Confirmado, nada como ir las tiendas del pueblo y encima respiras aire fresco. (Eso si, hay mucha vecina xafardera)  

#5 En efecto, no sé la utilidad de llevar la wifi siempre on...en cualquier caso, es mucho más peligroso conectarte a los sitios públicos tipo grandes superficies, aeropuertos, etc., que ofrecen wifi de gratix por esto es.wikipedia.org/wiki/Ataque_Man-in-the-middle

Las wifis son como los perros. Si no conoces al animal, no te pongas a rascarle detrás de las orejas. Podría pegarte cualquier cosa desde un mordisco a una tenia. La wifi fuera de casa, siempre apagada.

www.xda-developers.com/android/protect-your-privacy-on-your-mobile-dev

#7 eso solo es un problema si el trafico no es cifrado. Si no usas SSL para navegar o lo que hagas.

#9 Sip...pero cuando estás en un sitio donde ofrecen wifi gratix y para conectarte a la misma tienes que pasar por una web intermedia como ocurre en los Vips o en algún starbucks no tienes forma de saber quien hay detrás y lo que pueda hacer,

#10 Por eso usas SSL. Porque no lo sabes, ni siquiera el WiFi de tu casa o el trabajo es seguro.

Cuando quieren y como quieran.

#11 Un ataque "man in the middle" tambien puede hacerse a conexiones SSL, y no hablo de oidas, he hecho demostraciones en mis cursos.

#13 NO. Un MiTM con SSL solamente se puede abusando de la confianza del usuario.

O explotando alguna vulnerabilidad. También se de lo que hablo.

Y yo mismo he usado ssltrip con ettercap,etc. Para cursos que he dado efectivamente.

Si tanto miedo te da mira lo que es el ARP poisoning y bájate (o leeb el PDF)"yersinia", en base a eso ya me dirás si con el cable es más seguro.

El WiFi es inseguro por otros motivos, por su naturaleza.

#14 Tu puedes decir lo que quieras, pero yo hago "man in the middle" a conexiones SSL desde 1999 y como yo mucha gente. Si me pagas una hora de trabajo te hago un video y te lo pongo en Youtube para que se vea quien tiene razon. El unico "pego" es que el navegador de la victima le "chiva" una discrepancia en el certificado SSL, pero el 99% de los usuarios estan acostumbrados a esto porque acceden a menudo a sitios que para ahorrarse el dinero de comprar un certificado ponen uno firmado por ellos mismos, asi que la mayoria de la gente ya ha desarrollado el nefasto habito de hacer "click" en la confirmacion de que aceptan el certificado sospechoso y desean continuar con la conexion.

#14 Se me ha olvidado decirte que miedo ninguno, y lo del "arp poisoning" no me lo tengo que mirar para nada porque de hecho es un paso previo al ataque MITM a la conexion SSL.

¿Cuánta gente entra en un centro comercial y se conecta a la WIFI de él? Yo creo que un % bajísimo. Es mejor el otro sistema que comenta de seguimiento y predicción del movimiento de personas a través de las cámaras.

CONSPIRACION

#14 Cómo te sobras hamijo, con el tonito "Si tanto miedo te da mira lo que es el ARP poisoning". Presuponle a tu interlocutor un poco más de inteligencia y experiencia, que un arp poisoning es más viejo que el cagar, pero éste se evita con hardware adecuado.

En cambio el MiTM no se evita con hardware, sino con educación del usuario... ¿Qué gracia tiene hacer un MiTM a una comuniación sin SSL? La gracia es falsear el intercambio de claves, (ya sabes, Bob y Alice y sus cosas).

El problema creo que no son los centros comerciales que los podrían usar para que compremos más. Si fuera así, pues mira, está mal pero ahí se queda, aunque me temo que los responsables de los centros comerciales no tienen ni idea ni siquiera de las posibilidades que se apuntan en este artículo.

El problema son los gobiernos u otros organismos ilegales o alegales que usan esa información para otros asuntos que van mucho oscuros como espiar a los ciudadanos. Y no creo que pongan los puntos de acceso en centros comerciales, sino en la calle.

