MexicoLeaks puede ser intervenido al igual que cualquier otro sitio seguro.
By: Date: marzo 12, 2015 Categories: Hackers, Tools y Retos

Por un momento estuve tentado a ofrecer mi ayuda a mexico leaks para salvarlos de las grandes fallas técnicas de implementación que encontré en el sitio, pero después de un análisis me doy cuenta que no tiene caso, no se le puede ganar al gobierno en ese sentido ya que ellos tienen las llaves del reino, la única forma de que estos mecanismos de filtración funcione contra un gobierno es que el gobierno en cuestión sea un completo incompetente en el uso de las tecnologías. Hay que recordar que USA ya ha arrestado personas dentro de las tiendas de la deep wep con TOR, desde ahí ya cualquiera se da cuenta que algo saben que el grueso de la población no, mientras que el grueso de la población no analiza su posición de seguridad informática, solo se sienten seguros y podrían estar sobre hielo delgado.

Cuando alguien está en posición de controlar la red como lo sería un gobierno o sus agencias, no necesita usar herramientas como el SSLSTRIP para intervenir el tráfico hacia cualquier sitio de internet, incluso si estos sitios cuentan con el candado de seguridad SSL.

Un gobierno no tendría problemas argumentando el bien mayor en modificar rutas de internet, firmar nuevos certificados SSL con autoridades certificadoras y armados con estas herramientas, suplantar el sitio sin modificar la IP del servidor y sin que el navegador mande alguna advertencia de que el sitio es inseguro.

Con esto alguna autoridad podría hacer un MITM PRO, poner un servidor idéntico a Gmail, Hotmail, facebook o cualquier otro sitio, no cambiaría la ip de los servidores en ningún momento, capturando contraseñas y luego reenviando las peticiones GET o POST al verdadero servidor abriendo con esto sesión para leer todos su contenido, sea mensajes privados o correos o cualquier cosa que se transmita en el sitio supuestamente seguro.

No dudo que la identidad de muchos filtradores no sea ya conocida por sus respectivos gobiernos, posiblemente no los desaparecen solo porque esperan saber con quienes se contactan y que tanto saben.

Desde aquí solo les puedo decir cuidado, esos no son los mecanismos de seguridad correctos y los correctos no son fáciles de usar para el público en general

Este video puede demostrar lo fácil que podría ser engañar a las personas para que confíen en sitios con seguridad SSL ( El candado ) e incluso en sitios de filtraciones como MexicoLeaks

4 thoughts on “MexicoLeaks puede ser intervenido al igual que cualquier otro sitio seguro.

  1. Google Chrome 41.0.2272.89 Windows NT

    Bueno ahora que mencionas el MITM puede hacerse con un envenenamiento ARP, para mitigar esto en un sitio web se puede usar un HSTS No? así se mitigaría un ataque así, o esa es mi idea, que tan útil pudiera ser esto en un servidor apache?

  2. Mozilla 11.0 Windows 7

    No Edgar Alan, mira el video en el minuto 3:05. el ataque se hace con un candado ssl activo, sin errores ni advertencias del navegador, aquí el HSTS no tiene nada que hacer por que la conexión si esta sobre SSL/TLS.

    la utilidad de esto si se tienen malas intenciones que podrías hacer que alguien confíe en su banco, en su perfil de Hotmail o gmail, en su Facebook o cualquier otra cosa que considere seguro bajo SSL y no seria así.

  3. Mozilla Firefox 36.0 Windows NT

    Un poco alarmista la entrada a mi gusto, aunque si comparto tu paranoia en el sentido de que realmente mexicoleaks.mx no es una plataforma segura, ya que fuera de lo expuesto en tu nota sobre lo especifico a la seguridad del transporte (TLS), exista la desconfianza con las instituciones, organizaciones civiles y prensa involucrada ya que al menos estos últimos quieren la información para interpretarla desde una perspectiva mediática y no para denunciar la corrupción de las autoridades.

