Un problema de seguridad se ha venido encima de Intel en las últimas horas. Tras diferentes rumores acerca de la filtración del código fuente BIOS UEFI de las CPU Alder Leak, ahora desde la propia Intel han afirmado que esto es algo completamente verídico.
Los "expertos" están tan preocupados porque ahora cualquiera podrá explotar las puertas traseras que Intel preparó para las agencias de seguridad de EEUU.
#10 primero, tengo más de 30 años y soy ingeniero informático. Igual tendrías que tener un poco más de cautela, bajar los humos y mantener un poco las formas.
Segundo, de conspiraciones nada, está más que probado que la NSA y otras agencias de seguridad tienen puertas traseras en todo tipo de tecnología estadounidense. Por ejemplo:
#12 el creador de esta web fue mi profesor, y de hecho saqué matricula con él.
La fuente de dicha información son las propias leyes de seguridad de EEUU, que obligan a todas las empresas que exportan tecnología a dar acceso a las agencias de seguridad de EEUU de una forma u otra. Está perfectamente explicado en el enlace que te he dado antes.
Si quieres puertas traseras a nivel de hardware y firmwares, ahí tienes Meltdown o Expectre, que son los más famosos, pero hay muchos otros:
#13 No me jodas. ¿Galli? te suspendió, supongo. (Otro de Bulma)
Meltdown y Expectre son vulnerabilidades, no puertas traseras. Es una diferencia muy importante, puedes engañar a un fanboy, pero no tiene gracia confundir a quien sabe de qué habla.
Las leyes de EE.UU. no obligan a habilitar puertas traseras, mucho menos en el microcódigo del hardware, esa vía se cerró en los años 90 con el chip clipper. Legalmente, ya no tienen esa posibilidad, dado que los fabricantes se niegan al key scrow en todos sus productos destinados a terceros países y exportación (ningún gobierno compraría esos chips)
Lo que mencionas es un formalismo legal que obliga a la cooperación del fabricante, que es lo que sucedía con Snowden y la FISA.
No te inventes historias para tener algo que contar.
Por supuesto que los fabricantes de hardware, o las empresas desarrolladoras de software como Microsoft, siempre van a negar dichas acusaciones, faltaría más, idiotas no son.
Y de fanboy nada, también te puedo hablar de puertas traseras en la competencia de Intel/Microsoft, como puede ser el caso del iPhone de San Bernardino o Pegasus, que son "exploits" zero day que "casualmente" siempre son explotados por empresas de Israel, que no es más que el patio trasero de EEUU.
También te puedo hablar de puertas traseras en el kernel Linux introducidas por la propia NSA, de SELinux se habló muchísimo en su día, o intentos de introducirlas, confirmado por el propio Linus Torvalds.
#19 Y dale con el FUD. "Es que los fabricantes nos engañan" si son los primeros en no querer puertas traseras para seguir vendiendo, por favor. Tengo el argumento definitivo. Zyprexa. Te lo pones en el cerebro y ya no te espían con ningún chip 5G. Pásalo. Como en Matrix.
#20 ante la falta de argumentos recurres a la ridiculización, apelación al ridículo de manual.
No se si te has dado cuenta de que con tu apelación al ridículo llamándome conspiranoico estás haciendo lo mismo con Linus Torvalds, la EFF, los desarrolladores de Libreboot y muchos otros expertos que opinan lo que te acabo de contar, lo cual obviamente a quien deja en mal lugar es a ti mismo.
#22 perdona pero no es cierto lo que dices, te he puesto enlaces como fuentes para respaldar mis afirmaciones, como me has pedido en #12 y tú en lugar de leerlas e intentar debatirlas has prefiero apelar al ridículo. Pues bien, yo te estoy recordando que he puesto esas fuentes y de quienes se están haciendo eco las mismas, que evidentemente son eminencias en la materia.
#18 la diferencia entre una vulnerabilidad y una puerta trasera es que es una casual y la otra es causal. No hay ninguna más. Y precisamente esas dos (meltdown y espectre) siempre han tenido un halo de duda. Es bien sabido que la NSA ha debilitado intencionalmente algoritmos, y en algunos casos incluso es público (mirate la família export de SSLv2, que son algoritmos debilitados intencionalmente por el gobierno de EEUU aptos para la exportación de.material criptografico). El circo es tal que ciertos detalles como las SBOXES de DES jamás se ha sabido bajo que conceptos de diseño se fijaron, y ahí siempre ha existido la duda de que su elección quizás apunte a potenciales "vulnerabilidades" que sean en realidad "puertas traseras".
