¿Cómo puedo eliminar los datos confidenciales de un informe de registro de Wireshark?

Navega tus respuestas
2

Tengo una aplicación de sincronización que no funciona y el desarrollador me pidió que intentara realizar una sincronización con Wireshark capturando los datos y enviándole el registro de Wireshark.

Me di cuenta de que Wireshark guarda datos confidenciales en el registro, como la dirección MAC de mis dispositivos involucrados en el proceso de sincronización. ¿Hay alguna función incorporada con la que pueda eliminar todos los datos confidenciales del registro que necesito entregar al desarrollador? ¿Alguna herramienta externa?

Pregunta extra: El desarrollador tiene una buena razón para solicitar estos datos, pero no me dijo nada sobre el hecho de que el registro contendría datos confidenciales. ¿Qué tengo que hacer? ¿Son estos datos realmente tan importantes? ¿Debería haberme advertido?

    
pregunta doplumi 22.10.2014 - 13:26
fuente

2 respuestas

5

¿Está seguro de que los datos en la captura son datos confidenciales? Si lo que le preocupa es la dirección MAC, puedo asegurarle que no es sensible y que no es útil para ningún atacante potencial.
Las direcciones MAC no son rastreables ni se utilizan para ningún tipo de autenticación (además de las listas blancas de WIFI, lo que requeriría que el técnico esté dentro del alcance de su red WIFI). De hecho, en la ejecución normal de las cosas, la dirección MAC nunca abandona su red local (I.E. Nunca llega a Internet).

Del mismo modo, las direcciones IP locales no se enviarán a Internet, y su enrutador / módem las cambiará.

    
respondido por el Chris Murray 22.10.2014 - 14:22
fuente
2

Puede ejecutar sanitize contra su captura. Dependiendo de lo que quieras desinfectar, hay una pseudo-solución para hacer esto con perl, sin embargo, lo que terminarías haciendo es destrozar las cosas si no se hace correctamente. Supongamos que desea desinfectar un conocido conocido, digamos una IP (10.1.1.2)

(Copia el original para que no arruines las cosas de antemano) 

perl -pi -e 's:31 30 2e 31 2e 31 2e 32:31 32 37 2e 30 2e 30 2e 33:g' your.pcap

Esto convertirá el hex de 10.1.1.2 en 127.0.0.3 sin importar dónde se vea. El problema sería cualquier hexadecimal superpuesto. Puede ejecutar tcpdump sobre la marcha y convertirlo también: por ejemplo, 

tcpdump -R yourfile.pcap | perl -p -e 's:31 30 2e 31 2e 31 2e 32:31 32 37 2e 30 2e 30 2e 33:g' >> new.pcap

Los dos lo he hecho antes con éxito, sin embargo, hay espacio para destrozar cosas. (hexadecimal superpuesto).

EDITADO PARA RESPONDER A SU PREGUNTA BONIFICADA

Si bien es mejor prevenir que lamentar, tiene que tener alguna forma de confianza en su proveedor, de lo contrario hay problemas mayores. La solución rápida no técnica para esto es garantizar que cualquier jerga contractual contenga información relacionada con la privacidad de cualquier forma de un NDA u otras garantías legales.

    
respondido por el munkeyoto 22.10.2014 - 13:38
fuente

Lea otras preguntas en las etiquetas

¿El software no deseado (como el software espía) ya presente puede detectar al usuario que intenta instalar un software antivirus y ocultarse? Desbordamiento de búfer - terminadores canarios