Hace 7 años | Por --366531-- a wired.com
Publicado hace 7 años por --366531-- a wired.com

(trad) Esta mañana, en una pequeña oficina en Mountain View, California, WhatsApp hizo que el alcance de la mirada batalla cifrado de Apple por el FBI un poco pequeña.

Comentarios

Boleteria

#3 Nunca entenderé lo del negro pollón. Me consta que esa foto existe desde tiempos inmemoriables, entonces ¿Por qué se puso de moda el año pasado?

KNTThunderbird

#9 Las modas son cíclicas.

D

#11 #9 No, las modas son la polla.

Jiraiya

#9 Nos fascinan las pollas como boas constrictor. Así de crudo.

D

#9 Deja que te lo cuente él mismo:

D

#9 porque los que la conocíamos eramos los llamados "internautas".

Ahora tiene watsapp casi toda la población.

Gazpachop

#9 Porque es cuando finalmente se llegó a ver al completo.

D

#2 Totalmente de acuerdo, de teatrillo en teatrillo.

D

#25 sasto, llamame Timoteo Cocina

D

#47 análisis de caja negra

D

#52 Que el codigo no sea abierto, no demuestra que haya puertas traseras tampoco.

Findeton

#57 Pero impide demostrar que no las tiene.

D

#65 Perfecto, pero es que #25 no ha dicho que no las tenga. Simplemente que no se asuma que las tiene porque sí.

D

#81 Me parece muy bien, como si trabajas de pescatero.

Aquí se ha afirmado que hay una puerta trasera sin ninguna prueba. Lo demás, son historias.

D

#98 Yo no he dicho que tu lo hayas afirmado.

Y si te quieres preocupar, estás en tu derecho. Yo no estoy preocupado.

Findeton

#100 Pues entonces a qué viene hablar de privacidad.

D

#98 Es que se empeñan en exigir pruebas cuando lo que están pidiendo en realidad, es lo que se llama prueba diiabólica: yo tengo que demostrar que ellos son culpables pero ellos me vetan el acceso al modo de probarlo.

D

#81 falacia de apelación a la autoridad

xkill

#69 siento decirte, que sin pruebas del cifrado punto a punto que supuestamente usa Whatsapp, tampoco podemos afirmar que sea cierto, lo único cierto que la interfaz pone algo de eso, pero nadie a demostrado todavía que ese cifrado sea real y punto a punto sin que otro alguien pueda descifrarlo. Y menos sin tener el código para confirmarlo.

D

#88 Yo no he dicho que el cifrado sea real, ni que sea irreal.

D

#88 quien quiera comprobarlo, puede echar un vistazo a esto: https://github.com/davidgfnet/wireshark-whatsapp

prejudice

#57 Que no se pueda demostrar que no hay puertas traseras ya es suficiente para ponerse en lo peor.

D

#73 Si tu puedes afirmar cosas sin prueba alguna, adelante. No es mi caso.

D

#74 La prueba es un requisito procesal, no comercial. Si a mí un amigo de confianza me dice que a este coche le funcionan mal los frenos, no necesita probar nada, no compro el coche y listos. Si Whatsapp no me prueba la cifra, que no me salga con la presunción judicial de inocencia. Yo uso otra cosa que me lo garantice (o yo lo crea mejor garantizado) y listos. Qué prueba ni qué coñas marineras...

D

#57 Ya.

D

#25 lee sobre la historia de coventry, la ciudad inglesa, su bombardeo y la maquina enigma.

e

#25 Hombre si apple no tuviera backdoor y si un sistema de encriptacion capaz de resistir todo lo que le echara el FBI y la NSA, la próxima versión del iphone sería la ISIS edition. Vamos si resulta que en el movil hay datos sobre un atentado terrorista y Apple se niega a abrir el cifrado, muriendo personas por eso, con todo lo poderosa que es Apple en 1 año desaparece.

D

#55 Métete a vidente y sácate unos dineros.

e

#58 Vamos tu asocia un marca a terrorismo y muerte. A ver lo que dura por mucho fanboy que tenga.

D

#64 Elucubraciones tuyas.

e

#68 Si debe ser eso, como iba a quebrar Apple, ni que la mala prensa pudiera afectar en algo a una empresa que nunca ha tenido problemas durante su historia... http://mundogeek.net/archivos/2012/10/23/el-dia-en-que-apple-estuvo-al-borde-de-la-bancarrota/

D

#76 Afectar en algo ≠ bancarrota.
Apple 1997 ≠ Apple 2017

e

#79 Claro que no, el apple actual esta sustentando en el concepto i-xxx y lo están estrujando hasta sus ultimas consecuencias. El apple del 97 venía de un concepto de solidez/consistencia/rendimiento de sus equipos hasta que el resto de compañías les "cogieron" a mitad de precio o menos y con resultados similares llegando un momento en el que la compra de un equipo solo era por la "marca" no ninguna mejora técnica.
El concepto I-xxxx esta llegando a su punto máximo de explotación y si no se ponen las pilas las caidas de las tecnológicas suele ser bastante brusca. Si venden exclusividad, deben innovar lo máximo posible; cosa que actualmente en el mundo de los smartphones no están haciendo, todo lo que tiene el iphone 7(por lo menos los que he visto en las reviews) ya lo tienen otras compañias y lo ofertan de forma más económica. Si las mejores innovaciones que puede ofrecer apple en el iphone son las live photos(alias gif animado con esteroides) no es muy buen indicativo.

D

#58 La patriot act les permite cerrar apple y llevarse todos sus ordenadores y mandar a los programadores de vacaciones guantanamo.

ahoraquelodices

#55 Y si la escusa del terrorismo no funciona siempre pueden usar la de "piensa en los niños"

JColumbus

#25 Facebook ha pagado por Whatsapp 19€/usuario. Tú (no) pagas 90 centimos al año. ¿Qué crees que ha comprado?
A veces creo que nos hacemos los tontos porque no podemos aceptar el mundo en el que vivimos.

r

#2 nos seas conspiranoico, todos sabemos que la historia de un hacker anonimo les dio la clave para entrar en el iphone

R

#1 Para empezar habrá que ver si es 100% obligatoria, segundo no usa DHT así que seguridad ninguna porque como sabemos la NSA ya tendrá su backdoor.

Estando centralizado... en USA, ya sabemos que hacen.

Sigue siendo más seguro usar TOX (tox.chat).

c

#12 Tienes que poner el móvil al revés

D

#13 como en el código da pena.

Pacman

#12 Claro, lo que están es cifrados.

SrTopete

#12 Tendrás desajustado el acelerómetro. Tienes que darle una sacudida fuerte, mejor contra una mesa. Yo lo he hecho y ha sido mano de santo.

inar

#12 Se te ha olvidado achinar los ojos

D

#12 Siempre puedes meterte en una cripta para leerlos.

Shotokax

#12 ¿cómo te van a mandar los mensajes en una cripta?

d

#40 Dicen que no tienen acceso a las claves y sin embargo son (Whatsapp) los que las generan... No sé, pero no termino de creérmelo.
Además como bien dice #18 ¿quién te dice que no envían el mensaje a sus servidores antes de cifrarlo?
No me creo yo que vayan a prescindir del negocio de la publicidad (y otros), así tan a la ligera...

MycroftHolmes

#56 se generan en el dispositivo en la instalación.
Para la publicidad no necesitan saber lo que escribes, necesitan saber que eres un varón de Madrid de 30 años con un móvil de 600 euros. Eso no está encriptado

d

#71 Sí sí, se generan en el dispositivo y se almacenan en el dispositivo, ¿pero se quedan ahí o de paso se copian al servidor? Si es la aplicación la que genera las claves, tiene acceso a ellas.
El negocio de la publicidad va mucho más allá que los datos básicos.

ktzar

#77 la clave pública se copia al servidor.

d

#83 Sí, la clave pública es pública, eso es normal

D

#83 ¿Y la privada, qué? ¿Alguien ha comprobado que NO se copia, nunca jamás, ni una sola vez?

dreierfahrer

#71 se generan en el dispositivo en la instalacion? Como lo sabes? Tienes el código de whatsapp?

D

#56 porque se podría comprobar que se está enviando el mensaje en claro o las claves (imagino que se generan en el móvil) simplemente usando wireshark, por ejemplo. Si han usado una librería abierta para el cifrado debería ser relativamente sencillo comprobar que efectivamente el móvil está enviando única y exclusivamente los mensajes cifrados (usando los mismos pares de claves) y nada más. Ni backdoors en la aplicación ni pollas en vinagre, si no sale por el wireshark no se está enviando nada.

Mucho cuñadismo y magufeo se lee por aquí...

d

#92 No olvides que Whatsapp usa HTTPS, ¿eres capaz de ver lo que se envía a Whatsapp? Qué crack!¡
Cuándo tengas un rato avisa, que me gustaría aprender.
Totalmente de acuerdo con lo del cuñadismo...

r

#96 con wireshark se ven las conexiones que no són punto a punto. Cantaría aunque no interpretaras el mensaje.

c

#201 Se puede comprobar que está cifrado, pero no que ellos no pueden descifrarlo. (Aún así, eso de por si ya es un avance para Whatsapp).
Sobre lo de Wireshark GOTO #96

D

#92 Hay mucho cuñadismo y magufeo pero no donde tu crees. Los datos ocultos no van a salir en wireshark, van esteganografiados en cabeceras de paquetes, tiempos de envío, reenvíos por aparente error y mil otras formas.

Desde luego no van a ser tan tontos para transmitirlo de manera que llegue un auténtico cuñao con su wireshark a demostrarlo.

http://sec.cs.ucl.ac.uk/users/smurdoch/papers/ih05coverttcp.pdf

dreierfahrer

#92 magufeo? Dejame instalar un programa en tu móvil y podre hacer, basicamente, lo q me salga del cipote mucho más sutilmente de lo q lo hace microsoft.

D

#40 ¿Quien ha dicho que la puerta trasera está justo en la única parte del código que se puede revisar?

MycroftHolmes

#60 es la parte del código que se encarga del cifrado. ¿Quieres que te pongan tb la parte del código donde manejan el reenvío del negro del whatsapp para quedarte tranquilo?

D

#66 Quiero todo el código, desde la función a la que le llega la cadena que he introducido por teclado hasta se borran todas las variables y se sobreescriben con datos aleatorios.

MycroftHolmes

#70 la mitad de eso ya lo tienes, se llama Android. Si cada aplicación tuviera que reimplementar la seguridad a nivel de componentes comunes del SO,no habría desarrolladores suficientes en el mundo

D

#75 Bien puede implementar WA lo que le salga del ojete con librerías BSD, no soltar código y mandar las contraseñas y todo lo que escriba a FB y la NSA.

xiscosoft

#89 #116 El código fuente no hace falta si se puede (y quiere) hacer ingeniería inversa para analizar las APPs. Otra cosa es que sea más o menos difícil hacerlo (obviamente con el código fuente es más sencillo pero aún así necesitas muchos conocimientos para poder hacer un code review en condiciones).

D

#75 pues falta la otra mitad

p

#40, #66 Si no tienes el 100% del código no puedes estar seguro de absolutamente nada. A parte de que un programa puede modificar su propio comportamiento, es como si enseño solo una función de mi programa, que usa código fuente fiable, pero luego hago que mi programa utilice otra función diferente en función de lo que yo le diga.

Además, en este caso nada impediría que whatsapp tenga una función oculta para poder acceder a las claves de cifrado utilizadas por ese módulo del programa.

c

#60 Es más, ¿quién dice que sea exactamente la librería tal cual está en ese repo la que usan en la app?

juliander

#40 no me cuadra que la libreria tenga licencia GPL (cc #78), aunque parece que han incluido el texto al repositorio ... Se les habra olvidado?
No se dice nada de como whatsapp usa esa libreria, hay restricciones de exportacion para criptografia asi que no creo que sea la hostia, pero en ninguna lado dicen que algoritmo usan. Solo que es asimetrico.

Esto es de hace un año puede que lo hayan mejorado, puede que no ... http://www.myce.com/news/users-shouldnt-trust-on-whatsapps-end-to-end-encryption-75939/

Tambien habria que ver si guardan las conversaciones cifradas en local.

D

#78 "es GPL y tendrían que haber liberado el código de todo el programa"

Eso no es del todo correcto. Si es su librería, se la follan como quieren; pueden distribuirla bajo tantas licencias como les dé la gana, todas al mismo tiempo.

Lo que no pueden es incorporar cambios de terceros cubiertos bajo GPL en un programa privativo, pero código propio no hay problema.

c

#40 ¿Has compilado tú el código de la app de Whatsapp que tienes en tu móvil a partir de esos fuentes (que por otro lado es sólo la librería que usan y no la app)? Pues eso.

t3rr0rz0n3

#40 Claro, y tu eres tonto por creer que en el APK que entrega Whatsapp hay eso. Bravo.

D

#40 Si la clave que genera tu copia de whatsapp en tu teléfono (y la de la otra parte con la que cifras la conversación) la mandan a sus servidores una vez generada, ya puedes usar todo el código abierto, cerrado o la polla del negro, que te lo descrifran sí o sí

D

#14 Puede ser cierto y fraudulento: se envían los datos cifrados entre usuario y usuario, y al mismo tiempo descifrados entre el usuario y la agencia de tres letras de turno.

c

#18 A eso me refiero. Sólo si es posible comprobarlo de forma independiente te puedes fiar (y aún así...). Hasta entonces lo dicho, marketing.

D

#18 te suena de algo los sistemas de clave pública?

D

#31 Claro, por eso lo digo.

D

#31 ¿Te suena de algo entregar la clave privada a un tercero?

australia

#14 El hecho de que hayan activado el cifrado es muy fácil de comprobar y no necesitas el código para nada. Lo que no sabemos es si hay o no una puerta trasera en el código.

Aquí el whitepaper aunque no está muy técnico: https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf

c

#22 Ya lo leí. Y sí, se puede comprobar que está cifrado, pero no que ellos no pueden descifrarlo.

D

#72 https://www.whatsapp.com/legal/ (iii) you will not attempt to reverse engineer, alter or modify any part of the Service;

c

#72 Lo que me faltaba era meterme a descifrar un galimatías con ingeniería inversa

Shotokax

#14 eso es cierto, y es una de las razones por las que es tan importante que el software sea libre.

Dicho eso, también es cierto que en este caso tampoco eso importa tanto, puesto que la comunicación en WhatsApp no es de extremo a extremo, sino que está centralizada en su red de servidores. Eso significa que por muy libre que fuera el software de cliente y por muy cifrado que sea el tráfico, todo queda en sus servidores, donde no sabemos apenas ni qué software tienen instalado ni quién tiene acceso a ellos.

Findeton

Si quieres más seguridad, usa Signal, que tiene el mismo cifrado que Whatsapp (el cifrado Whatsapp ha sido implementado por la misma compañía que creó Signal) pero es open source.

Patxi12

Telegram siempre ha cifrado los mensajes. Whatsapp siempre por detrás...

D

#27 No va por detrás en todo, en usuarios va muy por delante

Patxi12

#43 Cierto... los usuarios somos como borregos.

M

#59 te olvidas que Whatsapp salio mucho antes de Telegram

E

Increíble que sea la misma implementación que el Signal, y cifra grupos cosa que ni hace Telegram.
Pero sin el código fuente no podemos saber si hay puerta trasera delantera o a saber que tendrán.

s

Que novedad! algo que llevan otros productos libres hace eones

https://es.wikipedia.org/wiki/Off_the_record_messaging

D

#16 ¿Pero eso lo usan borregos? No. Pues eso, una novedad para borregos...

D

Por su importantísima labor en el campo del "quita que no tienes ni idea", del "es to mentira", del "igual que lo del VHS" y de "es todo márketing", se otorga a los comentaristas de este meneo el...

PREMIO CUÑAO 2015/2016

¡Enhorabuena a todos los agraciados!

D

#48 Felicita también a todos los ganadores del PREMIO FABA 2015/2016 que confían en programas criptográficos de código cerrado.

c

#48 Para ti el de "Mejor crítico sin argumentación"

Eri

Esta mañana, en una pequeña oficina en Mountain View, California, WhatsApp hizo que el alcance de la mirada batalla cifrado de Apple por el FBI un poco pequeña.
Debe ser, que como es en California y va de secretos, el texto está redactado en Cheyene, porque, al menos yo, no me entero.

c

Oooohh, que pena, no permite ver la noticia si tienes un bloqueador de publicidad. Pues, ale ya está vista la página...

