La CIA te echa una mano con Wireshark. Vault 7

wikileaks-796x398
Imagen 1. “Year Zero” , primera parte de Vault7. 

Hace poco con las revelaciones de Wikileaks: Vault 7, y en su primera parte, denominada “Year Zero“, con mas de 8000 archivos filtrados de la CIA, donde se desvela el fuerte espionaje electrónico propiciado por la Agencia Central de Inteligencia, me encontré con un documento en el cual a la CIA parece haberle tocado sufrir el típico error que salta cuando en Ubuntu ejecutas Wireshark sin ser usuario Root, que no se ve ninguna interfaz, pues para ayudar a solventar el dichoso problema, hay un fichero por ahí dentro de los 8000, con la siguiente información:

Crear un grupo para Wireshark

sudo groupadd wireshark

Añadir tu nombre de usuario al Grupo de Wireshark

sudo usermod -a -G wireshark YOUR_USERNAME

Cambiar el grupo del propietario del fichero dumpcap a Wireshark

sudo chgrp wireshark /usr/bin/dumpcap

Cambiar los permisos del archivo dumpcap para permitir la ejecución del grupo Wireshark

sudo chmod 750 /usr/bin/dumpcap

Otorgar ‘capabilities’ con setcap

sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap

Para explicar las ‘capabilities’, debemos comentar que anteriormente la estructura fundamental del Kernel, distinguía entre dos categorías de procesos: ‘privilegiados’ y ‘sin privilegios’ los procesos con privilegios eran los que se ejecutaban con el usuario Root y los procesos sin privilegios eran los ejecutados por los demás usuarios. A partir del Kernel 2.2 se dividen los privilegios asociados al superusuario (root) en varias unidades (capabilities), las cuales pueden ser activadas y desactivadas. En el comando anterior, podemos ver que con setcap establecemos dos de estas ‘capabilities’ para el archivo dumpcap, su significado es el siguiente:

  • CAP_NET_ADMIN – Permite realizar operaciones relacionadas con la red (Activar modo promiscuo, modificar tablas de enrutamiento, modificar la configuración de una interfaz).
  • CAP_NET_RAW – Permite el acceso en bruto a una interfaz.

Una vez hecho el cambio se verifica

sudo getcap /usr/bin/dumpcap
 STDOUT = /usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

Probarlo, a ver si como a mi, os funciona correctamente.

La información fue obtenida del siguiente enlace: https://wikileaks.org/ciav7p1/cms/page_15728950.html

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s