    Ahora dejando de lado la parte política del principio e iniciando la parte técnica de este comentario…
    Aunque no hay mucho de que hablar en la parte técnica (últimamente casi no hay muchas cuestiones técnicas en tu blog, supongo que para este caso especial no querías decir como lo hiciste) tengo una teoría de como lo hiciste (al menos en tu demostración):

    1) Generaste un certificado como una entidad certificadora.
    2) Instalaste en el repositorio del navegador o el sistema operativo el certificado de tu entidad certificadora.
    3) Firmaste un certificado digital a mexicoleaks.mx (et al) con la entidad certificadora previamente generada.
    4) Montaste un servidor web hospedando mexicoleaks.mx usando el certificado generado en el punto 3 o bien cualquier proxy con capacidades de intercepción (squid tiene SSL Bump para esto).
    5) Desviaste con un router las comunicaciones para el puerto HTTP y HTTPs hacia tu servidor donde montaste el servidor web.

    Ahora bien los gobiernos no tienen necesidad de hacer el paso 1 y 2 por que ellos son entidades certificadoras de confianza (o tienen empresas de terceros con este tipo de confianza) por lo que solo necesita expedir uno a nombre de mexicoleaks.mx y listo pero para efectos de tu demo, creo que esa fue la manera en que lo hiciste.

    Ahora métodos para mitigar (en parte) lo anterior…
    1) (Public) Key Pinning (HPKP)
    2) Convergence

    (Public) Key Pinning es un mecanismo para asegurarse de que solo se acepte un par de entidades certificadoras como validas para certificar un sitio; El Problema de (Public) Key Pinning es que hoy en día solo esta disponible para los sitios mas populares (twitter, google, mozilla y dropbox) y esta lista varia entre navegadores (sin olvidarse que Internet Explorer no tiene soporte).
    Aunque ya se esta considerando una extensión para HTTP (HPKP) para permitir a todos que configuren sus propias “Pinned Keys” aun esta siendo en proceso de ser revisado por IETF por consecuente aun esta pendiente para su implementación.

    Convergence es una implementación diseñada para evitar el concepto de confianza absoluta a las entidades certificadoras cambiándolas por notarias en las que uno confié explícitamente; El Problema de Convergence es que no es una solución viable para la gente sin conocimientos técnicos, ya que requiere que uno configure en que notarias confiar y la solución para evitar lo anterior es configurar una lista de notarias por defecto que en términos generales seguiría siendo como el concepto de las entidades certificadoras actualmente implementado, lo anterior sin tomar en cuenta que ningún navegador por defecto tiene soporte para este concepto/protocolo por lo que aunque es un idea que mitiga (en parte) lo anterior para mexicoleaks.mx su implementación seria solamente para gente con altos conocimientos técnicos (y no los usuarios sin conocimientos técnicos que esta plataforma apunta como sus principales usuarios).

    Ahora por que “en parte” mitiga…
    Para empezar los anteriores no mitigan el escenario de la demostración solamente cuando el gobierno (o un tercero) firma con un entidad certificadora publica la identidad de un sitio (nótese el caso similar de DigiNotar).
    ¿Por que? por que “no es un bug es una funcionalidad“… ¿ah?, se permite el método de la demostración (el que creo uso Last Dragon) ya que esta forma es indispensable para que los proxys (empresariales o corporativos) funcionen, ya que sin el no podrían descifrar las comunicaciones de sus equipos al exterior/internet (MITM) de manera legal (?) por lo que HTTPs para el escenario demostrado simplemente no se puede resolver.
    Claro todo lo anterior sin contar el escenario en que el gobierno tenga acceso físico a tu equipo donde ahí ya no tendrías problemas con los certificados si no en otro lado.

    Saludos
    PD: A veces me gustaría regresar mi blog solo para responderte de manera mas (in)directa, pero luego recuerdo que me da hueva administrar un blog =P.

  4. Mozilla 11.0 Windows 7

    Explicaste impecablemente lo que redacte en mi POST.

    Es cierto no puse información mas haya de una explicación muy dominguera de como hacerlo, por que es facilitarle la vida a mucho lamo que solo aprende este tipo de cosas para hacer maldad, en realidad espero que gente como tu ( que si entiende del tema ) lo lea y entienda. asumiría que el administrador de México Leaks, lo lee y lo entiende con solo leer los párrafos que puse. Mas vale que si, tiene una gran responsabilidad en sus manos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *