sinacor390

Probabil peste 10 ani nici notificare la 6 dimineata nu iti mai dau. Te trezesti direct in Desert pe undeva ca in Mad Max si o drona e trimisa spre tine sa te extermine ca cica esti Cyber Terorist.

Acum eu cred tu confuzi ceva. Exista doua tipuri de Man in the Middle si tu te gandesti ca doar unul exista. Atacul 1. Man in the Middle prin care NSA, ISPs schimba certificatul SSL prin care compromite domeniul whatsapp.com si te redirectioneaza catre un serverul administrat de NSA. Eu nu vorbeam de acest scenariu. Plus ca e in scenariu mai complicat ca totusi si serverul whatsapp ar trebui sa aibe baza de date si sa fie actualizat cu noul cod sursa al serverul web ca sa nu existe probleme de compatibilitate. Atacul 2. Man in the Middle prin care serverul whatsapp targheteaza anumiti utilizatori (gen Alice sau pe Bob) prin care inlocueste cheile publice a celor cu care comunica respectivii. Cred ca tu nu iei in calcul ca exista doua tipuri de atacuri bazate pe Man in the middle. Eu cand am inceput sa vorbesc de MiTM pe whatsapp, vorbeam de atacul nr 2. Ulterior am vorbit cum NSA poate sa compromita si certificatele SSL. Dar NSA nu s-ar chinui asa de rau ca META si Zuckerberg suge pula NSA-ului in fiecare zi.

Doar daca erai angajat la NSA si aveai access la platforma XKeyScore. Din cate am inteles XkeyScore e accessibil si in Europa dar nu access la toata baza de date. Dar din cate as crede nu cred ca ai access la platforma XKeyScore. Mai incearca sa iti reamintesti parola.

NSA garantat ca poata sa faca MITM pe TLS cetatenilor Americani. Cu siguranta NSA are cel putin un contract cu un issuer de Certificate Authority. Probabil exista firme paravan care sunt whitelsitate ca CA si ele sunt defapt controlate de NSA. Firmele de sunt whitelistate ca CA sunt trecute in browsere. Astfel NSA are capacitatea de a create certificate SSL care sunt acceptate de browsere. Stim deja ca NSA are solutii integrate direct la ISPs din SUA printre care Verizon, Xfinnity, Viasat Internet, AT&T. De ce ai crede ca nu ar putea targeta anumite grupuri de utilizatori de mare interes din SUA ca serverele de DN ale ISPs sa trimita certificate SSL create de NSA si care vor fi acceptate de browser / sistemul de operare. https://security.stackexchange.com/questions/71171/is-there-anything-preventing-the-nsa-from-becoming-a-root-ca Intrebarea mai revine, poate STS sa faca MITM pe TLS? Posibil, dar cred ca nu. STS-ul ar avea nevoie de firme paravan care sa fie CA si integrate in sistemul de operare, browsere. Cum aceste liste sunt whitelistate numai ce firme americane (Microsoft, Mozilla) e posibil sa nu. Poate NSA sa faca MITM pe TLS la cetateni Romani ? Trebuie ca NSA sa aibe access la ISPs autohtoni: Vodafone Romania, Orange Romania, Digi SA etc. As zice ca nu au access sau cel putin STS-ul nu stie daca au si cum au access. Deasemenea spoofing de certificate SSL ar putea fi verificate. Orice utilizator din Romania cand acceseaza un site web ar trebui sa primeasca acelasi certificate SSL. Poate sa faca NSA MITM prin Tor ? Da, pentru ca certificatele SSL sunt descarcate de la exit node-uri, dar e mai greu sa targeteze un anumit utilizator ca trebuie sa stie tot circuitu. Este TOR safe sa fie accesat pe clear web? NOPE

Ba vere tu te-ai nascut prost ? Ai cazut in cap cand erai mic? Ai dat macar o cautare pe GOOGLE cum Whatsapp, Signal iti poate face Man in the middle inlocuind cheile publice? Eu nu am dat pe google ca stiam cum functioneaza protocolul dupa ce am citit documentatia de la whatsapp (ceea veche) si documentatia de la signal. Nu trebuie nici un update, nici un exploit, nu trebuie nimic. Ei (Meta, respectiv Signal) pot rula doar un script de 10 linii de cod si iti fac MAN IN THE MIDDLE inlocuind cheia YYYY cu ZZZZ fara ca tu sa stii. Signal are posibilitatea sa vezi cheia publica, insa iti mai trebuie un alt canal securizat si sa o verifici manual. Pe whatsapp parca nici nu poti sa verifici. Cel putin ultima data cand am folosit whatsapp eu nu am avut acest feature. In fine. Da dracului un Google si aflii cum NSA poate sa iti faca man in the middle cu 10 linii de cod pe absolut toate aplicatiile de chat populare gen: Whatsapp, Signal, Telegram, Matrix, XMPP, iMessage . Sigur NSA poate sa faca MiTM cu complicitatea firmelor de mesagerie online integrand scriptului de 10 linii pe serverul lor. citeste aici explicatia pentru toti prostii care au IQ sub 70 https://security.stackexchange.com/questions/211828/man-in-the-middle-attacks-in-end-to-end-encryption https://medium.com/@mesibo-real-time-communication/enhancing-signals-end-to-end-encryption-algorithm-eliminating-man-in-the-middle-and-other-7ecb5b23a3df Ti-am explicat in 5 postari si tu tot comentezi ca e imposibil. Prostul din curtea scolii. Prostul pana nu comenteaza nu e fudul.