Yo uso Fon y no tengo ese problema

¿Y no se puede seguir (supongo que será mas caro) el identificador unico de la señal de la red de telefonia movil gsm/3g o el que sea que identifique cada movil aunque tenga el wifi y el bluetooth desactivado?

Sin espiar las llamadas y sin interponerse como estaciones base falsas, solo como si estuvieses escaneando las redes wifi en modo pasivo, pero equivalente a la señal de telefonía
www.meneame.net/story/estaciones-base-falsas-espian-llamadas-telefonic

Después están los sistemas con cámaras tipo al de la serie "Las Vegas" es.wikipedia.org/wiki/Las_Vegas_(serie_de_televisión) ,supongo que algo habrá que no sea ficción.

#19 me da que el que no tiene ni idea eres tu.

Los ataques a nivel 2 son más sencillos, y sí, el hardware ayuda... Pero el sentido común es gratis o saber usar un ordenador de cara a Internet.

La criptografía se usa para prevenir entre otras cosas que te hagan un MiTM. Ya sabes Diffie–Hellman key exchange y esas cosas.

Pero si envías tus claves en plano o visitas tu facebook en plano te sacan un plugin de firefox que te roba las sesiones, lee lo que Navegas,etc.

Por hardware también puedes usar AP isolation si el WiFi es públicoby pista.


Por favor...deja los tonos burlescos cuando me hables de este tema.

#15 te digo lo mismo de arriba.

Yo pregunte una vez por aqui si se podria hacer un programa iTroll para hincharlos a trolas. Tanto en los moviles como en los pc. Que fuese entrando a paginas al tun tun para generar falsos perfiles de usuario.

#9 Léete el artículo.

Efectivamente, solucionas muchos problemas con una VPN. Pero lo que el artículo dice es que pueden "chupar" un montón de datos tuyos simplemente por tener activo el WiFi, ANTES de conectarte a ningún sitio. Por ejemplo, les das "de gratis" los SSID y MAC de las conexiones tuyas más habituales, ya que tu dispositivo "pregunta" por éstas. Y con la MAC tienen la geolocalización. Y con eso ya saben por dónde te mueves habitualmente.

#15 "El unico "pego" es que el navegador de la victima le "chiva" una discrepancia en el certificado SSL, pero el 99% de los usuarios estan acostumbrados a esto"


Ahora vas y TE VUELVES A LEER MI COMENTARIO.

Veo que desde 1999 no has leído muchos libros, la comprensión lectora o mejor el interés por leer a los demás necesita atención por tu parte.

...hackers.

#29 VPN ??

He dejado de leer ahí.

Llevo un Nokia 1208 sin WiFi, sin blutú, sin cámara ... y cuando voy a un centro comercial voy a comprar no ha conectarme a Internet.

#27 ¿Y a mi qué me explicas?

Generador aleatorio de MAC. VPN. Pero se dejan tambien las antenas de telefonia.
Personalmente creo que la batalla por la privacidad esta perdida, la tecnologia y la interconexion es tal que es casi imposible no dejar rastros aun siendo lo mas cuidadoso posible; creo que seria mejor asumirlo. Creo que lo mejor para prevenir abusos seria que todo fuera publico, tanto los datos del currito, como los del politico o el empresario. Y ojo que yo estoy en contra de todos los sistemas de espionaje y vigilancia, pero tal como veo el futuro, creo que solo las elites tendran privacidad; y peor aun, lo ejerceran a su favor.

#14 Otro toque a tu comprensión lectora.

Mi comentario al que "criticas", dice:

NO. Un MiTM con SSL solamente se puede abusando de la confianza del usuario.

Por favor. No es tan complicado, antes de comentar deja que pasen unos segundos, lee bien y escribes.

#29 error, era para #25. El móvil, disculpa.


#25 VPN ??

He dejado de leer ahí.

Hola John Anderton

#23 ¿Tono burlesco? Pero si el que se ha quejado de tu tono he sido yo...

