Portada
mis comunidades
otras secciones
![Lista completa de exploits de la CIA [ENG]](https://cdn.mnmstatic.net/cache/29/e1/media_thumb_2x-link-2744681.jpeg?1488979446)
#1:
Windows, OSX, iOS, Android, Antivirus, Signal/WhatsApp, CD/DVD attacks, Smart TVs, IoT devices.
¿Pero que manera es esta de ningunear a los usuarios de GNU/Linux?
Vale, ya lo digo yo, systemd.
¿Pero que manera es esta de ningunear a los usuarios de GNU/Linux?
Vale, ya lo digo yo, systemd.
#26:
El día que os enteréis que en muchas de vuestras placas base hay ocultas pilas completas de TCP/IP que se pueden saltar cualquier sistema operativo os daréis cuenta que la batalla ya está perdida.
http://boingboing.net/2016/06/15/intel-x86-processors-ship-with.html
http://boingboing.net/2016/06/15/intel-x86-processors-ship-with.html
Comentarios
Windows, OSX, iOS, Android, Antivirus, Signal/WhatsApp, CD/DVD attacks, Smart TVs, IoT devices.
¿Pero que manera es esta de ningunear a los usuarios de GNU/Linux?
Vale, ya lo digo yo, systemd.
#1 Por si alguien piensa que tu lista menciona sistemas vulnerables, Signal/Whatsapp no lo son:
Signal/WhatsApp: In some good news for privacy advocates it appears that the CIA has had no luck in cracking the popular encrypted chat protocol created by Whisper Systems, which is used in Signal and WhatsApp.
Aunque con whatsapp no se sabe seguro porque es de código cerrado.
#8
No poder craquear el protocolo no implica que la aplicación sea segura.
#1
Y los antivirus.
#1 Que no lo nombraran, no significa que no esté afectado. Por ejemplo HIVE es una colección de malware multiplataforma que también afecta a linux, y hay más.
https://wikileaks.org/ciav7p1/cms/page_524313.html
https://wikileaks.org/ciav7p1/cms/space_753667.html
A parte de que esta es la primera parte de la filtración.
#45 Ostras Pedrín, en la UEFI de los MAC. Algo que decir los manzaneros?
Hardware-based Persistence
DerStarke - Apple EFI/UEFI Boot Implant
QuarkMatter - Apple EFI/UEFI Boot Implant
El día que os enteréis que en muchas de vuestras placas base hay ocultas pilas completas de TCP/IP que se pueden saltar cualquier sistema operativo os daréis cuenta que la batalla ya está perdida.
http://boingboing.net/2016/06/15/intel-x86-processors-ship-with.html
#26 Si quereis privacidad y seguridad vais a tener que volver a ensamblar vuestras propias computadoras en vuestro propio garage. Vamos: recrear la historia de la informática en casa. Cuánto demoraria un individuo promedio en fabricar un sistema informático completamente operativo que pueda interactuar con todos los demas? Linda pregunta.
#30 Yo ya estoy desempolvando mi Spectrum 48K.
Ya me preguntaba yo por qué tantos virus.
Una distribución Linux libre de verdad sin software propietario tipo trisquel discos encriptados y teléfonos desechables y a correr.
#14 Casi mejor GuixSD por eso de los rollback.
#14 Bueno realmente no se yo si hay mucho que hacer si eres un objetivo de la CIA. En la propia noticia lo dicen:
For example, you may have seen headlines about the CIA hacking Samsung TVs. As we previously mentioned, that involves breaking into someone's house and physically reprogramming the telly with a USB stick. If the CIA wants to bug you, it will bug you one way or another, smart telly or no smart telly.
Si se cuelan en tu casa ya da igual que tengas Linux o no.
#24 el tema es que cuanto mas dificil se lo pongas mejor.
¿Están ya añadidas a las bases de datos y ficheros de firmas de los sistemas de detección de vulnerabilidades?
¿A los sistemas web gratuitos y apps que analizan tus dispositivos y tus redes y detectan los sistemas vulnerables y lista las vulnerabilidades especificas.
De todas formas estas vulnerabilidades especificas son una chorrada si hay sistemas para que se siga pagando recompensas opacas por vulnerabilidades. El mercado de vulnerabilidades.
Si existe un mercado de vulnerabilidades y un interes contrapuesto de los fabricantes de dispositivos, de routers, de smarttvs, smartphones, ..., etc por vender nuevos en vez de parchearlos y actualizarlos.
Si los isp tienen intereses contrapuestos de espiar tu big data y sacarte mas dinero en vez de que en el servicio básico de internet estén sistemas nids automaticos que te mandan un sms o un correo con el informe de tus endpoints conectado a su red, seguridad del cliente en el isp, privacidad (te da un servicio vpn, ip multiple por servicio para proteger tu privacidad.
Los isp siguen subiendo los precios minimos y diciéndote que te dan mas megas ¿Por qué no implementan todos estos sistemas en la pasarela que te da acceso a internet?
Por los incentivos contrapuestos que tienen. Vender mas, espiar mas big data, obtener mas beneficios economicos y explotar los sesgos y vulnerabilidades de los usuarios.
Haz que los isp sean responsables por las intrusiones que tienen sus usuarios y ellos se encargaran de forma eficiente de hacer que esos usuarios esten seguros, añadiendo nids y todo tipo de sistemas a su nube de interconexion.
#3 ¿Si un isp no parchea el firmware de los routers de sus usuarios (proporcionados por el propio isp) o se lo cambia, qué pedazo de multa tiene que le hara tener el incentivo para hacerlo lo mas rapidamente posible?
#3 ????????????????????????????????????????????????????
#3 Aunque a tu ISP se la soplara el tema de espiar tu "big data": siempre les va a salir más barato no actualizar los firmware, ya no solo de los routers de sus usuarios, sino de todos los elementos de red que tengan. E implementar sistemas NIDS y similar tampoco les interesa, son más elementos que añadir a su red, por tanto más costes, mantenimientos y dolores de cabeza; y por supuesto, menos dinero en su cartera de beneficios (poniendo que te fueran a cobrar lo mismo al cliente, cosa que dudo).
El ISP te da servicio a internet, y el resto de lo que hagas se la suda. En el fondo debe ser así, el usuario debe ser el encargado de asegurar su red, al igual que el usuario tiene derecho a abrir X puerto y ofrecer servicios (p.ej. WEB, NAS, SSH...) hacia el exterior (aunque sea con IP dinámica). Que todos los routers "protejan" por defecto a los usuarios de su LAN no significa que tu ISP deba garantizar tu seguridad (otra cosa es de tu red para afuera).
#10 Al isp no se la sopla porque se meten en el negocio de venta de big data a muerte. El negocio de google y de acxiom.
AT&T se queda con HBO, CNN, Batman y el resto de Time Warner por 85.400 millones de dólares/c19#c-19
#12 estoy de acuerdo
La pregunta es ¿Cuantas son vulnerabilidades nuevas y exploits que no se conocian?
¿Cuando han sido introducidas en las bases de datos estandarizadas de vulnerabilidades?
(si fueron descubiertas ya, cual fue su historia y fecha de descubrimiento, rastreemos la historia de la liberación del bug)
Trump ayuda a Wall Street y desmantela las protecciones que se crearon tras la Gran Recesión para evitar otra crisis/c156#c-156
Existen unas organizaciones internacionales que crean bases de datos de vulnerabilidades para la comunidad de seguridad informatica mundial, y se asignan codigos a cada vulnerabilidad. Es como un diccionario una base de datos de vulnerabilidades mundiales.
https://en.m.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures
http://www.google.es/search?q=vulnerability+database+code&oq=vulnerability+database+code
¿Cuantas de las vulnetabilidades y exploits son nuevos realmente?
¿Se tramó junto con algun fabricante de software o hardware estadounidense que las llegó a conocer para que no las parcheasen o retrasasen su parcheo?
Es un poco como en el caso de los periodistas que se inhiben unos dias, semanas, meses o años a cambio de algo. Cambios de cromos.
Murcia sale a la calle contra la corrupción/c62#c-62
#11 relaciones publicas, las compañias pueden negar que colaboran con las agencias de inteligencia siempre y cuando no sepan de esas vulnerabilidades, sin embargo la rapidez con la que arreglan estos exploits hace intuir ese cambio de cromos del que hablas
http://www.ubergizmo.com/2017/03/apple-vulnerabilities-vault-7-patched/
#19 ¿Entonces lo de la bateria de iphone que no se puede quitar es una decisión de diseño funcional y economico o su objetivo es que no se pueda quitar normalmente para que siempre lo puedan encender en remoto? (como el asunto del leak vault 7 de las smartv que simulaban estar apagadas, ahora habra que utilizar la practica de desenchufarlas completamente, lo mismo que la practica de tapar la camara de portatiles)
Enmarcado dentro de la narrativa de la pelicula "paranoia".
