Portada
mis comunidades
otras secciones
#2:
Yo cuando hackeo ordenadores siempre me pongo antifaz y guantes. ¿Y tu?
#7:
#6 Aunque muchos webmails usan HTTPS, muchos proveedores de servicios de correo electrónico no usan SMTP sobre TLS para cifrar los correos al intercambiarlos. Ahí, por mucho que uses HTTPS, estás perdido, a no ser que cifres los propios correos. Si no, ni HTTPS ni Tor ofrecen realmente protección para enviar correo electrónico...
Por supuesto no todo el mundo puede acceder fácilmente a los datos que viajan por la red, pero es un hecho que pasan por miles de manos antes de llegar a sus destinos, y no creo que debamos fiarnos de esas personas.
Y no solo se trata del correo electrónico, por supuesto. Se trata de todo lo que hacemos por Internet, que hoy en día es muchísimo.
Por supuesto no todo el mundo puede acceder fácilmente a los datos que viajan por la red, pero es un hecho que pasan por miles de manos antes de llegar a sus destinos, y no creo que debamos fiarnos de esas personas.
Y no solo se trata del correo electrónico, por supuesto. Se trata de todo lo que hacemos por Internet, que hoy en día es muchísimo.
#35:
#32 "En lo segundo, lejos de ser un experto, no estaría tan seguro."
Yo si estoy seguro
No soy un experto, pero me encanta la criptografía tanto en matemática como en ingeniería (son como un líquen) y le he echado muuuuuuchas horas al tema.
Además que, si no, ¿qué sentido tiene SSL si con un simple proxy te lo tumban?
"Un proxy invisible captura las peticiones en un punto donde aún no se han cifrado"
Error. La petición según sale de tu navegador ya va cifrada. Antes si quieres de llegar al stack TCP del SO, mucho menos al proxy o a la propia red. El proxy ya lo ve todo cifrado.
1. Handshake sin cifrar contra el servidor al que te vas a conectar.
2. compruebas su certificado contra los que proporcionan las CAs (o si lo tienes pinned ni eso).
3. Intercambio de un secreto compartido mediante Diffie-Hellman.
4. Una vez tienes este secreto compartido, TODO dato que sale del navegador en esa sesión va cifrado contra este.
5. De vez en cuando se intercambia un nuevo secreto compartido para renovar la privacidad.
"y es que en las http request se puede ver en plano user/password."
Negativo. Si vas por HTTP sin la S, en efecto, puedes ver todo. Con la S sólo puedes ver IP de origen y destino, la petición va cifrada contra ese secreto compartido y no puedes ver ni las cabeceras HTTP.
"Si tienes una explicación más acertada, te leo"
Que en algún momento la liaste o no usaste SSL o recuerdas mal o había StripSSL de por medio (StripSSL es un proxy transparente, ¿no será esto lo que usaste?) o... no sé, hay mil explicaciones.
Ten en cuenta que si usaste StripSSL no estabas usando HTTPS (porque te redirige a HTTP sin que te des cuenta). De hecho es la razón por la que existe StripSSL, porque con SSL no hay forma de leer nada, así que la unica solución es "stripearlo".
Estoy dispuesto a hacer pública una captura completa de mi conexión a GMail a través del proxy que me digas
Yo si estoy seguro
No soy un experto, pero me encanta la criptografía tanto en matemática como en ingeniería (son como un líquen) y le he echado muuuuuuchas horas al tema.Además que, si no, ¿qué sentido tiene SSL si con un simple proxy te lo tumban?
"Un proxy invisible captura las peticiones en un punto donde aún no se han cifrado"
Error. La petición según sale de tu navegador ya va cifrada. Antes si quieres de llegar al stack TCP del SO, mucho menos al proxy o a la propia red. El proxy ya lo ve todo cifrado.
1. Handshake sin cifrar contra el servidor al que te vas a conectar.
2. compruebas su certificado contra los que proporcionan las CAs (o si lo tienes pinned ni eso).
3. Intercambio de un secreto compartido mediante Diffie-Hellman.
4. Una vez tienes este secreto compartido, TODO dato que sale del navegador en esa sesión va cifrado contra este.
5. De vez en cuando se intercambia un nuevo secreto compartido para renovar la privacidad.
"y es que en las http request se puede ver en plano user/password."
Negativo. Si vas por HTTP sin la S, en efecto, puedes ver todo. Con la S sólo puedes ver IP de origen y destino, la petición va cifrada contra ese secreto compartido y no puedes ver ni las cabeceras HTTP.