El mundo de la seguridad... un pozo de mierda con zurullos flotantes en busca de demostrar al resto quién la tiene más gorda. Respeta al resto un poco que #13 no se sobró y te dijo una verdad, así de claro.

Mira, te lo repito, ¿Qué gracia tiene hacer un MiTM si no es para interceptar el inicio de una conexión SSL y falsear el intercambio de llaves? (y no me respondas obviedades de intercepción y modificación de tráfico no cifrado)

Para quien firma "HipnoSapo":

toma, un obsequio por haberme echado un cable sin conocerme de nada, solo porque has visto que tengo razon:

www.youtube.com/watch?v=CRqN9ph5OY8

En la descripcion hay algun enlace mas interesante tambien.

Un saludo

#33 Hombre lo de payaso creo que está de más... y no es que le quiera defender pues no tengo idea de qué habláis, pero tampoco podemos perder los papeles.

Paz.

#29 ¿te responde antes que comentes jeje verdad # 100?

#32 es.wikipedia.org/wiki/VPN

Voy a cancelar mi cuenta, llevo poco tiempo en Meneame pero me acaba de quedar claro como el agua que aqui no pinto nada.

Un simple, corto e inocente comentario que ademas aportaba informacion util ha generado un circo muy divertido para mi pero muy desagradable para el resto, este ambiente hostil aunque ameno provoca un serio desgaste de tiempo y esfuerzo que no puedo permitirme en esta etapa de mi vida.

Hasta siempre a todos y no lo olvideis: un autentico "hacker" no necesita poner numeros en lugar de letras en su pseudonimo.

Yo por eso, tengo la manía de apagar todas las conexiones inalámbricas cada vez que salgo de casa, y el BlueTooth en cuando me bajo del coche, y solo las activo por necesidad puntual, pero no las llevo encendidas nunca.

Es algo q todo el mundo deberia hacer.

Yo alucino cuando enchufo el BT por cualquier causa, y veo en el movil decenas de BT a mi alrededor...

Así voy yo por los centros comerciles  

#28 un Nokia esos que no tienen corrector ortográfico, ¿verdad?

#33 Estaba leyendo la discusion con interes, hasta lo de payaso. Parece que eres de esos que no pueden argumentar sin insultar al otro. Mucho conocimiento y tan poca educacion...

#39 Ya se lo que es una VPN. Y no tiene ahora nada que ver con el tema. ¿pones un link y eso te hace parecer interesante?

Yo es que flipo, ya puestos saca Tor.

#35 A ver te lo explico, tu dices que se puede hacer un MiTM con SSL porque tienes super poderes, y hay vídeos en youtube que lo hacen.

Yo te digo que con SSL no es posible EXCEPTO a) explotando una vulnerabilidad puntual b) abusando de la confianza del usuario, que en la mayoría de casos será advertido del ataque directa o indirectamentey me saltas con vaciladas y diciendo "hamijo", en tono burlesco.

Ni eres un hacker, ni tienes idea de lo que hablas.

#33 Vergüenza ajena da leerte.

#33 www.youtube.com/watch?v=YpuRcmPnSTM

(#40 #36 #15)

#43 Verdad, y veo que tienes el mismo modelo

#45 ¿A qué viene esa agresividad? Tú única reacción a mi mensaje ha sido VPN??, con lo que deduzco que no sabes lo que es una VPN.

Que, por cierto, es un método mucho más seguro que las conexiones SSL para evitar que el complaciente proveedor de WiFi gratuito del centro comercial husmee en tu tráfico de datos. Por eso lo menciono.

En cualquier caso, insisto, si lees el artículo original, verás que no es necesario establecer una conexión para que te monitoricen.

#50 Agresividad ninguna, pero si quieres me pongo a hablar ahora de cualquier cosa que NO TENGA NADA que ver.

Estamos partiendo de la base de que te tienes que conectar en un sitio público, al Wifi y de que usas Bluetooth. Obviamente, si no te conectas o te conectas solo en tu casa es más seguro que una red pública. CLARO.

Pero es que decir aquí que más seguro que el SSL es usar aquí una VPN es como decir que mejor no te conectes y estás blindado.