D

#0 ¿Entradilla patrocinada por el traductor de Google? Arréglala un poco, anda.

J

Jajajajaja si claro

ipanies

¿Me lo instalo o no?

D

#6 Si solo te va a perseguir la Guardia Civil o la Pulisia Nazional sí, aunque con esos hasta sin cifrado sirve lol

ipanies

#7 No creo que me persiga nadie, no tengo nada que esconder lol lol me encanta esa frase

papasango

En Español

Las conversaciones de WhatsApp por fin son seguras al 100%
http://www.elandroidelibre.com/2016/04/las-conversaciones-de-whatsapp-por-fin-son-seguras-al-100.html

Así funciona el nuevo cifrado extremo a extremo de WhatsApp y cómo comprobar que está activo
http://www.adslzone.net/2016/04/05/asi-funciona-nuevo-cifrado-extremo-extremo-whatsapp-comprobar-esta-activo/

Findeton

#17 Los móviles son inherentemente inseguros. Esto servirá para que la NSA no pueda leer los whatsapp simplemente leyendo los paquetes de información que circulan por internet... pero los móviles no son seguros y sí que pueden entrar en tu móvil y leer todas las conversaciones.

Ah, y alguien que hable de seguridad 100% es que no tiene ni zorra de seguridad. La seguridad 100% NO EXISTE.

D

#41 Si quieren no, LO HACEN.

El modem GSM/UMTS puede enviar comandos a CPU, sea manzanita o robotito.

D

#41 La seguridad 100% SÍ EXISTE.
He aquí un vídeo de cómo conseguir un móvil 100% seguro:

S

Una cosa interesante es que también implementa el cifrado extremo a extremo para los grupos, eso es algo que Telegram por ejemplo no tiene.

D

#42 Además el cifrado lo han desarrollado expertos en cifrado y seguridad... que es otra cosa que Telegram tampoco tiene

x

WhatsApp's Signal Protocol integration is now complete: https://whispersystems.org/blog/whatsapp-complete/

r

El pp contento porque ya no les hace falta pasarse a telegram.

polvos.magicos

#99 Lo mejor es diversificar y tener las dos alternativas, como yo.

D

No hay otra opción que creérselo, luego es falso.

D

#10 está la opción de interceptar una comunicación y analizar el cifrado.

Pero para eso hay que currar y saber. Mejor digamos lo que creamos que da más karma

D

#30 Mejor que enseñen el código fuente y no tengamos que fiarnos de tanto hacker de barra de bar

D

#51 Que puedas copilarte tu la versión y instalarla dirás.

thingoldedoriath

#51 Eso díselo al ex primer ministro de Islandia que debe estar cagándose en la madre que parió al "hacker de barra de bar" que se hizo con más de 11 millones de correos electrónicos de un despacho de abogados de Panamá (en los que aparece él y su señora esposa).

Y eso sin que los del despacho Fonseca enseñaran "el código" ni las claves

Pacomeco

#10 Yo también creo que es falso. Tenía entendido que nosotros éramos el producto que vende WhatsApp, nuestras aficiones, gustos y tendencias de consumo. Si no puede descifrar nuestros mensajes, ¿Cómo ganará dinero?

a

Ya verás cuando se lo diga a mi abuela

D

Y todo gratis?

Lo dudo. tinfoil

Neochange

#15 que esté cifrado no quiere decir que ellos no los lean y los vendan. Solo que otros no pueden.

D

#24 Indican en la primeras líneas que ellos tampoco pueden leerlos.

Neochange

#62 aha.. Así que haces un cifrado pero tu no puedes descifrarlo... Muy realista.

c

#62 Salvo que eso no se puede comprobar de forma objetiva porque no han dado los medios para hacerlo. Sólo tenemos su palabra roll

D

#24 Si el cifrado es realmente de extremo a extremo, como dicen, entonces no lo pueden leer ni siquiera en Whatsapp.

r

#15 Signal es gratis. ¿A dónde quieres llegar?

