sábado, 29 de enero de 2011

Depurar conexiones HTTPS

Tienes una aplicación Internet que no funciona y los mensajes de error no ayudan... ¿qué se puede hacer?

Pues se arranca Wireshark, y se puede ver las conexiones de la aplicación, si las peticiones funcionan, si hay respuestas incorrectas. No siempre ayuda, pero la mitad de las veces te permite arreglarlo.

¿Pero qué pasa si la comunicación es HTTPS? Bueno, está cifrada por lo que el analizador no nos va ayudar demasiado... pero he aquí que hay otras posibildades. Han hecho falta tres o cuatro búsquedas de Google, pero al final es posible.

La cuestión está en conseguir un proxy especializado en intercepción de conexiones HTTPS. Parece ser que no es muy difícil. Hoy estaba usando Mac OSX, por lo que es levemente más difícil, pero Burp Proxy me ha funcionado a la primera. Hay bastantes alternativas, por lo que he visto, pero ¿para qué mirar más?

¿Cómo funciona? Se arranca la aplicación, se cambian las opciones del navegador para que utilice proxy para HTTPS, usando la dirección del programa, 127.0.0.1:8080, y en la pestaña de proxy aparecen todas nuestras peticiones, seguramente descifradas para la depuración que se quiera hacer.

Para que funcione cómodamente, la propia aplicación genera un certificado falso para cada página web, basado en una autoridad local generada localmente. No hay más que confiar en esa autoridad para siempre... y ya está toda nuestra seguridad perdida irremediablemente y sin esfuerzo adicional. Por lo que no hay que olvidarse de borrar el certificado una vez se haya acabado...

La aplicación tiene múltiples otras opciones que puede aplicar por conexión, interviniendo las peticiones, las respuestas... pero ¿quién querría usar eso para depurar?

domingo, 2 de enero de 2011

Anécdotas finales del 27c3

Bueno, no puede haber ningún CCC congress sin un poco de blinkenlights, esta vez estaban en el bar del BCC.

Como ya decía al principio, este ha sido uno de los años de CCC en los que en la calle se podía patinar gratis (el logro está en no caerse). Supongo que por eso también las pistas de patinaje público también se puede patinar gratis.


Todo esto está causado por la nieve, que a -10º C, lo cubre todo, las calles.

los árboles


Los coches y las bicicletas



Y claro a esa temperatura hay témpanos de hielo en todas partes, afortunadamente no se caen encima de la gente... al menos hasta el deshielo.



Los alrededores del BCC tienen su propia cosecha de viejos edificios comunistas pendientes de renovación, como éste que gracias a eso alberga uno de los relojes más precisos del mundo... una vez al día.


No sé cómo leer esto, pero todas mis nociones de alemán me hacen pensar que Thomas le ha caído bien a alguien...


Una traducción resumida dice: "Hey Thomas, nos hemos conocido en Matrix, lo he pensado y me gustaría volver a verte..." Eso sí, era más interesante cuando pensaba que Matrix era "la Red" en vez de una discoteca de Berlín. Claramente debe de ser que piensa que Thomas pasa cerca de esa farola con frecuencia...

sábado, 1 de enero de 2011

Los hackers hackeados

En el congreso del CCC, este año los tickets de entrada no han sido tan fáciles de obtener como el año pasado. Sin embargo, los tickets son igual que los años pasados: sencillos.

En concreto, son unas pulseras que se sellan de modo que una vez cerradas sobre la muñeca de alguien no puedan intercambiarse más que cortándolas: un método anónimo, pero desafortunadamente tiene algún problema de fiabilidad: es posible quitárselas sin que se note demasiado, y después pasársela a otro. He aquí las pruebas...

Eso sí, no parece que haya afectado a la concurrencia de gente: las salas seguían estando igual de llenas que los últimos dos años, con mucha gente en pie, dificultades para sentarse y masificación en general. Y eso que además hay muchas personas que atienden remotamente. Quizá sea el momento de repensárselo para el año que viene...