#22 ni idea, pero me inclino por la obsolescencia programada, a ver que se han pensado los clientes que es eso de comprar una bateria nueva para estirar la vida del movil
"hemos revisado 8000 documentos para que no tengas que hacerlo tu"
Menos mal que puedo ver los 8000 documentos por mí mismo para no tener que creerme lo que me decís vosotros.
#34 Seguro que los vas a leer todos
#43 Pues para empezar, a diferencia de ti ya sé que esos "8000 documentos" en realidad son 7000 páginas de wiki, la gran mayoría de ellas vacías o con cuatro chorradas, y los otros 1000 son en su mayoría notas y comentarios sobre cosas que no vienen en los "documentos".
Pero tú mejor créete lo que te cuenten otros, así te irá... ¿mejor?
#44 [
mode on] Wikileaks ha estado dando caña a Hillary durante la campaña, y ahora saca esto de la CIA cuando Trump esta a ostias con ellos. La CIA/NSA considera a Wikileaks una herramienta de Putin, quien tambien parece hacer buenas migas con Trump [
mode off]
A mi me parece conspiranoia, pero hay que reconocer que el timing da para especular
#47 #44 La estrategia del entorno de Trump se basa en gran parte en decir que hay una serie de "conspiradores" en las altas esferas de la estructura gubernamental de Estados Unidos que pretenden torpedearle. Por eso acusa a Obama de pincharle el teléfono, a los periodistas de estar informando a base de filtraciones descontroladas, dice que Washington es una ciénaga que hay que limpiar, etc... Esta filtración de Wikileaks no hace más que empeorar la imagen de la CIA como una entidad que espía a diestro y siniestro y con una agenda propia que nadie controla, lo que sirve para que las insinuaciones de Trump, a pesar de que que están infundadas (en el sentido de que no aporta pruebas de lo que dice), parezcan cada vez más verosímiles.
#48 y eso que tiene que ver con wikileaks? debería callarse wikileaks solo porque Trump tiene razón y la CIA es una ciénaga llena de gentuza qeu se dedica a espiar a sus propios ciudadanos? es que sinceramente, no entiendo la queja...
#49 Yo no me quejo en absoluto, me parece muy bien que Wikileaks haga su labor.
El hecho es que no sabemos si Trump tiene razón. Él no ha aportado ninguna prueba de sus afirmaciones, pero noticias como ésta le benefician. Y como decía redscare en #47 el timing da para especular.
#51 si fuera para beneficiar a Trump lo hubieran sacado antes de las elecciones.
#52 Antes de las elecciones, Wikileaks ya publicó los mails del jefe de campaña de Hillary Clinton.
#53 si, y?
#56 Si te parece que eso no benefició a Trump...
Quiero decir, seguramente Trump tenga mucha mierda detrás de todos sus años de trabajo como constructor. Sin embargo, Wikileaks dirigió sus esfuerzos a perjudicar a Hillary Clinton. Y no vamos a ser tan ingenuos de creer que lo hicieron solamente por amor a la verdad y a la justicia.
#58 no he dicho que no beneficie a Trump, he dicho que que beneficie o no a Trump es irrelevante. Y Wikileaks no dirigió sus esfuerzos a perjudicar a Hilary Clinton, simplemente la informacion que tiene es sobre el gobierno de USA, no sobre empresarios.
A lo que te voy es que hay muchísima diferencia entre decir que los actos de Wikileaks benefician a Donald Trump a decir "el nterés de Wikileaks en beneficiar a Donald Trump". Que Wikileaks tenga interes en beneficiar a Trump es pura especulacion tuya (lo que no significa que sea mentira, solo que es una opinión subjetiva)
#59 Bueno, el puesto de director de campaña electoral no es un cargo del gobierno USA. Simplemente Wikileaks recibió esa información y decidió publicarla. Y podía haber decidido no hacerlo si Assange en aquel momento hubiera preferido que Hillary fuera presidenta.
Pero sí, claro, todo es mi opinión. Ojalá supiera la verdad de las cosas.
#27. Desgraciadamente, lo que viene empujando cambios son más bien millones de lenguas de millones de canis que hablan de forma vulgar.
La Academia fija; lo de limpiar y dar esplendor lo enterraron hace tiempo en el patio de atrás, junto con la clase. Murieron todos de mala salud.
#0 Por favor, corrige la ortografía de la entradilla.
#7 pues lo unico k se me ocurre revisandola es el Hemos del principio y el tú, a eso te refieres¿?¿? pq he metido la frase en un corrector ortografico y no sale nada mas ....