"Si tienes una explicación más acertada, te leo"
Que en algún momento la liaste o no usaste SSL o recuerdas mal o había StripSSL de por medio (StripSSL es un proxy transparente, ¿no será esto lo que usaste?) o... no sé, hay mil explicaciones.
Ten en cuenta que si usaste StripSSL no estabas usando HTTPS (porque te redirige a HTTP sin que te des cuenta). De hecho es la razón por la que existe StripSSL, porque con SSL no hay forma de leer nada, así que la unica solución es "stripearlo".
Estoy dispuesto a hacer pública una captura completa de mi conexión a GMail a través del proxy que me digas
Comentarios
Yo cuando hackeo ordenadores siempre me pongo antifaz y guantes. ¿Y tu?
#2 Es lo mínimo. Los mejores también apagan la luz y se ponen una linterna debajo para crear sombras misteriosas.
#3 Y teclear muy rapido que no se te olvide.
#12 Por supuesto, JAMÁS usar el ratón.
#2 Yo antifaz no, pero guantes, si tendria que hacerlo usando un ordenador que no es mio, si que me los pondria, no sabes la de mierda que hay en un teclado de ordenador, en su momento un estudio indicaba que habia mas bacterias que en un bater.
#31 Pues a mí me dan ganas de ponerme un antifaz sin agujeros cuando leo patadas como "bater".
#2 Yo soy más de rubias bajo la mesa, como en Operación Swordfish.
#2 Soy el único que se va a un sótano oscuro?
Aqui nadie comenta porque esta página no es https??
#1 Quizá
gallir lo sepa
#1
#40 No lo sé seguro, pero supongo que será porque consume más recursos de servidor, para ahorrar...
#1
#45
#40 meneame es el chocho de la bernarda de la privacidad, ESTA PROHIBIDO USAR TOR CON MENEAME, no puedes comentar, ni votar solo navegar x la web.
EL TRAFICO NO ESTA CIFRADO salvo en el login, con lo que la policia puede hacer perfiles de todos los usuarios de mename ver quienes son y que opinan, o tu vecino con la wifi pirateada.
TU IP se guarda eternamente al igual que tus comentARIOS Y NO PUEDES HACER NADA PARA BORRARLOS, la ip se guarda en cada comentario que has hecho y NO PUEDES DAR DE BAJA TU USUARIO Y QUE DESAPAREZCAN TUS COMENTARIOS PARA QUE LA POLICIA NO TE HAGA UN PERFIL CUANDO ESTO LLEGUE A PEOR...
MENEAME ES un serio problema para la privacidad de todos sus usuarios, si la policia pide una copia de la bd de meneame estamos todos vendidos si quisieran hacer listas negras de ciudadanos nos calaban a todos en un par de horas...
#46 Haz el favor de no gritar, anda majo.
#47 primero no grio, sonmaysuculas y segundo ME TOCA LOS COHONESSSSSSS
#46: NO PUEDES HACER NADA PARA BORRARLOS
Pídele a algún facha que te acuse en falso a los administradores de haber escrito un mensaje violento. Suele funcionar.
#50
#49 solo os falta decir... si yo no tengo nada que ocultar me da igual q me espien... las medidas antispam no pueden impedir tu privacidad
#51 Yo no he dicho eso, sencillamente señalo que es posible comentar bajo TOR.
#52 Acabo de intentarlo con dos identidades distintas (y reintentándolo) y no he podido publicar nada. Se recarga la noticia como si se enviara el comentario, pero no aparece publicado. A lo mejor es cosa de NoScript pero tampoco debería ser necesario tenerlo deshabilitado para poder comentar bajo Tor, ¿no?
#53 A mi a veces se ponía tonto, pero lo conseguía.
Igual me equivoco y desde entonces lo han blindado mas.
#57 si has podido comentar es pq esa ip no la tenian localizada q era de la red thor
#46 Hace un año entraba a meneame a través de TOR por razones que no vienen a cuento y aunque a veces no dejaba comentar o notear otras veces si que podía. No era para tanto.
Otra cosa es el tema de enviar noticias y votos. Es normal que bloqueen esas IP por si algún spammer quiere votar el sólito varias veces a sus propios meneos.
#46 Lamentablemente ese tipo de cosas es lo normal, hay muchos sitios web que se dedican a recopilar información de sus usuarios que muchas veces no vienen a cuento, y a mantenerla aunque ya no la necesiten.
Y por si acaso alguien cree lo contrario, en las empresas hacen lo mismo.
