Portada
Hace 10 años | Por Vlemix a tuexperto.com
Publicado hace 10 años por Vlemix a tuexperto.com
La NSA pagó 10 millones a RSA por distribuir un cifrado inseguro

La NSA pagó 10 millones a RSA por distribuir un cifrado inseguro

 tuexperto.com

La empresa de seguridad RSA, especializada en sistemas de cifrado, recibió 10 millones de dólares de la agencia de seguridad estadounidense NSA como pago por publicar un sistema de cifrado que pudiesen romper con facilidad. Una serie de documentos filtrados por Edward Snowden desvelaron el fallo de seguridad intencionado y ahora fuentes consultadas por la agencia de noticias Reuters aseguran que se pagó a la compañía por distribuir el software inseguro.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 2.1k 124

Comentarios

Jiraiya

Obama dice que Snowden "Está haciendo un daño inncesario a Estados Unidos". Ellos no, Snowden. Flipante.

Y la RSA se ha cubierto de mierda como empresa. Han vendido la viabilidad y futuro de su empresa por 10 millones de dólares. ¿Quién puede confiar ahora en el RSA?

V 70
K 603
D

#9 y ahora qué? debemos cambiar de algoritmo para generar claves para cifrado asimétrico?

V 0
K 9
m

#9 #32 Una cosa es el algoritmo RSA, que es seguro y está demostrado matemáticamente, y otra la empresa RSA que ha incluído estas vulnerabilidades a propósito en su software, pero que caen en la parte del generador de números aleatorios y no del propio algoritmo.

V 11
K 101
D
editado

Je... y luego hay quien se queja del grupo de desarrolladores de Linux cuando deciden no confiar en el generador de números aleatorios de los chipsets de Intel.

Documents leaked by former NSA contractor Edward Snowden show that the NSA created and promulgated a flawed formula for generating random numbers

En exclusiva, la fórmula utilizada:

V 52
K 467
D
editado

#3: En ese caso las quejas eran algo razonables, porque los números aleatorios eran un "extra" que se añadía a otros métodos, y en el peor de los casos el riesgo sería igual que si no usaras ese generador de números aleatorios.

Es decir, la suma de tres números aleatorios es tan aleatoria como la suma de tres números aleatorios y otro que te de la NASA.

Son matemáticas. Eso si, siempre que no dependas únicamente de esa fuente y no desprecies las otras.

V 18
K 171
D

#4 Solo una corrección para incrementar la precisión.
Cambiar:
la suma de tres números aleatorios es tan aleatoria como la suma de tres números aleatorios y otro que te de la NASA.
Por
la operación xor de tres números aleatorios y otro que te de la NASA, es al menos tan aleatoria como la operación xor de tres números aleatorios.

V 1
K 16
X

#4 A mi lo que me da miedo de un componente trucado dentro del hardware de la máquina es que sea capaz de ver los otros números aleatorios y así "compensar" la aleatoriedad de la suma final.

Supongo que es poco probable, porque no he visto comentarios en este sentido; pero que exista la posibilidad da bastante miedo.

V 1
K 19
D

#64: Eso es cierto, quizás sea posible hacer pruebas para comprobar si eso se produce o no.

V 0
K 10
protogenes

#3 #20 Una pregunta por si alguien me la puede responder: Uso Xubuntu y Manjaro (2 particiones mismo PC). El tema es si me puedo "quedar tranquilo" a nivel de sistema GNU/Linux o eso sólo es aplicable a las distros totalmente libres como las de la GNU -> http://www.gnu.org/distros/free-distros.html

Me refiero por lo del chip de intel de números aleatorios, que tenía entendido que ahora estaba activado por defecto y hasta hubo líos con Torvalds (defendiéndolo). No sé cómo van las cosas del todo en las distros "clásicas" (*buntu, fedora, opensuse, arch...)

Graciass

V 0
K 6
D

#61 No puedo responder a tu pregunta, pero un generador pseudoaleatorio malo se puede usar como parte de la recolección de entropia para meterlo todo junto en un hash y sacar un numero aleatorio tan bueno como un número pseudoaleatorio pueda serlo. Es decir, no hay ninguna necesidad de fiarse.

Puedes mirar cómo lo hace truecrypt. (crea algún disco para probar) Es un buen ejemplo.

V 1
K 13
protogenes

#63 #71 Gracias

Sí, todas esas precauciones las cumplo, sobre todo tema Internet/Emails. Lo único que pueda chirriar más es que a veces uso Launchpad/PPA (para programas puntuales que no hay en los repo de Ubuntu) y el AUR de Arch en Manjaro con yaourt, donde está de todo, pero vamos, que digo yo que son de fiar.

Imagino que cualquier usuario de Gnu/Linux medio no debería temer nada si no hacen/intentan nada chungo, pero es que joer, con todo lo que está saliendo como para no volverse uno un poco paranoico

V 0
K 6
w

#61 ¿Estás preparando una bomba para poner en la casa blanca?. Caso contrario quédate tranquilo, con tomar las precauciones normales (contraseñas alfanuméricas cambiadas frecuentemente, instalar programas de repositorios confiables, no navegar por páginas sospechosas ni abrir mails supuestamente enviados por tu banco) no deberías tener mayores problemas

V 1
K 14
a

#18 No he dicho que usar SL es SUFICIENTE para "estar a salvo". Lo que he dicho es que es NECESARIO.

Que no es lo mismo.

V 14
K 126
M

#20 Es necesario poner puertas blindadas pero no sirven de nada si las ventanas son sencillas.

V 1
K -4
a

#21 Su metáfora no es de aplicación al caso. Lo siento.

V 0
K 9
M
editado

#23 Pues sin metáfora: De poco importa usar linux si después te carteas con usuarios de yahoo, hotmail, gmail; tienes un android, un smartphone cualquiera o un simple teléfono [prism], una impresora de red, amigos o familiares en FB aunque tú no tengas cuenta, mil cosas por las que la NSA te pueden espiar.

Usa software privativo, es la única forma de estar seguro... de que sí te espían pero al menos estás seguro de ello.

editado:
por no hablar de que la NSA probablemente entre en tu linux sin despeinarse por cualquier bug sin resolver.

V 1
K 14
a

#28 De nuevo:SL es condición NECESARIA aunque no sea SUFICIENTE

Y repito: no sé qué tiene que rol tiene el carteo con yahoo, hotmail, etc en el asunto concreto de esta noticia: el software tenía un agujero y punto.

V 1
K 29
M

#30 Si sólo te centras en esta noticia, nada, pero el problema no es sólo esta noticia sino todo lo que hace la NSA.

Yahoo tiene que ver que tu ordenador puede ser super seguro, tener hasta tu propio servidor de correos super seguro que de nada sirve si tus correos caen en yahoo. etc.

Debian y su bug en el generador de números pseudoaleatorios: http://www.dragonjar.org/analisis-fallo-generador-numeros-aleatorios-openssl-bian.xhtml por si el otro no te pone el link. Hay más información en Google.

V 1
K 26
a

#33 Pero no caigamos ahora en la paranoia. Una cosa es que tu tráfico de correo con yahoo, gmail, etc, permita mapear tus preferencias y tu red de contactos, incluso sin tener cuenta en esos servicios. Vale. El SL no es SUFICIENTE para evitar eso (como ya he repetido hasta la saciedad).

Pero otra muy distinta es que tengan las llaves de tus cuentas de banco, tus claves de internet, etc. Sobre eso tienes muchísimo más control usando SL.

V 0
K 9
M
editado

#36 "Pero no caigamos ahora en la paranoia."

Visto lo visto, la paranoia me parece poco.

No creo que necesiten nada especial para entrar en mi banco, basta con solicitárselo directamente. No obstante, te pondré un ejemplo:

Yo tengo gmail y paypal. Si entras en mi gmail, que la NSA puede, puedes resetar la cuenta de paypal y con ello vaciar mi cuenta bancaria (bueno, o casi, supongo que habrá alertas para retiradas importantes de efectivo).

Ya "entraron" en mi banco sólo conociendo mi cuenta de Gmail y esto es igual uses el SO que uses. Aunque probablemente entren directamente a paypal sin pasar por gmail.

Mis claves de Internet, idem porque normalmente está todo enlazado con tu cuenta de correos para la función de recuperar contraseña.

Y muchas cosas más que se pueden hacer con 11 mil millones de dólares y perteneciendo al país más desarrollado en cuanto al espionaje.

V 1
K 26
a

#37 Tener gmail es un agujero de seguridad mucho mayor que enviar correo a una cuenta de gmail. Creía que era de eso de lo que estabas hablando.

V 0
K 9
M
editado

#39 En eso llevas razón pero otras cosas podrán hacer incluso sólo con metadatos. Se pueden hacer muchas cosas con los metadatos, recuerdo una noticia donde una tienda dedujo que una cliente estaba embarazada antes de que ella lo supiera.

V 0
K 6
D

#37, no deberías usar un banco con tan pocas medidas de seguridad. En mi banco online, se necesita mi DNI, una clave de 6 dígitos y mi fecha de nacimiento solamente para entrar a consultar datos. Para firmar se necesita una tarjeta de claves física, un DNI electrónico o un certificado de la FNMT (que obviamente está con contraseña).

Además, para hacer transferencias a cuentas "desconocidas" necesitarías mi móvil porque me envían una clave de un sólo uso para autorizarlas.

Cambia de banco.

V 2
K 23
M
editado

#45 "mas tarde o mas temprano es localizado "

Esto me recuerda a "¿sirve de algo que un antivirus te detecte un virus cinco días después?"

Es un artículo y la respuesta es: no, el daño ya está hecho.

En el software libre tarde o temprano se descubrirá ¿sirve de algo? no porque, primero, el daño ya está hecho y, segundo, para entonces puede que no esté, por tanto, no habrá nada que descubrir.

Y aún no habiendo puertas traseras, se pueden explotar bugs desconocidos, o periféricos y un sin fin de fuentes independientes del SO.

En resumen y lo que pretendía decir más allá de las puertas: Si la NSA quiere, da igual que uses software libre.


#44 Tu banco, como el mio y como todos, permiten domiciliaciones que no requieren de nada de lo que comentas para ser efectivas (porque anda que como tengas que introducir coordenadas de tu tarjeta cada vez que te cobren el recibo de la luz...). Así es como extrae paypal el dinero de tu cuenta bancaria.

#43 Me lo tomaré como humor.

#49 Cierto, solo que de esas creo que ya no quedan.

V 2
K 32
frankiegth
editado

Para #50. '...Me lo tomaré como humor...'

Igual que se lo tomó Edward Snowden cuando se decidió a denunciar. La ética tiene una palabra asignada por algo. Edit #43.

V 1
K 4
M

#51 No sé si vives en un mundo paralelo pero los gobiernos llevan mucho tiempo haciendo lo que les sale del nabo y las denuncias de Edward Snowden no lo van a cambiar, pero si tú crees que eso va a cambiar con el "capital ético del software libre"... allá tú.

V 0
K 6
D

#50, un recibo bancario que no has autorizado se puede devolver hasta 13 meses después de que te lo hayan cargado.

Si lo has autorizado, pero no estás de acuerdo con la cantidad, el plazo baja a 8 semanas.

En serio, si para manejar los fondos de tu banco solamente necesitas una contraseña que se puede resetear vía email, cambia de banco.

V 0
K 6
M

#70 Paypal tiene un período de ~20 días en los cuales no te ingresan en tu cuenta de paypal el importe aunque en tu banco ya aparezca descontado. Lo hacen así para asegurarse ellos de que ya no puedes cancelar la transacción. Y ya cuando no puedes cancelarla, es cuando te figura como ingreso en paypal y puedes gastarlos o hacer lo que quieras.

En resumen, el plazo no es de 13 meses ni de 8 semanas sino de 20/30 días en los cuales puedes detectar y cancelar el traspaso. De todas formas, estamos hablando de la NSA y sólo era un ejemplo.

En serio ¿todavía no te has enterado de qué va el tema? porque no creo que haya un solo banco en su sano juicio que de la opción de cambiar la contraseña vía mail. Es más, no conozco ninguno que te mande la correspondencia electrónica a tu cuenta de mail sino que tienes que leerla desde la propia página del banco.

#76 Confundes un árbol con el bosque . Creo recordar que ya te discutieron todo esto en otro hilo y el resumen fue que si quieren, date por jodido.

V 0
K 6
D

#78 "Confundes un árbol con el bosque . Creo recordar que ya te discutieron todo esto en otro hilo y el resumen fue que si quieren, date por jodido."

Como no usen una llave inglesa en mi cabeza, ellos si que se van a dar por jodidos.

V 0
K 11
M
editado

#79 Sí, bueno, creerse seguro es el primer paso para estar inseguro. No vamos a llegar a ninguna parte así que ya mejor no empezar.

P.D: ¿Y tú, ya miras de reojo ese router que tienes por si está pinchado? ¿cifras todas las conexiones? ¿cifras tus llamadas? ¿tu teléfono es 100% libre y no solo el SO ? etc.

#81 ¿Mac? creí que eras de linux.

V 0
K 6
D

#82 "¿Y tú, ya miras de reojo ese router que tienes por si está pinchado? ¿cifras todas las conexiones? ¿cifras tus llamadas? ¿tu teléfono es 100% libre y no solo el SO ? etc. "

En el PC, sí.

En el teléfono no llamo nunca, solo lo uso para mensajes irrelevantes.

V 0
K 11
M

#83 ¿Sí? dirás, "sí, aquellas que cifro" porque otras como las conexiones con menéame, no, aunque menéame es irrelevante. Pero ¿y cómo se porta el servidor? ¿es seguro el otro lado? es decir, de poco importa que cifres las conexiones con tu servidor de correos si usas gmail o de poco importa que envíes un archivo cifrado si el destinatario es un torpe. ¿tienes amigos en facebook? ¿tienes amigos? porque de poco importa que no tengas facebook si ellos cuelgan una foto tuya. Y muchas cosas.

En cuanto al teléfono, espero que le quites la batería cuando no lo usas porque entonces tienen un bonito mapa de tus recorridos.

Se van tantos datos por tantos sitios que es ingenuo creerse a salvo por usar linux. Por cierto, espero que no tengas UEFI en tu equipo.

V 0
K 6
D
editado

#90 No uso Gmail, uso OpenMailbox + GPG. Cifro los correos, no la conexión.

No tengo Facebook ni dejo que me saquen fotos.

"
En cuanto al teléfono, espero que le quites la batería cuando no lo usas porque entonces tienen un bonito mapa de tus recorridos. "

Oh, de casa a estudiar de estudiar a casa. Qué peligroso. .

PD: UEFI lo tengo desactivado.

V 0
K 11
w

#91 Y vas con una máscara para evitar las cámaras callejeras

V 0
K 8
D

#93 Ver a un chaval con pintas normales, abrigo y demás no es para nada sospechoso :P. Es irrelevante para encausar a nadie.

V 0
K 11
M
editado

#91 "Cifro los correos, no la conexión."

Te carteas sólo con dos personas ¿no?. Bueno, en serio, en el supuesto caso de que tanto tú y tus dos amigos tengáis un pc seguro para que no haya fuga y que no rompan el cifrado, siguen teniendo cuando, cuanto y como te carteas que parece poco pero es bastante.

No tienes facebook ni dejas que te saquen fotos pero no puedes estar seguro de no salir en ninguna foto, de fondo o porque te la sacaron adrede sin que te dieras cuenta.

Supongo que usarás proxy siempre porque entonces ya saben qué páginas visitas. Y aunque uses TOR, no es 100% seguro...

#95 Es irrelevante pero por de pronto ya puedes ser traceado y si cifras con GPG y todo eso que dices, eres el candidato ideal para que se fijen en ti. La NSA guarda con especial interés lo cifrado.

V 0
K 6
D

#97 "No tienes facebook ni dejas que te saquen fotos pero no puedes estar seguro de no salir en ninguna foto, de fondo o porque te la sacaron adrede sin que te dieras cuenta."

Claro, hombre.

"
Supongo que usarás proxy siempre porque entonces ya saben qué páginas visitas. Y aunque uses TOR, no es 100% seguro... "

A mí el que visite Reddit, Cracked, y TvTropes para ver frikadas me la suda. Y a ellos también.

#98 Vivo en el país vasco, he visto cosas que son directamente de una dictadura.

V 0
K 11
M

#100 "A mí el que visite Reddit, Cracked, y TvTropes para ver frikadas me la suda"

Por tonterías estúpidas es por donde cae mucha gente. Por una estupidez fue como pillaron al de Silk Road pero si tú te crees invulnerable... Ahora, deja de cifrar los correos porque te estás pintando una diana.

V 0
K 6
w

#95 Como se nota que nunca viviste una dictadura

V 0
K 8
M
editado

#91 Editas y no te leo la mitad del comentario:

de casa a estudiar de estudiar a casa, no dejas que te fotografíen, cifras los correos ¿vas a seguir siempre así o algún día tendrás más vida? y entonces ¿dejará de importarte que te tracen o sacarás ya la batería del móvil?

Lo más gracioso es que te preocupa la privacidad pero nos estás contando tu vida con bastante detalle, algún psicólogo ya tendrá un perfil tuyo porque con lo que cuentas aquí y lo que dices en otros hilos no son pocas cosas.

Edito: ¿qué distribución crees que va bien en un portátil de 8 años? ¿mint tirará bien?

V 0
K 6
D

#78, pero si has sido tú el que has dicho que con tu email podían resetear tu contraseña del Paypal y vaciarte tu cuenta, yo solamente te he seguido el rollo.

Y vamos, solamente quería darte un consejo, porque te veo un poco desinformado sobre el sistema bancario. Confundes transferencias, recibos y cargos en cuenta y son cosas totalmente diferentes. La NSA lo tiene dificilísimo para robarte el dinero del banco. Para cotillear en tu cuenta, eso está chupado, ¿pero llevarse tu dinero? Los curritos de la NSA no son cibercriminales, son funcionarios que están más controlados que aquellos a los que espían.

