Portada
Hace 9 años | Por --320894-- a spiegel.de
Publicado hace 9 años por --320894-- a spiegel.de
EUUU y las agencias británicas emprenden esfuerzos para romper todas las comunicaciones cifradas en la red [ENG]

EUUU y las agencias británicas emprenden esfuerzos para romper todas las comunicaciones cifradas en la red [ENG]

 spiegel.de

La nube, al parecer, está llena de agujeros. Las buenas noticias: los documentos de Snowden muestran que algunas formas de cifrado aún causan problemas para la NSA.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 2.5k 41

Comentarios

D
autor
editado

Resumen: La NSA tiene total acceso a VPNs, Skype, y SSL. TOR y PGP/GPG aún no. Lo confirma Kevin Mitnick

V 24
K 244
Cehona

#1 TOR ya lo vulneraron y el interes del fork PGP de Google, ya de por si es una puerta trasera.

V 3
K 21
D
autor

#4 Te digo lo que pone en el artículo, nada más

V 3
K 30
D

#4 Te refiere sa esa vulnerabilidad consistente en que pillaron a algunos que usaban las mismas cuentas de correo dentro y fuera de Tor?

V 5
K 56
G
editado

#4 TOR ni lo vulneraron ni es vulnerable todavía visto las tacticas utilizadas para cazar a la gente..

V 3
K 40
neotobarra2
editado

Algunos protocolos/herramientas que según el artículo escapan al control de la NSA por ahora (ese "ahora" es 2012):

- Tor
- TrueCrypt (ha habido movidas hace poco con éste y aún hay mucha confusión, así que ojito)
- OTR
- CSpace
- ZRTP (usado en RedPhone y Signal)
- PGP

Aun así, lo de las VPN y el SSL es bastante grave...

#4 Perdona pero no, Tor a día de hoy no ha sido jamás atacado con éxito. Sí se ha logrado identificar a usuarios de Tor mediante truquitos variados, como por ejemplo montar un nodo de salida y examinar todo lo que pasa por ahí una vez se descifra para salir a la red hacia su objetivo final, o usar fallos existentes en JavaScript y/o en la versión de Firefox utilizada por Tor. Ambas cosas son responsabilidad del usuario más que de Tor, ya que en el primer caso los afectados debieron usar sistemas de cifrado además de Tor (ya que el objetivo de Tor es proteger tu identidad, no el contenido de tus mensajes) y en el segundo bastaba con no utilizar JavaScript y tener el navegador de Tor actualizado.

Decir que "Tor ya lo vulneraron" es como decir que los frenos de un coche no funcionan porque su conductor no pudo frenar a tiempo cuando circulaba a 240 km/h por una carretera secundaria.

V 11
K 106
noexisto
editado

#0 enorme portada de verdad y gran recopilación de Appelbaum y Gibson.

Para el que le canse leer tanto en inglés (algunas frases son tipo Tarzan, pero comprensibles de todas formas)
https://translate.googleusercontent.com/translate_c?depth=1&nv=1&rurl=translate.google.com&sl=auto&tl=es&u=http://m.spiegel.de/international/germany/a-1010361.html&usg=alkjrhhml2noldp59fwg7ifxi7qwjojxtw#spredirectedfrom=www&referrrer=https://www.meneame.net/ #23

Por lo que veo tuvieron problemas con TrueCrypt, pero no lo abrieron de patas, sólo que al tener problemas ellos mismo lo cerraron (véase #19)

Sin duda los servicios de espionaje hacen lo que hacía el Reino Unido en el XVI que ya tenía un servicio para abrir todas las cartas que pasaban por la oficina de correos en Londres (cartas destacadas) y volverlas a enviar como si nada. Pero cuando uno ve a todo lo que le han metido mano para conseguir su objetivo da algo de miedo. El router es un simple ejemplo. Cuando sepamos más de los chips de las placas base ya veremos, porque puedes tener el mejor software del mundo, pero si quien trabaja eso es el software...

Larga vida a Zimmermann por cierto. Lo que hizo en los 90s sobre la encriptacion o advertir de los cambios en pgp tras la entrada de Norton en su día fue muy valiente. Código libre siempre

comment_16023362 media
V 4
K 56
noexisto
editado

(#26) Norton? (demasiados usos del Ghost cuano Symantec no aparecía en el nombre)

A ver, sobre el pgp lo fundamental es el código (de ahí que salieran los gpgp y todos los open)

Sobre el código y las controversias por aquí: https://philzimmermann.com/EN/faq/index.html ("No back doors". Código http://www.symantec.com/connect/downloads/symantec-pgp-desktop-peer-review-source-code)

Las diferencias entre romper pgp o romper una clave (especialmente desde que los chips son tan rápidos: antes se hablaba de ańos y #nosécuántosordenadores y todavía mucha gente sigue usando esas estadísticas como si no hubiera evolucionado nada la rapidez de operaciones) http://blog.crackpassword.com/2009/04/what-does-the-only-way-to-break-into-pgp-mean/

Un blog muy bueno sobre seguridad (cada vez menos artículos completos, pero sí muchas notas relevantes (como la mención de lo de Spiegel) y fiables de por donde van los tiros) es el de Bruce Schneier Aquí https://www.schneier.com

V 1
K 28
dreierfahrer
editado

#1 Es obvio pq controlan el canal (internet)... Pueden decirle a Verisign que les meta como clave valida y a los operadores telefonicos que cambien sus DNS's y estos lo haran...

Solo se salva lo que tu creas las claves, es independiente del canal y el remitente es verificable... Y seguramente ni eso teniendo en cuenta lo facil que debe ser para ellos obtenerlas de los diferentes SO's...

No os engañeis, 1984 fue hace 30 años: la libertad no existe, se la cargaron en nombre de la seguridad.

V 10
K 106
D
editado

#7 ni eso teniendo en cuenta lo facil que debe ser para ellos obtenerlas de los diferentes SO's...

http://www.openbsd.org/

Son canadienses, con esta gente no tienen cojones.

OpenBSD es usado en corporaciones gordas en EEUU. Si lo comprometen... se lo harán a sí mismos por igual y los rusos y chinos (que superan a la NSA, es un hecho, controlan el hardware ) sacarán el champan.

Aunque, total, una vulnerabilidad en 10 años... lo tienen chungo.

Y aún así puedes joderles vivos creando redes heterógeneas de BSD's en Intel, Sparc y Alpha + Mips y dejarles KO. Cae un nodo con un exploit (comunes a la arquitectura, OpenBSD es MUY jodido de atacar), pero no todos.

"the fact that NSA/CSS makes cryptographic modifications to commercial or indigenous cryptographic information security devices or systems in order to make them exploitable" as Top Secret."

Pues eso, con los cojones de Theo no van a poder.

V 7
K 80
D

#1 Con la nueva adopción del algoritmo SHA-256 en los certificados, se recuperará la seguridad en SSL?

V 0
K 9
s

#1 #34 SSL ya tiene fork y lo llevan la gente de OpenBSD que es un proyecto Canadiense: http://www.libressl.org/

V 0
K 6
D
autor

#34 no

V 0
K 14
a

#1 De las VPN dicen que son vulnerables los protocolos IPsec y PPTP. De OpenVPN no dice nada.

V 1
K 20
D
editado

#36 Depende bajo qué SO. No todas las implementaciones de SSH son iguales.


#35 PPTP estaba cantado.

V 0
K 10
D
autor

#35 openvpn funciona también con ssl y tls

V 0
K 14
z

En cuanto a SSL, viendo esto:

http://www.spiegel.de/media/media-35511.pdf

solo se menciona que atacan una vulnerabilidad específica en el generador de números aleatorios de Debian (que está solucionada en versiones recientes y parece que era pública en el momento en que fue hecha la presentación). El resto de los archivos secretos sobre SSL parecen describir procedimientos de análisis de tráfico, pero no que lo desencriptan masivamente. El artículo dice:

The NSA and its allies routinely intercept such connections -- by the millions. According to an NSA document, the agency intended to crack 10 million intercepted https connections a day by late 2012.

¿Alguien sabe cuál es ese documento y cómo pensaban hacer eso?

V 5
K 65
snd

Yo siempre me montaba mi túnel IPSec (que ya era sospechoso de manos de NSA) hasta que me dio por OpenVPN (SSL, que según este artículo y Mitnick también)... Por entretenimiento mas que otra cosa.

Pero me da a mi que si sale algo nuevo, va a ir mas despacio que lo que se tarde en implementar.

Tor parece ser lo mejorcito para la privacidad, pero claro tiene agujeros por todos lados y el rendimiento deja muchísimo que desear. I2P supongo que algo parecido, pero el rendimiento es aún peor. PGP/GPG supongo que es suerte de que no han encontrado aún ninguna vulnerabilidad y tampoco han podido meter ninguna porque el software es bastante fácil de auditar.

Al final yo creo que es mas por los métodos de cifrado que por otra cosa (al menos en SSL y VPNs). Por eso GPG se resiste, pues usa métodos sin patentar y que se les han dado muchas vueltas, como Blowfish o ElGamal.