Respecto a clipper y las leyes, son una cosa. El gobierno es otra, y es normal que un fabricante o una red de importancia sufra presiones fuera de la ley. Y es un secreto a voces que el microcodigo de ciertas CPU están vendidos, y por eso EEUU es reacio a importar CPU's para ciertos entornos
#24 Mira, todo eso le puede sonar muy técnico a alguien que no sepa del tema pero para los que sí, solo suena a conspiranoia, que lo es. De lo que hablas es de las prohibiciones de exportación de cifrado fuerte... durante la guerra fría, el famoso COCOM. El caso que mencionas es cuando IBM creo una versión de clave criptográfica deliberadamente débil a requerimiento de esa normativa, el CDMF.
Todo se fue al traste durante las guerras criptográficas del PGP y Phil Zimmermann. Ganaron los buenos y la NSA ya no mete las narices. Fin.
#16 Que a esa filtración hayan accedido más gente con intereses deshonestos que gente honesta está por demostrar.
Es mejor ir a la máquina física a actualizar el firmware por uno más seguro que no ir y dejarlo que siga inseguro porque no nos hemos enterado que es mejorable.
Bienvenidos al siglo XXI, donde ya sabemos que hacer público el código no es un riesgo de seguridad, sino todo lo contrario.
Tan fácil tienen encontrar vulnerabilidades los que tienen intereses maliciosos como quienes tienen interés en que su equipo sí sea seguro, por lo que entre todos esos ojos los habrá que lo usarán para mal y otros que lo reportarán para que se corrija.
#2 Bienvenidos al siglo XXI, donde ya sabemos que hacer público el código no es un riesgo de seguridad, sino todo lo contrario
Eso es cuando el código se creó para ser público. Cuando lo crean para ser secreto nadie pierde tiempo en hacerlo bien porque "¿quién se va a dar cuenta si no ven el código fuente?"
#5 No creo que Intel no se moleste en "hacer bien" un código tan crítico, y que encima pasa por muchas manos. Dudo mucho que los ensambladores no tengan parte o la totalidad de dicho código, de hecho creo que es la procedencia de la filtración.
#14 Tiene esas mismas implicaciones sea de código abierto o cerrado, su código sea público o no lo sea.
Dices que estás de acuerdo pero lo que transmite realmente tu comentario es que es un peligro añadido que se publique el código, por lo que diría que no estás de acuerdo.
Yo no soy racista y estoy de acuerdo que los negros pueden hacer las mismas tareas que los blancos. Pero es que estamos en la NASA y aquí lo que hacemos pone en riesgo vidas humanas.
#15 Estoy de acuerdo a nivel general. El codigo libre es más seguro y habría que apostar por ello.
Pero el código robado no es código libre.
Y una filtración en un firmware hace que el mundo sea más inseguro porque no se puede actualizar con un apt get update mientras tomas un cafè. Muchas veces hay que ir físicamente a la máquina
Comentarios
Los "expertos" están tan preocupados porque ahora cualquiera podrá explotar las puertas traseras que Intel preparó para las agencias de seguridad de EEUU.
#4 Eso ya lo metió en el microcódigo del procesador.
#4 Llega el chaval de jugar al fortnite en la PS3, suelta la conspiración en cualquier lado, y llega alguien y dice "tiene sentido".
#10 primero, tengo más de 30 años y soy ingeniero informático. Igual tendrías que tener un poco más de cautela, bajar los humos y mantener un poco las formas.
Segundo, de conspiraciones nada, está más que probado que la NSA y otras agencias de seguridad tienen puertas traseras en todo tipo de tecnología estadounidense. Por ejemplo:
https://en.wikipedia.org/wiki/NSAKEY
#11 Disculpa que te haga la pregunta de entrada, ¿por qué facultad eres ingeniero?
Lo segundo que te voy a preguntar es de dónde has sacado tu esa información, es decir, la fuente.
Luego hablamos de porqué el microcódigo no tiene "puertas traseras de la NSA" y no me vale con un enlace a una Key de la época del RSA. ( 1999 tela!)
#12 el creador de esta web fue mi profesor, y de hecho saqué matricula con él.
La fuente de dicha información son las propias leyes de seguridad de EEUU, que obligan a todas las empresas que exportan tecnología a dar acceso a las agencias de seguridad de EEUU de una forma u otra. Está perfectamente explicado en el enlace que te he dado antes.
Si quieres puertas traseras a nivel de hardware y firmwares, ahí tienes Meltdown o Expectre, que son los más famosos, pero hay muchos otros:
https://www.crn.com/news/security/300100596/spectre-meltdown-part-two-research-firm-audit-reveals-critical-flaws-backdoors-in-four-amd-processors.htm
#13 No me jodas. ¿Galli? te suspendió, supongo. (Otro de Bulma)
Meltdown y Expectre son vulnerabilidades, no puertas traseras. Es una diferencia muy importante, puedes engañar a un fanboy, pero no tiene gracia confundir a quien sabe de qué habla.
Las leyes de EE.UU. no obligan a habilitar puertas traseras, mucho menos en el microcódigo del hardware, esa vía se cerró en los años 90 con el chip clipper. Legalmente, ya no tienen esa posibilidad, dado que los fabricantes se niegan al key scrow en todos sus productos destinados a terceros países y exportación (ningún gobierno compraría esos chips)
Lo que mencionas es un formalismo legal que obliga a la cooperación del fabricante, que es lo que sucedía con Snowden y la FISA.
No te inventes historias para tener algo que contar.
#18 claro, cosas que me invento yo, claro..
https://en.wikipedia.org/wiki/Intel_Management_Engine#Assertions_that_ME_is_a_backdoor
Por supuesto que los fabricantes de hardware, o las empresas desarrolladoras de software como Microsoft, siempre van a negar dichas acusaciones, faltaría más, idiotas no son.
Y de fanboy nada, también te puedo hablar de puertas traseras en la competencia de Intel/Microsoft, como puede ser el caso del iPhone de San Bernardino o Pegasus, que son "exploits" zero day que "casualmente" siempre son explotados por empresas de Israel, que no es más que el patio trasero de EEUU.
También te puedo hablar de puertas traseras en el kernel Linux introducidas por la propia NSA, de SELinux se habló muchísimo en su día, o intentos de introducirlas, confirmado por el propio Linus Torvalds.
https://freedom-to-tinker.com/2013/10/09/the-linux-backdoor-attempt-of-2003/
https://www.omgubuntu.co.uk/2013/11/nsa-ask-linus-torvalds-include-backdoors-linux-father-says-yes
Y lo que no sabremos, esto son solo gotas en el océano..
https://freedom-to-tinker.com/2013/10/09/the-linux-backdoor-attempt-of-2003/
https://www.omgubuntu.co.uk/2013/11/nsa-ask-linus-torvalds-include-backdoors-linux-father-says-yes
#19 Y dale con el FUD. "Es que los fabricantes nos engañan" si son los primeros en no querer puertas traseras para seguir vendiendo, por favor. Tengo el argumento definitivo. Zyprexa. Te lo pones en el cerebro y ya no te espían con ningún chip 5G. Pásalo.
Como en Matrix.
#20 ante la falta de argumentos recurres a la ridiculización, apelación al ridículo de manual.
No se si te has dado cuenta de que con tu apelación al ridículo llamándome conspiranoico estás haciendo lo mismo con Linus Torvalds, la EFF, los desarrolladores de Libreboot y muchos otros expertos que opinan lo que te acabo de contar, lo cual obviamente a quien deja en mal lugar es a ti mismo.
#21 Acabas de hacer un argumento apelando a la falacia de autoridad. Invoco a San Ignacio RMS y el juicio de los ancianos.
http://techrights.org/2013/06/27/techbytes-episode-79/
#22 perdona pero no es cierto lo que dices, te he puesto enlaces como fuentes para respaldar mis afirmaciones, como me has pedido en #12 y tú en lugar de leerlas e intentar debatirlas has prefiero apelar al ridículo. Pues bien, yo te estoy recordando que he puesto esas fuentes y de quienes se están haciendo eco las mismas, que evidentemente son eminencias en la materia.
#18 la diferencia entre una vulnerabilidad y una puerta trasera es que es una casual y la otra es causal. No hay ninguna más. Y precisamente esas dos (meltdown y espectre) siempre han tenido un halo de duda. Es bien sabido que la NSA ha debilitado intencionalmente algoritmos, y en algunos casos incluso es público (mirate la família export de SSLv2, que son algoritmos debilitados intencionalmente por el gobierno de EEUU aptos para la exportación de.material criptografico). El circo es tal que ciertos detalles como las SBOXES de DES jamás se ha sabido bajo que conceptos de diseño se fijaron, y ahí siempre ha existido la duda de que su elección quizás apunte a potenciales "vulnerabilidades" que sean en realidad "puertas traseras".
Respecto a clipper y las leyes, son una cosa. El gobierno es otra, y es normal que un fabricante o una red de importancia sufra presiones fuera de la ley. Y es un secreto a voces que el microcodigo de ciertas CPU están vendidos, y por eso EEUU es reacio a importar CPU's para ciertos entornos
#24 Mira, todo eso le puede sonar muy técnico a alguien que no sepa del tema pero para los que sí, solo suena a conspiranoia, que lo es. De lo que hablas es de las prohibiciones de exportación de cifrado fuerte... durante la guerra fría, el famoso COCOM. El caso que mencionas es cuando IBM creo una versión de clave criptográfica deliberadamente débil a requerimiento de esa normativa, el CDMF.
Todo se fue al traste durante las guerras criptográficas del PGP y Phil Zimmermann. Ganaron los buenos y la NSA ya no mete las narices. Fin.
https://datatracker.ietf.org/doc/html/draft-hoffman-des40-02
https://hmong.es/wiki/CDMF
Qué secreto ni que Chía a la Bergamota. Menos películas, Black Hatter.
#25 si no mete las narices, porque se escogió rijndael en lugar de serpent? Porque no documentan las elecciones que hacen en materia criptográfica?
Ahora es cuando nos enteramos que toda UEFI es un BACK ORIFICE a mayor servicio del imperio. 🍃
#16 Que a esa filtración hayan accedido más gente con intereses deshonestos que gente honesta está por demostrar.
Es mejor ir a la máquina física a actualizar el firmware por uno más seguro que no ir y dejarlo que siga inseguro porque no nos hemos enterado que es mejorable.
Bienvenidos al siglo XXI, donde ya sabemos que hacer público el código no es un riesgo de seguridad, sino todo lo contrario.
Tan fácil tienen encontrar vulnerabilidades los que tienen intereses maliciosos como quienes tienen interés en que su equipo sí sea seguro, por lo que entre todos esos ojos los habrá que lo usarán para mal y otros que lo reportarán para que se corrija.
#2 Bienvenidos al siglo XXI, donde ya sabemos que hacer público el código no es un riesgo de seguridad, sino todo lo contrario
Eso es cuando el código se creó para ser público. Cuando lo crean para ser secreto nadie pierde tiempo en hacerlo bien porque "¿quién se va a dar cuenta si no ven el código fuente?"
#5 No creo que Intel no se moleste en "hacer bien" un código tan crítico, y que encima pasa por muchas manos. Dudo mucho que los ensambladores no tengan parte o la totalidad de dicho código, de hecho creo que es la procedencia de la filtración.
#6 Yo después de ver los errores de super novato que han cometido en la seguridad de las consolas de videojuegos, me creo cualquier cosa.
#2 Estoy de acuerdo...pero...el firmware tiene sus connotaciones. Se ejecuta con nivel privilegiado y no siempre puede actualizarse.
#14 Tiene esas mismas implicaciones sea de código abierto o cerrado, su código sea público o no lo sea.
Dices que estás de acuerdo pero lo que transmite realmente tu comentario es que es un peligro añadido que se publique el código, por lo que diría que no estás de acuerdo.
Yo no soy racista y estoy de acuerdo que los negros pueden hacer las mismas tareas que los blancos. Pero es que estamos en la NASA y aquí lo que hacemos pone en riesgo vidas humanas.
#15 Estoy de acuerdo a nivel general. El codigo libre es más seguro y habría que apostar por ello.
Pero el código robado no es código libre.
Y una filtración en un firmware hace que el mundo sea más inseguro porque no se puede actualizar con un apt get update mientras tomas un cafè. Muchas veces hay que ir físicamente a la máquina
¿Pero quedaba algún agujero de seguridad por descubrir?
#3 Siempre, siempre hay mierda bajo la alfombra.