V 0
K 6
D

#50 Confundes programas de la RSA con el ALGORITMO de la RSA.

Buena suerte intentando atacar un PC con software libre sin blobs binarios, conexiones Jabber cifradas bajo OTR.

V 0
K 11
Hanxxs

#21 La casa más segura es la que puede dejar la puerta abierta.

V 0
K 10
Vlemix
autor

Tela http://www.reuters.com/article/2013/12/20/us-usa-security-rsa-idUSBRE9BJ1C220131220

V 8
K 102
w

USA en nombre de la seguridad nacional está rifando su liderazgo en la industria tecnológica.

V 10
K 85
Acido

#11 no se, no se...
Teniendo en cuenta que el espionaje puede ser (casi con seguridad "es") no sólo por seguridad nacional, sino para espiar a empresas, en particular empresas tecnológicas... su liderazgo en tecnología puede incluso haber incrementado por cosas como esta.

V 0
K 7
powerline
editado

Recuerdo cuando aún estudiaba en la universidad y un profesor contó que había mucho escepticismo con RSA y que al no ser abierto, se podía pensar que la NSA podía haber metido mano. Por esto se convocó el concursó que ganó AES y blablabla. En su momento me pareció una paja mental de dimensiones épicas. Pero mira, unos años después...

V 8
K 82
just_a_guy

#27 el concurso que ganó AES no fue para sustituir a RSA (ya que son algoritmos con distintos esquemas de cifrado, el primero es simétrico y el segundo asimétrico) fue para sustituir a DES. Y el escepticismo de tu profe estaba fundamentado en el misterioso uso que hace DES de las S-Cajas

V 2
K 25
D

#59 Escepticismo más que demostrado con la invención del criptoanálisis diferencial. Hay hasta un documento de la NSA reconociendo el tema. Lo interesante es que al final resultó que la NSA nunca habia mentido en nada de lo dicho durante tantos años y que la clave era tan corta por una buena razón.

V 0
K 7
powerline

#59 True story, me sonaba la historia pero he confundido algoritmos

V 0
K 10
a

#15 Te puedo asegurar que si hubieran publicado el código fuente no habrían pasado ni 24 horas antes de que saltara la liebre.

Con toda la suspicacia que hay en el mundo SL con los temas de criptografía y seguridad, y la desconfianza que despierta la NSA (que viene de mucho antes de todo esto de PRISM, Snowden, Wikileaks, etc), ese programa hubiera sido inspeccionado al primer minuto de su publicación. Te garantizo que ese software hubiera tardado menos en desaparecer, que el estreno de "El Hobbit" sin "screener" en los torrents.

V 9
K 78
M
editado

#13 A estas alturas todavía pensando que usando software libre estás a salvo. Porque después de todo lo visto que hace la NSA, ella, con un presupuesto de 11 mil millones de dólares, poco puede hacer contra el software libre®. Da igual que la mitad de las cosas ni siquiera dependan del SO que uses.

#17 Una puerta trasera se puede considerar un bug, intencionado pero un bug y además pensado para no ser descubierto. Decir que no se pueden colar puertas traseras es como decir que el software libre no tiene bugs y eso no te lo crees ni tú

V 6
K -14
frankiegth
editado

Para #18. '...Porque después de todo lo visto que hace la NSA, ella, con un presupuesto de 11 mil millones de dólares, poco puede hacer contra el software libre...'

El principal capital en el movimiento del software libre es ético y humano. Contra eso poco pueden hacer presupuestos o sobornos de 11 millones de dolares.

V 3
K 40
w

#43 Con los principios no pagan las facturas, si tienes que mantener a tu familia no puedes dedicar tiempo a revisar código ajeno o a escribir código propio de proyectos libres

V 0
K 8
d

#18 La diferencia es que un "bug" en software libre, mas tarde o mas temprano es localizado (entre versiones por ejemplo, ya que puede haber bastantes cambios en ese software y eliminacion o cambio de funcionalidades, o por el simple hecho de que se examina de nuevo ese software o se depura), cosa que no sucede con el software privado que tiene "bugs/puertas traseras" ya que no se va a enterar nadie nunca o es muy muy dificil.

Si el caso que nos ocupa (RSA) fuese software libre, puede que hubiesen tardado un tiempo en descubrirlo, pero al final lo hubiesen descubierto y se sabría quienes son los culpables (desarrlladores) y que hicieron exactamente a nivel de codigo (puede que incluso se les pueda llevar antes la justicia, aunque desconozco en profundidad este aspecto en licencias de tipo abierto).