Aparte, con usar 3G y no un Wifi público suficiente. No te hace falta VPN.

Vuelvo a decirlo, no pintan las VPN nada aquí. La VPN para el trabajo donde se interconectan oficinas a nivel global, no para poder bajarte torrents o evitar el wifi público.

Podemos hablar de Tor también, pero es que ahora no es el tema.

#51 A ver, te lo voy a decir de otra manera.

1) Olvídate de que he mencionado VPN
2) Te pueden monitorizar aunque no establezcas conexión.

Uuuuuu... Cuanto súper juanker hay aquí! Jajajajaja ¿ya sabéis robar cuentas de msn todos? Buenos chicos!

Para el resto de mortales, si os preocupa este tema de seguridad y quereis disfrutar de los beneficios directamente relacionados con ir protegidos por el mall, como por ejemplo el ahorro en batería; os comento.

Yo uso un programita gratuito y bastante sencillo para android (de nombre Llama) que entre otras cosas, te permite lanzar eventos y ejecutar programas en tu terminal de forma automatica y sin necesidad de ir chupando de gps ya que se posiciona usando el valor de las antenas de telefonía adyacentes.

Entre otras cosas lo uso para que el móvil solito desactive WiFi y BT cuando salgo de casa y lo vuelva a activar en el curro y en casa de amigos y familiares, etc.

Y con esto te olvidas de tener que irlo desactivando a mano todos los días.

Ale, Piratillas. Don't be evil.

#52 Sí, eso es cierto. Respecto a la noticia eso es cierto, si tienes el Wifi on o el bluetooth on y con configuraciones por defecto o sin nada especial (como por ejemplo si usas el pry fri, que he enlazado en otro comentario).

De hecho, hay una empresa (startup) que se basa en calcular rutas y análisis de congestión del tráfico via Bluetooth/Wifi de los coches. Y venden servicios donde realizan algoritmos y data mining en base a esto.

Bueno, haber hay muchas pero esa es de Barcelona y además lo que hacen es interesante.

Pero es que eso no te lo he discutido, lo que te he discutido es que metas el VPN en la otra discusión sobre el SSL. No tiene nada que ver con la discusión paralela del SSL y el MiTM.

#53 Me parece que ciertas versiones de Android ya permiten hacer eso más o menos. Desde 4.3 me parece que el GPS soporta un nuevo modo que solo se enciende cuando lo necesita y diría que hay settings en el Wifi para lo mismo.

Pero sí, hay muchas aplicaciones parecidas. Yo personalmente, Pry Fri como digo permite enmascarar macs y llenar las bases de datos de marketing que tienen de datos "falsos".

#46 Creo que te has liado un poco. Pero desde el principio, estás confundiendo entre varios comentarios y creo que das por míos algunos que no lo son... Y a uno se le inflan las pelotas leyendo tanta gilipollez, he intentado ser políticamente correcto contigo.

Yo no sé de qué me estás hablando de vídeos de youtube ni de pollas fritas... ya en el comentario anterior cuando dices "me da que el que no tiene ni idea eres tu." Se nota que te confundes, yo no dije que no tuvieses ni idea, eso te lo sacas de la manga para insultarme a mí.

¿Te ofendió lo de hamijo? pero si has entrado como un elefante en una cacharrería vacilando a todo quisky haciendo el pollagrande-megahacker...

¿Hacker? Tú eres tonto si te crees que por usar cuatro herramientas eres un hacker... Eres un puto script kiddie, y se nota a leguas, los hackers no necesitan tu nivel de ofensa, no les llegas ni a las suelas.

Yo no soy ningún hacker, pero vamos, he programado alguna herramienta para hacer MiTM a conexiones SSL (pero programado de verdad, ya sabes, C++ libssl y sus cositas), y OBVIAMENTE un MiTM a SSL incluye un paso previo de hacer confiar en una CA fraudulenta o explotar una vulnerabilidad de cualquiera de los softwares criptográficos (GNUTls, Openssl, cryptoapi...) para que el ataque sea redondo.