Explican lo que es el HTTPS. UHHHHHHHHH......... qué nivel
#1 Ciertamente; al menos la parte de los datos de usuario, ya que contiene el correo de cada uno de nosotros (los que lo tengamos puesto, y eso es un dato personal) debería ya sólo por eso ser https. El login se hace contra https (como no podía ser de otro modo). Por lo demás, el resto de la web, no necesita serlo, pues no hay nada personal ni delicado.
#6 Aunque muchos webmails usan HTTPS, muchos proveedores de servicios de correo electrónico no usan SMTP sobre TLS para cifrar los correos al intercambiarlos. Ahí, por mucho que uses HTTPS, estás perdido, a no ser que cifres los propios correos. Si no, ni HTTPS ni Tor ofrecen realmente protección para enviar correo electrónico...
Por supuesto no todo el mundo puede acceder fácilmente a los datos que viajan por la red, pero es un hecho que pasan por miles de manos antes de llegar a sus destinos, y no creo que debamos fiarnos de esas personas.
Y no solo se trata del correo electrónico, por supuesto. Se trata de todo lo que hacemos por Internet, que hoy en día es muchísimo.
#7 Espero que todo eso se vaya solucionando con el tiempo, pero la primera vez que estudie un poquito de redes, mi primera impresión es que era algo totalmente rudimentario (en perspectiva) que es no es muy diferente en gritar por la ventana al vecino, y que este haga lo mismo, hasta que el mensaje llegue a la otra punta del mundo donde está el receptor del mensaje.
Al final todos "escuchan" tu mensaje.
#32 "En lo segundo, lejos de ser un experto, no estaría tan seguro."
No soy un experto, pero me encanta la criptografía tanto en matemática como en ingeniería (son como un líquen) y le he echado muuuuuuchas horas al tema.
Yo si estoy seguro
Además que, si no, ¿qué sentido tiene SSL si con un simple proxy te lo tumban?
"Un proxy invisible captura las peticiones en un punto donde aún no se han cifrado"
Error. La petición según sale de tu navegador ya va cifrada. Antes si quieres de llegar al stack TCP del SO, mucho menos al proxy o a la propia red. El proxy ya lo ve todo cifrado.
1. Handshake sin cifrar contra el servidor al que te vas a conectar.
2. compruebas su certificado contra los que proporcionan las CAs (o si lo tienes pinned ni eso).
3. Intercambio de un secreto compartido mediante Diffie-Hellman.
4. Una vez tienes este secreto compartido, TODO dato que sale del navegador en esa sesión va cifrado contra este.
5. De vez en cuando se intercambia un nuevo secreto compartido para renovar la privacidad.
"y es que en las http request se puede ver en plano user/password."
Negativo. Si vas por HTTP sin la S, en efecto, puedes ver todo. Con la S sólo puedes ver IP de origen y destino, la petición va cifrada contra ese secreto compartido y no puedes ver ni las cabeceras HTTP.
"Si tienes una explicación más acertada, te leo"
Que en algún momento la liaste o no usaste SSL o recuerdas mal o había StripSSL de por medio (StripSSL es un proxy transparente, ¿no será esto lo que usaste?) o... no sé, hay mil explicaciones.
Ten en cuenta que si usaste StripSSL no estabas usando HTTPS (porque te redirige a HTTP sin que te des cuenta). De hecho es la razón por la que existe StripSSL, porque con SSL no hay forma de leer nada, así que la unica solución es "stripearlo".
Estoy dispuesto a hacer pública una captura completa de mi conexión a GMail a través del proxy que me digas
#35 True that, acabo de comprobar que cuando te conectas por primera vez con el ZAP te avisa de un riesgo de seguridad debido al certificado (puesto que se usa el propio del ZAP y el navegador lo interpreta como inseguro). Si añades esta excepción es cuando pasa lo que yo comentaba y que casa con lo que tú decías. La verdad es que no me acordaba de ese detalle y junto con tu comentario ahora lo entiendo todo mucho mejor, así que gracias
#37 gracias a ti por comprobarlo de primera mano. ¡Así da gusto!
Enlaces fáciles: Pack TOR: Descargar y ejecutar: https://www.torproject.org/download/download-easy.html.en
También esta el pack de The pirate Bay ( http://piratebrowser.com/ ), pero no se si lo actualizan mucho o si ofrecen algo mas que la marca "Pirata".
#9 Perdona mi ignorancia pero ¿con ese browser ya navegas usando TOR?
#17 sí, pero haz caso al enlace en el cartel:
https://www.torproject.org/download/download-easy.html.en#warning
#17 Si, pero como dice #18 para que sea realmente efectivo no actives ningún plugin.
La navegación anónima es lo que tiene, que no es cómoda.