Además, depende que cosas haga esa supuesta puerta trasera, puede que tenga que enfrentarse con capas de protección muy estrictas a nivel kernel (si las han activado), como GrSecurity u otras medidas, que no permitan ciertas cosas aun siendo "root".

V 1
K 16
w

#17 Mientras dure la repercusión de las revelaciones de Snowden puede ser, pero cuando las cosas se calmen un poco lo dudo.
De todas formas no niego que usando software libre tienes más posibilidades de detectarlo, pero también hay que educar a los usuarios a no confiar a ciegas.

V 0
K 8
a
editado

#19 Y dale: que el mundillo de la criptografía (gurús, programadores, matemáticos...) está mosqueado con la NSA y con las empresas que hacen software privativo desde hace DÉCADAS.

Snowen no había nacido cuando se gestó toda esta suspicacia.

V 4
K 46
w

#22 ¿Te acuerdas de un problema que hubo con las claves de Debian y derivados hace unos años. Tardó dos años en descubrirse y fue por casualidad.

V 1
K 16
a
editado

#24 Cita requerida, por favor.

Recuerdo jaleos que luego se quedaron en nada. Además, ya he dicho que el SL es una condición NECESARIA, aunque no SUFICIENTE para garantizar la seguridad.

V 2
K 30
w

#25 http://www.mastermagazine.info/articulo/13085.php

V 0
K 8
a

#29 Esta es una prueba de que el código debe ser abierto. El SL no garantiza que el código no tenga fallos, pero sí da la oportunidad de que se corrijan.

El verdadero problema en la noticia que citas fue que, aunque se detectó y se corrigió, el parche tardó en difundirse por sistemas cuya actualización estaba negligentemente programada.

V 1
K 29
w

#34 Se detectó y corrigió bastante tiempo despueś

V 0
K 8
a

#35 Nunca hay garantía 100% en software. Lo dice la propia GPL.

V 2
K 37
D

#25 http://www.gergely.risko.hu/debian-dsa1571.en.html

V 0
K 6
D

#24 Pero el tio que lo tocó, preguntó. El problema es que nadie le hizo caso.

Yo hubiera puesto un comentario diciendo "si nunca has implementado un generador pseudoaleatorio, no toques este código".

V 0
K 7
Trigonometrico

Relacionada:
EE UU y Reino Unido espiaron el móvil del comisario europeo Joaquín Almunia

Hace 10 años | Por --34696-- a internacional.elpais.com
Publicado hace 10 años por --34696-- a internacional.elpais.com

EE UU y Reino Unido espiaron el móvil del comisari...

 internacional.elpais.com


¿A qué espera la CEE para brindar todo el apoyo a Asange y a Snowden?

V 8
K 75
D

#5 Washington controla Bruselas, en Bruselas son todos unos vendidos

V 4
K 42
D
editado

#5 La CEE... Are you from the past? La CEE despareció en el 2002 (¡hace más de 11 años!), integrandose en la UE, excepto Euratom, que sigue su vida de manera paralela e independiente a la UE.

V 2
K 32
hellodolly

RSA y su compañía matriz, EMC, empresa "lider" en soluciones de almacenamiento, donde me pregunto si mis datos estaría seguros roll

V 4
K 58
robustiano
editado

#8 Más bien no, al parecer RSA es un auténtico coladero de incidentes de seguridad:

http://www.google.com/search?q=rsa+ataque

V 3
K 40
a

Es cansino por repetitivo, pero por lo visto hay que decirlo más: usa SÓLO software libre.

V 5
K 56
w

#13 En realidad el que el software sea libre no garantiza nada. Si no hay desarrolladores lo suficientemente interesados en revisar el código te pueden meter lo que quieras y ni te enterarás. Además por muchos ojos que estén revisando el código vas a tener que interactuar sí o sí con software privativo

V 4
K -9
capitanpistacho

#15 mejor sotwar4 libre q privativo aunq no sea seguro 100& no?

V 0
K 7
D
editado

#15 Estoy de acuerdo con esto, el que cualquiera pueda revisar el código no significa que alguien lo haga, y mucho menos que ese se vaya a dar cuenta de ello. Es similar a muchos de los problemas que sufrimos en otros ámbitos donde "todo el mundo lo sabía", "todo el mundo lo vio", y nadie hizo nada.

Esto no debe entenderse como una crítica al software libre, simplemente matizar que realmente es cierto que el que algo sea código abierto, o que sea software libre de código abierto, no garantiza en sí mismo que no traiga código malicioso, o incluso un código ligeramente defectuoso.

