Metodo de infeccion de paquetes de actualizacion de aplicaciones comerciales

[MARCELO JAVIER MENDOZA]

Hola gente,

Queria compartir con uds una info de wikileaks de un metodo de  intercepcion de updates para aplicaciones comerciales con soft de tracking y monitoreo remoto hecho por los gobiernos. Es decir, por ejemplo cuando el openoffice baja un update, un server intercepta el paquete, lo infecta con algun soft y lo devuelve como si lo descargara del sitio oficial.

Me parecio "muy" increible. Me gustaria saber sus comentarios, si los desean compartir.

Saludos!

Marce.-

[Dardo Valdez]

Muy bueno Marcelo. 

El software y hardware de DPI (Deep Packet Inspection), laburando en capa 7, es habitual desde principios del 2000 (y fijáte, en Ctes. / Bs.As., ví las primeras generaciones - menos potentes, de aplicación en ámbitos civiles - desde 2004) ; además de otros productos que laburan directamente en capa 1. Como se puede ver en los files filtrados muchos productos no tienen encima menos de 4-6 años de experiencia e ingeniería encima. Claro, existe hardware así desde mucho antes, evidentemente.

Tenés de todo en oferta: hard para pinchar fibras, cobre, en línea (no hace falta configurar nada en los equipos de networking interceptados, el más buscado para captura subrepticia de datos), fuera de línea (agregando configuraciones de port spanning en los equipos de red, MUCHO más baratos que los anteriores, y que podés llegar a encontrar en muchos NOC de empresas en Argentina); querés pinchar a Giga (y que el fierro se banque storear el 100% del tráfico, al menos un par de horas y en al menos 2-4 puertos, se puede), lo más importante por ahí es el hard que permite auditar protocolos supuestamente seguros, haciendo un MITM 100% efectivo e irrastreable en SSL y otros protocolos de comunicación seguros.

Calculá que especular que una "caja" de estas, especializada en tracking y retroseguimiento por análisis de patrones de tráfico para TOR debe haber en alguna de estas empresas, solamente "comprable" si sos del club de países que tiene el clearence level necesario (para saber que existen y para poder comprarlos).

Fijáte los productos que tienen 24, 48 puertos (o mucho mejor), para capturar (pinchar), linkeado opcional a storage para darle acceso a datos históricos a las herramientas de auditoría (espionaje); sino tenés acceso "online", sobre los datos que pueda guardar la caché local de los equipos, y el soft de auditoría tiene un rango de tiempo limitado de datos cacheados para trabajar.

Muchas empresas - como se ve - venden hard mucho más potente que el disponible al público de parte de los grandes y pequeños proveedores para ámbitos informáticos civiles. Lo que pasa es que si las hojas de producto y material de marketing que se filtraron no está disponible en Internet, tal como sí es el caso de un producto de networking estándar, por ejemplo un switch de 48 puertos, un appliance de seguridad para filtrado de correos, antivirus, etc.etc.

Como nota al pie, la mayoría de los productos listados ahí se ofrecen en gral. a fuerzas de seguridad de todo tipo, en forma privada y bajo firma de NDAs para acceder a material de marketing como el filtrado. Y Argentina normalmente no tiene suficiente clearence para adquirir - y/o saber que existe - ni la mitad de todo lo que está ahí en esa lista de hardware.

Muchas veces mencioné y comenté sobre este tipo de hard y soft, que tuve la/s oportunidad de conocer, pero fuera del ámbito de seguridad IT y networking, no se sabe - sabía - mucho al respecto, así que casi siempre que se lo mencionaba a alguien que no es del palo, sonaba medio como scifi o un conspiracy guy; lo que nos lleva a la frase: "que seas paranoico no quiere decir que no pueda ser real el que te estén vigilando".

Sldos.

Dardo

Dardo Valdez

--
You received this message because you are subscribed to the Google Groups "Dev/Ops" group.
To unsubscribe from this group and stop receiving emails from it, send an email to dev_ops+u...@googlegroups.com.
For more options, visit https://groups.google.com/groups/opt_out.