V 5
K 59
Eduardo_Robles
editado

Ayer estuve leyendo estos documentos. Hablan de vulneravilidades en SSL, pero no parecen haber encontrado nada en las últimas versiones de TLS y sospecho que les es también complicado descifrar conexiones que usen ECC (Cifrado con Curvas Elípticas), que es lo que últimamente todo el mundo (por ejemplo, meneame).

Otra cosa es que tal y como funciona HTTPS, si tienen acceso (que lo tienen, seguro) a una de las más de 100 autoridades de certificación, pueden hacer un Man-in-the-middle, interceptar tu comunicación y enviártela cifrada con un certificado que se hayan hecho ellos.

Para evitar ese problema, Google, Firefox y mucha gente está buscando soluciones. Por ejemplo, una de ellas es Certificate Transparency, un registro público de cuales son los certificados de cada dominio de Internet. Sistema que usa por cierto un árbol Merkle inmutable igual que Bitcoin. De esa forma, se puede comparar si tu certificado TLS es el mismo que el de todo el mundo. Otra iniciativa es la de fijar certificados TLS a cada dominio o la de fijar al menos la autoridad de certificación de cada dominio. Eso sirve para que no puedan cambiar lo uno o lo otro sin que el navegador web se queje, por tanto o te hacen un Man in the middle todo el tiempo y desde la primera conexión (cosa que además canta bastante más) o nunca.

Y hay aun más iniciativas trabajando en la seguridad de Internet, por ejemplo Naming things with hashes, una forma de URLs donde las URLs en sí contienen un hash del documento asociado a esa URL. Por tanto, se reduce la confianza a tener la URL correcta. Esto sirve desde para usar CDNs de forma segura hasta.. para URLs inmutables en el navegador.

Puedo seguir: existen iniciativas relacionadas con la seguridad de las aplicaciones web, para evitar ataques tipo XSS y similares desde el propio navegador web, como por ejemplo CSP.

Podríamos resumir todo esto en: es una carrera armamentística, y el W3C, IETF, los navegadores web y en general la gente que fabrica Internet están haciendo su trabajo invisible de hormiguita para que tú, ciudadano de a pie, tengas las mejores armas para hacer el trabajo de la NSA un poquito más difícil. ¡Que se ganen su sueldo!

V 5
K 52
o

¿Quién es EUUU?

V 4
K 47
D

#6 El hombre del saco.

V 2
K 25
D
editado

#17

http://www.openbsd.org/mail.html

http://undeadly.org/

http://www.openssh.com/faq.html#2.2

PD: PF en OpenBSD también está para algo, un OpenSSH detrás de un PF es gloria.

#20 Que rumoreen todo lo que quieran. Con NetBSD y FreeBSD es más "sencillo" convencerles al residir en EEUU.

Es un arma de doble filo. Si jodes OpenBSD, te joderán de vuelta, esta gente no es tonta, es la de LibreSSL, Xorg sin root y demás ajustes que los demás UNIX ni olían.

http://xenocara.org/

V 1
K 26
polvos.magicos
editado

El "gran" Obama, que ha pasado de defender la neutralidad en la red a querer controlarla, como aquí en España, que Rajoy hizo promesas de las que no ha cumplido ni una, si esto sigue así los siguientes en protestar van a ser las telecos, pero porque la gente se va a dar de baja en masa, de sus servicios, al menos yo me lo estoy pensando muy seriamente, creo que me sale muy caro lo que pago de tarifa, por poder solo entrar en meneame, por mucho que me guste.

V 1
K 22
arolasecas

Parece que tendremos que volver a lo analógico... Papel y lápiz

V 1
K 22
S

Es interesante el artículo http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361-druck.html donde se menciona que la extensión de chat OTR (https://otr.cypherpunks.ca/) parece problemático para la NSA, así como PGP.

Desgraciadamente parece que SSH se incluye en la lista de protocolos rotos por la NSA

V 1
K 19
D
editado

OpenBSD. GPG, OTR.

¿#10 SSH? ¿Seguro?

Bajate OpenBSD, lleva el OpenSSH más reciente.

V 4
K 55
pax0r

#12 ssh lleva roto bastante tiempo. Se rumorea en los highs councils de los jakers veteranos que hay versiones compiladas de exploits para el protocolo,./lala, root y adentro.

V 0
K 6
D
editado

#17 Ja. Si eso fuera verdad me habria enterado, estoy suscrito a las listas de OpenBSD.

¿Te creas que SSH de OpenBSD es el mismo que los mierdaports de Linux y Windows?

Hay mucho, mucho detrás.

V 0
K 10
pax0r

#18 sin pararme a discutir con un fanboy del pez globo, solo dije "se rumorea"

V 0
K 6
S

#12 En el artículo enlazado por Mitnick se menciona The NSA also has a program with which it claims it can sometimes decrypt the Secure Shell protocol (SSH) así que puede ser que sí sea así.