Ahora bien, otra cosa es que alguien diga que por esa razón, es lo mismo que un código cerrado. En el código abierto al menos existe la posibilidad de que alguien independiente audite el código, en el cerrado directamente no existe esa posibilidad. Y eso ya es bastante bueno, pero pensar que por el propio hecho de ser abierto, ya es seguro, es ser ingenuo.

V 0
K 7
D

#15 "Además por muchos ojos que estén revisando el código vas a tener que interactuar sí o sí con software privativo "

¿Cual?

V 0
K 11
w

#74 ¿Tu te conectas solamente con sitios que usa software libre?

V 0
K 8
D
editado

#75 Meneame, Reddit, OpenMailBox.. sí. Para lo demás, no NoScript, como por ejemplo, Cracked. ¿Ahora es un problema?

El que use un servicio en Internet digamos "de ocio" (Solo pasar, sin datos míos) no me debe suponer ningún problema. Para todo lo demás, SSL everywhere, OTR, GPG.

V 0
K 11
w

#77 Supongamos que comentas en todas las noticias de Menéame que hablan mal de Rajoy. Tanto tu proveedor de Internet como el proveedor de hosting de Menéame (¿Amazon?) tienen registrada tu dirección IP Y esos datos se deben entregar por orden judicial (o a veces sin orden)

V 0
K 8
D

#80 Claro, eso va a encausarme. Como no encarcelen a 40 millones de españoles...

Y tienen mi IP pero no mi MAC

V 0
K 11
w

#81 Siempre pueden elegir a alguien para que sirva de escarmiento, y tu proveedor sabe a quien se le asignó una ip en un momento dado.

V 0
K 8
D
editado

#84 Con la IP cualquier abogado se limpia el culo, ya que no pueden identificarme. Si tengo una MAC de la PSP o un telefono android, puedo alegar que se han conectado por Wifi sin mi permiso por un descuido.

V 0
K 11
w

#85 No respetan tu privacidad ¿van a respetar tus derechos constitucionales?

V 0
K 8
D

#86 Buena suerte intentado condenar por IP. Ni en EEUU han podido.

V 0
K 11
w

#87 Guantanamo

V 0
K 8
D
editado

#88 Cara de moro / islámico no tengo.

V 0
K 11
w

#89 Lo que te estoy diciendo es que los gobernantes actuales han decidido cruzar la barrera que separa la corrupción del cagarse en la Constitución. Cualquier mecanismo de protección tecnológico creado por el hombre es susceptible de ser quebrado, sobretodo si tienes el dinero y a los mejores cerebros criptográficos del mundo. Un montón de amateurs bienintencionados no puede contra eso

V 0
K 8
D

#92 "Un montón de amateurs bienintencionados no puede contra eso "

Amateurs. Amateurs. lol lol lol lol lol lol.

Hijo mío, en el software libre ha colaborado lo mejor de lo mejor, ya puedes tener la mayor pasta del mundo que conta cientos de miles de gurus tecnologícos programando simultáneamente (Red Hat, FSF, OpenBSD...) no puedes competir.

V 0
K 11
w

#94 ¿Y enserio te crees que RedHat, Oracle o IBM le van a decir no a la NSA?

V 0
K 8
D

#96 Linux-libre.

Aprende, pequeño padawan.

http://www.fsfla.org/ikiwiki/selibre/linux-libre/

Y sí, puesto que el desarrollo es mundial.

V 0
K 11
w

#99 Y nadie puede hundir al Titanic

V 0
K 8
D

No sé que es la RSA ni qué vende, alguien puede explicarlo?

V 2
K 31
w

#14 La RSA es una empresa que comercializa programas para cifrar (es decir poner en clave) contenido que sus clientes quieran mantener confidenciales. El problema es que la Agencia Nacional de Seguridad tiene acceso al procedimiento que se usa para cifrar el contenido y que existen sospechas de que no limita su acceso a la recogida de información para garantizar la seguridad sino también hace espionaje industrial

