{"id":1302,"date":"2015-03-12T12:51:34","date_gmt":"2015-03-12T18:51:34","guid":{"rendered":"https:\/\/www.lastdragon.net\/?p=1302"},"modified":"2015-03-12T12:51:34","modified_gmt":"2015-03-12T18:51:34","slug":"mexicoleaks-puede-ser-intervenido-al-igual-que-cualquier-otro-sitio-seguro","status":"publish","type":"post","link":"https:\/\/www.lastdragon.net\/?p=1302","title":{"rendered":"MexicoLeaks puede ser intervenido al igual que cualquier otro sitio seguro."},"content":{"rendered":"

Por un momento estuve tentado a ofrecer mi ayuda a mexico leaks para salvarlos de las grandes fallas t\u00e9cnicas de implementaci\u00f3n que encontr\u00e9 en el sitio, pero despu\u00e9s de un an\u00e1lisis me doy cuenta que no tiene caso, no se le puede ganar al gobierno en ese sentido ya que ellos tienen las llaves del reino, la \u00fanica forma de que estos mecanismos de filtraci\u00f3n funcione contra un gobierno es que el gobierno en cuesti\u00f3n sea un completo incompetente<\/em> en el uso de las tecnolog\u00edas. Hay que recordar que USA ya ha arrestado personas dentro de las tiendas de la deep wep con TOR, desde ah\u00ed ya cualquiera se da cuenta que algo saben que el grueso de la poblaci\u00f3n no, mientras que el grueso de la poblaci\u00f3n no analiza su posici\u00f3n de seguridad inform\u00e1tica, solo se sienten seguros y podr\u00edan estar sobre hielo delgado.<\/p>\n

Cuando alguien est\u00e1 en posici\u00f3n de controlar la red como lo ser\u00eda un gobierno o sus agencias, no necesita usar herramientas como el SSLSTRIP para intervenir el tr\u00e1fico hacia cualquier sitio de internet, incluso si estos sitios cuentan con el candado de seguridad SSL.<\/p>\n

Un gobierno no tendr\u00eda problemas argumentando el bien mayor en modificar rutas de internet, firmar nuevos certificados SSL con autoridades certificadoras y armados con estas herramientas, suplantar el sitio sin modificar la IP del servidor y sin que el navegador mande alguna advertencia de que el sitio es inseguro.<\/p>\n

Con esto alguna autoridad podr\u00eda hacer un MITM PRO, poner un servidor id\u00e9ntico a Gmail, Hotmail, facebook o cualquier otro sitio, no cambiar\u00eda la ip de los servidores en ning\u00fan momento, capturando contrase\u00f1as y luego reenviando las peticiones GET o POST al verdadero servidor abriendo con esto sesi\u00f3n para leer todos su contenido, sea mensajes privados o correos o cualquier cosa que se transmita en el sitio supuestamente seguro. <\/p>\n

No dudo que la identidad de muchos filtradores no sea ya conocida por sus respectivos gobiernos, posiblemente no los desaparecen solo porque esperan saber con quienes se contactan y que tanto saben. <\/p>\n

Desde aqu\u00ed solo les puedo decir cuidado, esos no son los mecanismos de seguridad correctos y los correctos no son f\u00e1ciles de usar para el p\u00fablico en general<\/p>\n

Este video puede demostrar lo f\u00e1cil que podr\u00eda ser enga\u00f1ar a las personas para que conf\u00eden en sitios con seguridad SSL ( El candado ) e incluso en sitios de filtraciones como MexicoLeaks<\/p>\n