Come posso eliminare i dati sensibili da un rapporto del registro di Wireshark?

Naviga le tue risposte
2

Ho un'app di sincronizzazione che non funziona e lo sviluppatore mi ha chiesto di provare ad eseguire una sincronizzazione con Wireshark acquisendo i dati e inviandogli il log di Wireshark.

Ho notato che Wireshark salva i dati sensibili nel log, come l'indirizzo MAC di entrambi i miei dispositivi coinvolti nel processo di sincronizzazione. Esiste una funzionalità integrata con la quale posso rimuovere tutti i dati sensibili dal log che devo consegnare allo sviluppatore? Qualche strumento esterno?

Domanda bonus: lo sviluppatore ha una buona ragione per chiedere questi dati, ma non mi ha detto nulla sul fatto che il registro conterrebbe dati sensibili. Cosa dovrei fare? Questi dati sono davvero così importanti? Avrebbe dovuto avvertirmi?

    
posta doplumi 22.10.2014 - 13:26
fonte

2 risposte

5

Sei sicuro che i dati nei dati sensibili siano di cattura? Se è l'indirizzo MAC di cui sei preoccupato, posso assicurarti che non è sensibile e non è affatto utile a nessun potenziale aggressore.
Gli indirizzi MAC non sono tracciabili e non vengono utilizzati per alcun tipo di autenticazione (oltre alle whitelist WIFI, che richiederebbero al tecnico di trovarsi nel raggio della rete WIFI).
Infatti, nella normale situazione, l'indirizzo MAC mai lascia la rete locale (I.E. Non arriva mai a Internet).

Allo stesso modo, gli indirizzi IP locali non usciranno su Internet e saranno modificati dal router / modem.

    
risposta data 22.10.2014 - 14:22
fonte
2

Potresti eseguire disinfettare contro la tua cattura. A seconda di ciò che si desidera disinfettare, esiste una soluzione pseudo per farlo con perl, tuttavia ciò che si finisce per fare è modificare le cose se non eseguite correttamente. Supponiamo che tu volessi disinfettare un noto conosciuto - diciamo un IP (10.1.1.2)

(Copia originale in modo da non rovinare le cose in anticipo) 

perl -pi -e 's:31 30 2e 31 2e 31 2e 32:31 32 37 2e 30 2e 30 2e 33:g' your.pcap

Questo convertirà l'esagono di 10.1.1.2 in 127.0.0.3, non importa dove sia visto. Il problema sarebbe un esagono sovrapposto. È possibile eseguire tcpdump al volo e convertirlo pure: ad es. 

tcpdump -R yourfile.pcap | perl -p -e 's:31 30 2e 31 2e 31 2e 32:31 32 37 2e 30 2e 30 2e 33:g' >> new.pcap

Ho già fatto entrambe le cose con successo, tuttavia c'è spazio per mordere le cose. (esadecimale sovrapposto).

MODIFICATO PER RISPONDERE ALLA TUA DOMANDA SUL BONUS

Mentre è meglio prevenire che curare, devi avere una qualche forma di fiducia nel tuo venditore, altrimenti ci sono problemi più grandi. La rapida soluzione non tecnica per questo è garantire che qualsiasi messaggio contrattuale contenga informazioni relative alla privacy, sia come modalità di una NDA o altre garanzie legali.

    
risposta data 22.10.2014 - 13:38
fonte

Leggi altre domande sui tag

Posso nascondere i dettagli del torrent dal mio ISP? [duplicare] Buffer overflow - canister terminatore