No te hace falta VPN.
Vuelvo a decirlo, no pintan las VPN nada aquí. La VPN para el trabajo donde se interconectan oficinas a nivel global, no para poder bajarte torrents o evitar el wifi público.
Podemos hablar de Tor también, pero es que ahora no es el tema.
1) Olvídate de que he mencionado VPN
2) Te pueden monitorizar aunque no establezcas conexión.
Para el resto de mortales, si os preocupa este tema de seguridad y quereis disfrutar de los beneficios directamente relacionados con ir protegidos por el mall, como por ejemplo el ahorro en batería; os comento.
Yo uso un programita gratuito y bastante sencillo para android (de nombre Llama) que entre otras cosas, te permite lanzar eventos y ejecutar programas en tu terminal de forma automatica y sin necesidad de ir chupando de gps ya que se posiciona usando el valor de las antenas de telefonía adyacentes.
Entre otras cosas lo uso para que el móvil solito desactive WiFi y BT cuando salgo de casa y lo vuelva a activar en el curro y en casa de amigos y familiares, etc.
Y con esto te olvidas de tener que irlo desactivando a mano todos los días.
Ale, Piratillas. Don't be evil.
De hecho, hay una empresa (startup) que se basa en calcular rutas y análisis de congestión del tráfico via Bluetooth/Wifi de los coches. Y venden servicios donde realizan algoritmos y data mining en base a esto.
Bueno, haber hay muchas pero esa es de Barcelona y además lo que hacen es interesante.
Pero es que eso no te lo he discutido, lo que te he discutido es que metas el VPN en la otra discusión sobre el SSL. No tiene nada que ver con la discusión paralela del SSL y el MiTM.
Pero sí, hay muchas aplicaciones parecidas. Yo personalmente, Pry Fri como digo permite enmascarar macs y llenar las bases de datos de marketing que tienen de datos "falsos".
Yo no sé de qué me estás hablando de vídeos de youtube ni de pollas fritas... ya en el comentario anterior cuando dices "me da que el que no tiene ni idea eres tu." Se nota que te confundes, yo no dije que no tuvieses ni idea, eso te lo sacas de la manga para insultarme a mí.
¿Te ofendió lo de hamijo? pero si has entrado como un elefante en una cacharrería vacilando a todo quisky haciendo el pollagrande-megahacker...
¿Hacker? Tú eres tonto si te crees que por usar cuatro herramientas eres un hacker... Eres un puto script kiddie, y se nota a leguas, los hackers no necesitan tu nivel de ofensa, no les llegas ni a las suelas.
Yo no soy ningún hacker, pero vamos, he programado alguna herramienta para hacer MiTM a conexiones SSL (pero programado de verdad, ya sabes, C++ libssl y sus cositas), y OBVIAMENTE un MiTM a SSL incluye un paso previo de hacer confiar en una CA fraudulenta o explotar una vulnerabilidad de cualquiera de los softwares criptográficos (GNUTls, Openssl, cryptoapi...) para que el ataque sea redondo.
Pero es que eso no forma parte del ataque en sí, hará que el ataque tenga más o menos éxito, porque el usuario puede darse cuenta al ser advertido por su navegador o por el software que esté usando para esa conexión SSL. De ahí mi primer comentario diciendo que es necesario "educar" al usuario para que sea menos probable que esto le pase.
Pero es que llevamos diciendo lo mismo desde el principio, pero como eres tan TONTO ni te enteras. Y negar rotundamente que NO se puede hacer un MiTM a un SSL es lo que nos ha llevado a esto.
¿Estás de acuerdo en que si estás interceptando el tráfico en la fase de handshake puedes modificar el intercambio de llaves para a continuación poder observar el tráfico que el cliente considera seguro por estar bajo SSL/TLS?
Si es que sí, por dios, deja de contestar gilipolleces y vete a la mierda. Si es que no, tampoco contestes porque vas a hacer el ridículo, subnormal.
Yo no he ido de meg hacer, el mega hacker es el que dice que hace MiTM de cualquier SSL sin importar el usuario o el entorno. A lo ultra pro.
Yo no te voy a dar detalles de mi así que la discusión la dejamos aquí.
No conocia esa app que pones. Pero creo que lejos de 'llenar' de basura una bbdd, con tan poquísimos usuarios usándola no vale de nada. El ruido que mete es irrelevante para el 'big data' que ellos buscan y venden. Es decir, ¿llevan eso 2 de cada 20000? Bien. A ellos se la pela. Ya conocerán la app y como tira lo que tira y la podrán incluso filtrar si les interesa, es trivial. Al usuario sin embargo... Por lo que he leido le va a chupar la batería de una forma desproporcional.
Amen de que vas con un 'faro' en el bolsillo que no dice quien eres, pero que hace un ruido descomunal tirando probes como si no hubiese un mañana.
Sin ser un experto ni mucho menos, el big data no busca los gustos del individuo, sino los de la masa. Y si quisiesen personalizar me da la sensacion de que con eso eres mas 'detectable' que un negro comiendo sandia en una reunión de KKK.
Las apps como la que cito te sacan de esa circulación y no gastan. Y por cierto que como no soy root... No puedo probarla
Todo para tragiversar algo que yo he dicho claramente y poner cosas que yo no he dicho.
Yo solo he dicho lo que dije en #14. Ni más ni menos.
Si la primera vez no te das cuenta, lee dos veces.
Ahora si, aquí dejamos la discusión libssl expert , otro hacker que hasta sabe programar y todo.
1- Apagar el WiFi.
2- Apagar el Bluetoooth.
3- Apagar la conexión de datos para evitar sniffers.
4- Bajarme del coche, recortar unos cachos de cartón y engancharlos a las matrículas del coche para evitar el reconocimiento de matrículas.
5- Cambiar el logo del coche para que crean que es un Mercedes en vez de un Citroën.
6- Repintar el coche de otro color.
7- Poner un pasamontañas a toda la familia para evitar el reconocimiento de caras.
¿No creéis que también deberíamos cambiarnos de ropa cada 10 minutos para evitar ser reconocidos?
Entre esto y el tener que pinchar en el aviso del uso de cookies en cada página web que entro, me siento realmente a salvo del Gran Hermnano.
En fin...