#17 Viendo cómo escribes te parecerá que está perfecta...
hHemos revisado 8000 documentos para que no tengas que hacerlo tuú,.rResumen de varios de los descubrimientos y exploits usados en los distintos sistemas operativos y dispositivos.#18 bueno bueno que no cunda el panico, he cometido gravisimas faltas de ortografia, gracias por ayudarme a corregir mi latin mal hablado pero no podreis impedir la evolucion del castellano
" el documento está escrito en un castellano muy primitivo, con un lenguaje cercano a las lenguas romances que denota una clara separación de las rígidas normas del latín"
http://www.cronica.com.mx/notas/2008/377807.html
#21 ola me ase? Yo tanbiem estoi hasiendo ebolusionar el casteyano.
#25 si si descojonate pero solo tienes que observar detenidamente las ultimas acepciones incorporadas a la rae
es la lengua vulgar la que cambia el diccionario.... no el diccionario el que cambia la lengua vulgar
#27 por eso yo soi un banguardista, mi emmano.
Resien que estoi pa entra en la hacademia de la lenjua.
#28 po bueno po fale po malegro.... pero sigo sin poder corregir la entradilla
#18 Hombre, y ya puestos, las palabras de lenguas extranjeras deben ir en cursiva: exploits.
#33 Lo sé perfectamente, pero cuando escribí el comentario no estaba segura de si en el titular y entradilla se pueden añadir ese tipo de efectos (no envío noticias con frecuencia).
#18 yo creo que tampoco es necesario el uso del sarcasmo cuando te están preguntando educadamente... que alguien tenga un defecto no quiere decir que necesariamente haya que reirse de el
#41 ¿Quién y/o qué me preguntaron? ¿De quién me he reído?
"such as Signal and WhatsApp, are so strong, the CIA has to compromise your handset, TV or computer to read your messages and snoop on your webcam and microphones"
Eso es lo que quieren que pensemos. Ahora la cia no puede interceptar la encriptacion de whatsapp o telegram o signal pero la nsa si.
¿No habeis visto la pelicula de la máquina enigma?
https://es.m.wikipedia.org/wiki/The_Imitation_Game
¿Y por qué este interés de Wikileaks en beneficiar, aunque sea de pasada, a Donald Trump? ¿Assange pensará que es más fácil de manejar que Clinton y los políticos profesionales?
#20 beneficiar a Trump?
#38 Trump esta a ostias también con la CIA ahora (va haciendo amigos allí por donde pasa), supongo que por eso lo dice #20
#42 y no es un poco bastante cogido por los pelos? quicir, cual seria la opción lógica? decir "hemos encontrado que la CIA hace cosas malas, pero oye, que la CIA está cabreada con un tio que nos cae mal, así que mejor nos lo callamos"? no tiene mucho sentido....
CC #20
Las Agencias de Inteligencia, Policías, Empresas de "Seguridad" (hacking/cracking),... pagan para que no se parcheen o compran fallos detectados en software, hardware. Y en el supuesto de que encuentren un fallo, no lo dirán hasta que este no sea explotado por las primeras. Además de comprar también diferentes softwares para hacking/cracking, claro.
Encima la CIA que se pasa totalmente las leyes por el forro, y no tiene jurisdicción como tal, no os digo nada...
Salu2
Esto nunca hará el presente año como el año de Linux Escritorio.
Decepcionante revisar la documentación con cierta exhaustividad y comprobar que hay mucha arena y poca cal.
Es una cosa que se ha comentado aquí en ciertas ocasiones pero es ciertamente preocupante que un software que se supone que debería aumentar la seguridad puede ser un punto de acceso muy apetitoso de acceso para el hackeo como es el software antivirus.
No pretendo decir que los antivirus se esten volviendo pernicioso per se pero esto más lo lento que vuelven el sistema más que muchas veces no cumplen su supuesta labor. Es que .... pffff. Por supuesto para la mayoría de los usos puede ser una herramienta util, pero la verdad es que cuando estan empezando a dar tantos problemas. O los productores de este tipo de software se ponen las pilas o llegara un momento que sera más un lastre que otra cosa.
#36 has probado a pagar por tu antivirus?
#39 Precisamente pagando es como peor acabas.
El problema está en el escaneo en tiempo real de ficheros, que para conseguirlo el antivirus tiene que suplantar varias funciones de tu sistema operativo, cargándose unas cuantas protecciones por el camino. Tienes que confiar en que las hayan vuelto a implementar de forma correcta, y que no hayan introducido errores nuevos.
Mientras tanto, las versiones gratuitas, sin opción de escaneo en tiempo real de ficheros, no se cargan partes de tu sistema operativo y acabas mejor protegido.
Está de moda el tema CIA últimamente, ¿no?