Pero es que eso no forma parte del ataque en sí, hará que el ataque tenga más o menos éxito, porque el usuario puede darse cuenta al ser advertido por su navegador o por el software que esté usando para esa conexión SSL. De ahí mi primer comentario diciendo que es necesario "educar" al usuario para que sea menos probable que esto le pase.

Pero es que llevamos diciendo lo mismo desde el principio, pero como eres tan TONTO ni te enteras. Y negar rotundamente que NO se puede hacer un MiTM a un SSL es lo que nos ha llevado a esto.

¿Estás de acuerdo en que si estás interceptando el tráfico en la fase de handshake puedes modificar el intercambio de llaves para a continuación poder observar el tráfico que el cliente considera seguro por estar bajo SSL/TLS?

Si es que sí, por dios, deja de contestar gilipolleces y vete a la mierda. Si es que no, tampoco contestes porque vas a hacer el ridículo, subnormal.

#56 otro comentario que da vergüenza ajena. He leído 4 líneas.

Yo no he ido de meg hacer, el mega hacker es el que dice que hace MiTM de cualquier SSL sin importar el usuario o el entorno. A lo ultra pro.

Yo no te voy a dar detalles de mi así que la discusión la dejamos aquí.

#57 Pues deberías acabar de leer para dejar de decir tonterías.

#55 tanto gps como wifi chupan bateria. Mucha. Por otro lado igual yo es que estoy muy negativo hoy...

No conocia esa app que pones. Pero creo que lejos de 'llenar' de basura una bbdd, con tan poquísimos usuarios usándola no vale de nada. El ruido que mete es irrelevante para el 'big data' que ellos buscan y venden. Es decir, ¿llevan eso 2 de cada 20000? Bien. A ellos se la pela. Ya conocerán la app y como tira lo que tira y la podrán incluso filtrar si les interesa, es trivial. Al usuario sin embargo... Por lo que he leido le va a chupar la batería de una forma desproporcional.

Amen de que vas con un 'faro' en el bolsillo que no dice quien eres, pero que hace un ruido descomunal tirando probes como si no hubiese un mañana.

Sin ser un experto ni mucho menos, el big data no busca los gustos del individuo, sino los de la masa. Y si quisiesen personalizar me da la sensacion de que con eso eres mas 'detectable' que un negro comiendo sandia en una reunión de KKK.

Las apps como la que cito te sacan de esa circulación y no gastan. Y por cierto que como no soy root... No puedo probarla

#55 gracias por la aportación, aunque tuve que leerme tooooda la pelea de juakers para llegar hasta ella

#14 Se puede evitar el arp poisoning.

#53 Tasker

#61 Sí se puede. Claro. Y cuando no se puede lo puedes detectar.

#60 disculpa, la gente es muy cabezona. Hago un comentario con toda la razón del mundo y luego salen mil excusas. Que no hacen falta.

Todo para tragiversar algo que yo he dicho claramente y poner cosas que yo no he dicho.

Yo solo he dicho lo que dije en #14. Ni más ni menos.

#58 lee y repite en voz alta #14. Y luego vas y te lees tus comentarios en voz alta también.

Si la primera vez no te das cuenta, lee dos veces.

Ahora si, aquí dejamos la discusión libssl expert , otro hacker que hasta sabe programar y todo.

A ver si lo he entendido. Cuando vaya a un centro comercial debo:
1- Apagar el WiFi.
2- Apagar el Bluetoooth.
3- Apagar la conexión de datos para evitar sniffers.
4- Bajarme del coche, recortar unos cachos de cartón y engancharlos a las matrículas del coche para evitar el reconocimiento de matrículas.
5- Cambiar el logo del coche para que crean que es un Mercedes en vez de un Citroën.
6- Repintar el coche de otro color.
7- Poner un pasamontañas a toda la familia para evitar el reconocimiento de caras.
¿No creéis que también deberíamos cambiarnos de ropa cada 10 minutos para evitar ser reconocidos?

Entre esto y el tener que pinchar en el aviso del uso de cookies en cada página web que entro, me siento realmente a salvo del Gran Hermnano.

En fin...

Meneame está lleno de ju4nk3rs. Que miedito...