Los sysadmin somos gente maja y responsable, no mangamos los passwords de las maquinas que administramos. Ademas el cifrado esta para algo.
Según el propio diagrama, pese a usar Tor y HTTPS los policías podrían reunir toda la información. En realidad toda la seguridad reside en que es técnicamente complejo relacionar una conexión y su ubicación hacia la red Tor con la conexión (y toda su información) de salida de la red Tor hacia cierto servicio. Pero no imposible.
También notad que el primer relé Tor conoce la ubicación de la llamada. Y pese a que no puede relacionar esa conexion con nada, incluso esta pequeña falta de privacidad es puede solucionar ejecutando nuestro propio relé, siendo parte activa de la red Tor. De hecho la seguridad de Tor también se basa en que la NSA no controle una gran fracción de relés y la única forma de evitar eso es que muchos usuarios administren el suyo propio.
#19 por supuesto que la policía puede usar una orden judicial contra el dueño de "site.com" para ver todo lo que llega a su servidor. La única IP que van a ver es la del último relay, pero los propios datos obviamente están disponibles.
Moraleja: si usas Tor para conectar a una web HTTPS estás a salvo mientras que no hagas login.
Moraleja 2: si usas Tor, mejor quédate dentro de Tor, que ahí nadie puede ver una mierda.
Ojo con lo de ser relé en Tor. Aquí en Menéame me banearon por aparecer 10 segundos en la lista de relés por error.
#33 A ver, igual me he explicado mal, el proxy en mi propia máquina y pasando a través de él el tráfico de mi propio ordenador. De otra forma si sería un tanto preocupante.
Ojo con eso de que HTTPS/SSL nos protege de la NSA; entre los documentos de Snowden se documentaba cómo se inmiscuían en los organismos de estandarización, introduciendo deliberadamente vulnerabilidades en algoritmos de cifrado.
Creo que hay un error. Segun el diagrama, con https el hacker haciendo un man-in-the-middle en la wifi teóricamente no puede ver la password. Pero en el programa de Salvados en que salió Chema Alonso, este demostró que sí es posible.
No recuerdo los detalles, pero creo que falsificaba el certificado y conseguía passwords de sitios https como Facebook o Google. Creo que este ataque lo tenía documentado en su blog.
#11 Es correcto, pero como has dicho, para poder hacer eso debería estar "En el medio" de la conexión, en el caso del gráfico no es más que alguien que escucha la conexión.
#11 el ataque en concreto para los sitios que usan HTTPS es hacer que los links no lleven a https:// sino a http://.
Como la gente entra por http://www.google.com al resto de webs (o es la impresión que me da) y esta no está protegida por http, te pueden hacer un MITM antes de llegar siquiera al destino.
Busca por "sslstrip".
#16 El otro día lo comentaba con un amigo. Estava muy preocupado por SSL pero lo que dices me tranquiliza. A ver si veo el programa y saco algo más en claro.
#21 no os preocupéis. Mientras haya "candadito" al lado de la URL y uséis un navegador moderno con una suite criptográfica decente, todo OK.
#23 Es que él me lo vendía como que podían inspeccionar el tráfico HTTPS tranquilamente como si hubieran roto SSL o se hubiesen comprometido certificados francia-style Google descubre que el gobierno francés utilizaba certificados falsos para espiar a los usuarios
Google descubre que el gobierno francés utilizaba ...
redeszone.netMe imaginaba algo así pero no tenía más datos. ¡Cuidado con el candadito al lado de la URL que el python que distribuyen se encarga de establecerlo como icono!
#25 > ¡Cuidado con el candadito al lado de la URL que el python que distribuyen se encarga de establecerlo como icono!
¿A qué te refieres?
#11 En ese programa lo que pasaba es que él mismo montaba el punto de acceso y la red wifi por lo que era un man-in-the-middle de libro y por eso podía ver todo.
Puedes comprobarlo tú mismo en tu ordenador, con un proxy invisible como ZAP, w3af o WebScarab y haciendo que tu tráfico pase por él, conéctate al correo y a la vez captúralo con wireshark. Comprobarás que en el proxy podrás ver sin problemas tu user y password en texto plano mientras que en el paquete de wireshark aparecerá cifrado.
#29 por mucho MITM de libro que hagas, no hay Dios que esnife los datos HTTPS sin que salga un cartel enorme en tu navegador de "SAL CORRIENDO".
Si tiras de HTTPS, tira de certificado. No puedes hacer un MITM a ese certificado sin soltar cartel. Muchos de estos certificados (especialmente de las CAs) vienen pinned en el propio navegador/SO.