D

Me hace gracia leer a tanto hacker de barra de bar que parece no conocer ni lo que es la criptografía de clave pública

D

#34 La cuestión no es tanto conocer como funciona el sistema de clave pública o privada: el problema está en no poder verificar por ti mismo que esas claves pública y privada no estén comprometidas de primeras... Es como si compras una casa y no cambias la cerradura, ¿quién te dice que la constructora no tiene una llave de tu casa y puede entrar cuando le salga?

Pues aquí lo mismo, si no se puede comprobar directamente en el código (como se generan las claves, como se comparten, etc.) es como si dicen que las claves son de 2048 bits... Humo todo.

D

#34 Pues entonces te partirás de risa con los monólogos de bar de Bruce Schneier, ese que no parece conocer ni lo que es la criptografía de clave pública :

4) Be suspicious of commercial encryption software, especially from large vendors. My guess is that most encryption products from large US companies have NSA-friendly back doors, and many foreign ones probably do as well. It's prudent to assume that foreign products also have foreign-installed backdoors. Closed-source software is easier for the NSA to backdoor than open-source software. Systems relying on master secrets are vulnerable to the NSA, through either legal or more clandestine means.

http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance

D

#34 Los hackers novatos usan cifrado de clave pública, los expertos usan una llave inglesa: https://xkcd.com/538/

soundnessia

Jode y sale la opción en todos los chat

D

No acabo de entender lo del código QR. ¿Con qué lo escaneo? ¿Con otro móvil?

D

#95 Edito: vale, ya lo he pillado.

u_1cualquiera

#35 no, que sino seguro que nadie me detiene

u_1cualquiera

Acabo de poner en un mensaje
" Alluh Akbar, matar al presidente "
Y nadie ha venido a detenerme... Debe funcionar bien

D

#29 has puesto el nombre de Rajoy?

morilo_mantero

#29 Hombre, te has delatado al escribirlo mal.

Pero bueno, yo acabo de enviar "Allahu Akbar Obama" y tampoco ha pasado.... ¿Que es ese ruido? Mieeerdaaaaaaaaa aksgjdfkjgkldlafjkslajkNAKLNKL;naKL;NDJKahnjklFklsMFKLSD VBKL;SDFVBSDFB SF

zup

Pregunta tonta (a lo mejor es que lo he entendido mal):

End to end encryption es cifrado punto a punto. Entiendo que esto significa que desde que un paquete sale de mi móvil viaja cifrado hasta el del destinatario. ¿Y la base de datos de mensajes? ¿Está cifrada la base de datos que guarda las conversaciones en mi móvil o la puede cotillear cualquiera?

D

#63 Todo el grupo usa las mismas claves publicas/privadas. Entre dos desconozco como lo harán pero supongo que utilizan el mismo "truco" para conseguir que la comunicación sea muy segura.
Debe ser que el cifrado de telegram les empezaba a hacer pupa y estos decidieron dar un paso más.
Supongo que en el fondo viene bien para utilizar con conexiones no seguras, pero nada más. Un poco más seguro que el rot13, pero muy vulnerable porque seguro que las claves se van a enviar a través de canales no seguros.

cyrus

#63 la base de datos sqlite esta cifrada desde hace mucho ya, si pierdes tu móvil y alguien coge solo la base de datos no le servirá de mucho.

D

te acuerdas de las peliculas vhs?

"si usted copia esta pelicula el FBI le perseguira"

pero era mentira por desgracia igual que hoy

Eri

O que el algoritmo de mi RSZA, se ha reseteado y la BGR tiene interferencias por los TSA.

D

Es un cifrado de broma. Vi el anuncio y ponía que cifraban hasta los grupos y que ellos no podían acceder a la información.
Supongo que en el fondo la mayoría de los usuarios desconocen lo que es el cifrado y así se sienten más seguros.

cyrus

#82 porque lo dices?,si WhatsApp guarda las claves públicas de todos los miembros, si yo mando un mensaje, supongo que estaré mandando uno diferente para cada destinatario. Aumentará mucho el tráfico de datos, pero no veo el problema.

1 2 3