V 3
K 39
D

#14 Pues claro,

http://en.wikipedia.org/wiki/RSA_Security

V 2
K 24
Candidatas
53
meneos
actualidad El equipo directivo de Holaluz se sube el salario de media un 20% mientras despide a 300 empleados y quintuplica sus pérdidas
36
meneos
ciencia Lo que sabemos sobre la fiebre hemorrágica de Crimea-Congo tras su detección en Salamanca
23
meneos
actualidad Estados Unidos ordena la evacuación de la población de Houston ante una "ola de inundaciones"
38
meneos
actualidad "Genocide Joe": cómo las protestas en las universidades en EE.UU. muestran que el conflicto en Gaza amenaza la reelección de Joe Biden
43
meneos
politica La Catedral de Murcia mantiene en sus muros inscripciones franquistas en contra de la Ley de Memoria Histórica
36
meneos
politica ¿Por qué la Falange quiso asesinar a Franco tras la Guerra Civil? Un camino de odios y traiciones
32
meneos
actualidad El nuevo puente de Baltimore costará 1.900 millones de dólares y no estará listo hasta 2028
28
meneos
actualidad "Princeton gana dinero con la muerte": qué es la "desinversión" en Israel que exigen los estudiantes a las universidades de EE. UU. en sus protestas
31
meneos
actualidad Texas: cierran escuelas, evacuan a la población y advierten que las inundaciones empeorarán tras días de lluvias torrenciales
44
meneos
politica Nuevo escándalo en Elche: piden 8 años de cárcel a un concejal de Vox por "revelación de secretos"
33
meneos
actualidad Manos Limpias amplía su denuncia contra Begoña Gómez
35
meneos
actualidad Cuatro medidas para evitar el lawfare
40
meneos
actualidad Cubierta de electrodomésticos: frigoríficos-congeladores Beko implicados en incendios domésticos (ENG) (2022-12-16)
31
meneos
politica Ahora Milei enfrenta a Pedro Sánchez
noexisto

Más:

(no lo he abierto, estoy en el móvil, es un video de hora y media, visto en su blog)

V 1
K 30
Nova6K0

Pués a la DECC (Codificación por Doble Curva Elíptica) le redujeron también el nivel de entropía adrede, gracias a la NSA.

https://es.wikipedia.org/wiki/Entrop%C3%ADa_%28informaci%C3%B3n%29

Salu2

V 1
K 18
D

NSA ... RSA ... Pssssa!

V 0
K 11
w

Rectifico, era con los certificados OpenSSL

V 0
K 8
w

Es una simple cuestión estadística. Millones de líneas de código, millones de dólares y el equipo tecnológica y humano más poderoso del mundo contra miles de desarrolladores voluntarios.

V 0
K 8
alejojo

#26 ¿Miles? ja!

V 0
K 6
D

el algoritmo creado por NSA, genera números aleatorios en la mayor parte de las ocasiones, pero intercala entre ellos una serie de cifras predeterminadas que permiten a un atacante que las conozca romper cualquier información cifrada con BSafe. Por la naturaleza del fallo, en principio no parece que nadie fuera de la agencia de seguridad haya podido romper el cifrado con facilidad. Sin embargo, que toda la seguridad de un sistema de cifrado se base en conocer una secuencia de números concreta no está lejos del alcance de los analistas especializados.

Me temo que esta explicación no es suficiente. De wikipedia:

This is an asymmetric backdoor as defined in cryptovirology which uses public-key cryptography: the designer of the algorithm generates a key pair consisting of the public and private key; the public key is published as one of the algorithm's constants, while the private key is kept secret. It employs the discrete-log kleptogram introduced in Crypto 1997. Whenever the algorithm is being used, the holder of the private key can decrypt its output, revealing the state of the PRNG, and thereby allow him to predict future outputs. Yet for third parties, there is no way to prove that someone knows the private key (nor any way to prove that no one knows it). However, Appendix A.2 of the NIST document, which describes the weakness, does contain a method of generating a new key pair which will mitigate the backdoor if it exists.

Lo resumo: Quién diseñó la trampa tiene una clave secreta que le permite conocer los números "aleatorios" usados. Sin esa clave, es imposible demostrar que la trampa existe.

V 0
K 7
raylan

En este caso, la diferencia entre software libre y privativo no es importante. El problema no está en la implementación, sino en el algoritmo vulnerable que es público.

V 0
K 6
S

Creo que para generar las nuevas claves aleatorias tendríamos que contratar al señor: "soy programador", para una muestra:

V 0
K 6
D
editado

Si lo dice Eric Snowden será cierto...

V 4
K -3
D

#2 Imagino que estará aportando documentos que prueban todo esto. Por eso ha tenido que pedir asilo político.

V 4
K 40
D
editado

#6 No sabía que los Snowden son como los Petit Suisse lol lol

#55 ¿Igual de respetado que Eric Snowden? lol lol

V 0
K 10
G

#2 Si leyeras la notica tambien lo dice Bruce Scheiner, alguien muy muy respetado por estos lares sobre esos asuntos.

V 0
K 10
1 2