Si puedes ver tu user/pass en texto plano es que NO iba cifrado, a no ser que llames cifrado a su representación hexa en los paquetes TCP o al encoding que usa el basicauth de HTTP (que sigue sin ser cifrado).
#30 En lo primero tienes razón, la verdad es que no había visto el programa y sí parece ser que utiliza SSLStrip, o eso he creído entender yo.
En lo segundo, lejos de ser un experto, no estaría tan seguro. Un proxy invisible captura las peticiones en un punto donde aún no se han cifrado y es que en las http request se puede ver en plano user/password. De hecho es que esta prueba la tengo hecha y sí, van cifrados porque en los paquetes TCP sobre TLS capturados en la interfaz de salida con wireshark se comprobaba que así era. Si tienes una explicación más acertada, te leo, en serio lo digo porque esta fue la conclusión a la que yo pude llegar y que siempre he creído la más cercana a la realidad. Te hablo de haber hecho la prueba con páginas como gmail y demás.
#32 Si puedes capturar las peticiones antes de cifrarlas, es que el sistema de origen está comprometido y no puedes confiar en él. Ahí ya no hay HTTPS ni Tor ni ningún cifrado que valga.
Veo porno
La privacidad ¿para hacer qué?
#4 Es un derecho fundamental. ¿O acaso te gustaría que todo el mundo pudiese leer tu correspondencia?
#5 De acuerdo que es un derecho, pero los protocolos actuales de webmail ya usan HTTPS (al menos los conocidos) y otras técnicas de cifrado de datos, no creo que todo el mundo como indicas pueda acceder fácilmente a las cuentas.
#6 al usar TOR y HTTPS no haces uso tampoco de cifrado de datos a nivel de correo no es así? el intercambio sigue siendo entre el servidor de mail y enviado a través de la red con origen una tercera máquina/servicio, entonces hablamos de lo mismo pero desde otra máquina/servicio.
#8 me preocupa como a todos, pero sinceramente no creo que necesite nada más allá del sentido común y las herramientas más "del día a día" para lo que normalmente suelo hacer (que no creo que difiera mucho de lo que hace el resto), evidentemente no quita que puedas hacer uso de otras aplicaciones o servicios... pero en este caso y aplicado al mail no lo veo.
#10 cuando usas Tor no usas GMail y, de hecho, evitas en la medida de lo posible salir a la web normal.
#4 Si no te preocupas por la privacidad, eres un ignorante.
#4 para ser libre, sino se convertirá en un privilegio de unos pocos.
#4 para votarte negativo ... por ejemplo ...
Benjamin Franklin — 'Quien renuncia a su libertad por seguridad, no merece ni libertad ni seguridad'
la NSA vende seguridad cual que es falsa cual esa seguridad no protege a nadie solo vale para formar la cabeza de turco mas apropiada para echarles las culpas
imagínate que dices por SMS un colega
-Tío es la Bomba, lo que llevo es la Bomba, cuando lo escucha lo sabrás
a la hora explota en tu misma ciudad un coche bomba, pues gracias al mensaje tu llevaba la bomba, pero tu lo que llevabas para tu colega era la "Booombaa de king África" para que lo escuche tu colega
ahora como te defiendes que era eso y no era el coche bomba, vas a contarle a toda España que todavía a tu edad escuchas King África? (preferible aceptar que tu llevabas el coche bomba)
#4 "La privacidad ¿para hacer qué?"
No, no es "para hacer qué", sino "para que NO te hagan qué".
Por ejemplo, para que NO te jodan la vida interpretando alguna chorrada a su manera, como lo que pone #36.
Si nadie tuviese privacidad, las 24h... ni la gente de a pie, ni la NSA, ni NADIE... todo el mundo se andaría con pies de plomo antes de acusar a alguien en falso, sabiendo que la misma regla de tres se le puede aplicar también a él.
Cuando unos tienen privacidad (ej: NSA) mientras que otros no la tienen (cuidadanos)... y peor aún: la NSA es la ÚNICA que tiene acceso a esos datos, sin que nadie más pueda contrastarlos... el resultado es que pueden hacer lo que les salga de la polla.
Si te acusan en falso, te jodes. No puedes demostrar lo contrario, no tienes esos datos, solo ellos los tienen y pueden interpretarlos como les dé la gana, sin necesidad de hacerlos públicos, mientras el resto nos tenemos que creer sus interpretaciones a pies juntillas.
#4 Yo te lo explico y me vas a entender perfectamente, pero primero pon en comentario aquí debajo tu nombre, apellidos y dirección.