V 0
K 7
Q_uiop

Menos quejas por favor, que todo esto es para defender el "modo de vida americano" frente a los malos que quieren acabar con las libertades e implantar un estado policial y bla, bla, bla... Aquí y al otro lado del atlántico se defedienden las libertades incluso a costa de sí mismas. La cuadratura del círculo.

V 0
K 12
D
editado

Anglosajonia sigue con su plan de dominar el mundo. ¿Dónde está la noticia?

Arabia, Mexico, Japón, la Unión Europea, etc. se autosacrifican para defender los intereses de los (g)usanos, se ve a leguas su estrategia. Lo que me sorprende es que la gente se sorprenda con estas cosas. ¿No ha quedado ya claro hace tiempo que Usa va a por el resto del mundo cargándose lo que haga falta? Me sorprende que la gente no se haya enterado aun.

Por otra parte, hace como tres años decir que Windows tenía puertas traseras a las que la CIA tenía acceso era arriesgarse a ser el hazmereir de casi todo el mundo. Hoy en día ya esto está más que asimilado por todos, y otras cosas peores también.

V 0
K 10
Candidatas
28
meneos
actualidad Roban una escultura de bronce de un millón de euros para venderla al peso por 1.345
22
meneos
actualidad La Comunidad de Madrid cesa a un arquitecto autonómico por ausentarse de su puesto desde la pandemia
24
meneos
actualidad Operación policial en la embajada de Irán en París
39
meneos
actualidad Las presiones de Unai Rementeria a un alcalde: “Le tienes que exigir que se pringue, yo también me pringaba”
35
meneos
actualidad Llamamiento desesperado para ayudar a Alejandro, de diez años, con leucemia: "Quedan cuatro semanas para encontrar un donante de médula"
30
meneos
actualidad Piden al juez el embargo de bienes preventivo a un secretario de Estado, un consejero y otros tres alcaldes de Almería
89
meneos
actualidad Las campañas de desinformación suelen ser de triple capa: digital, mediática y política. Un buen ejemplo es la campaña del PP #AyusoTeníaRazón
20
meneos
actualidad Un incendio devora las instalaciones de una fábrica de aceite de oliva en Lucena
28
meneos
actualidad La OMS alerta que nueva cepa mutante de viruela del mono en el Congo representa un riesgo global para la salud
53
meneos
actualidad Amazon espía a sus rivales infiltrando a sus empleados en otras
21
meneos
actualidad Joe Biden sorprende al afirmar que su tío fue devorado por caníbales
29
meneos
actualidad La Fiscalía del Supremo pide condenar a un juez, fiscal y policía por la detención de los familiares de un político del PP balear
19
meneos
actualidad Cinco japoneses sobreviven a un ataque suicida en Pakistán tras ser confundidos con chinos
25
meneos
actualidad Entrevista a Pavel Durov con subtitulos en español [ENG]
D

#30 Yo no, pero china ha cogido sus 1500 millones de clientes y se los ha quitado a Google, Amazon y Ebay.

Es como putin, que no tienen claro si a sus clientes los quieren bombardear o venderles algo.

V 0
K 8
cathan

Obviamente, como se trata de países democráticos, al igual que rompen los cifrados de los demás, están preparando la desclasificación de millones de documentos.

V 0
K 8
D

A mi no me da miedo que tengan acceso, la ley tiene acceso a nuestras casas, pero lo hace con orden judicial.

Estos llaneros solitarios del far west son el peligro. Y luego Obama dice que Internet es el salvaje oeste.

POSTUREO YANKI STYLE!!!!

V 0
K 8
D

#3 si se creen con el.derecho de ir a cualquier país y meterle un balazo a quien les molesta como no van a intentar controlar las comunicaciones. Eso si...tu ni lo intentes con ellos.

V 0
K 6
Uzer

Tranquilos, eso solo afecta a toda persona o empresa que no utiliza servicios web (facebook por ejemplo) o de almacenamiento en Estados Unidos o reino unido, porque si vuestros datos están ahí, no necesitan desencriptar nada, tienen legalmente acceso cuando ellos quieran. Hace un par de años hicieron el mejor truco del mundo para que les dieramos nuestros datos, regalar espacio o hacer migraciones "forzosas" a servidores en UK y Estados Unidos (en mi empresa, por ejemplo, pasó que todos los datos se centralizaron en UK "por sorpresa"(

V 0
K 7
gobierno

Alemania utiliza una máquina llamada Enigma. Parece que los aliados están intentando descifrarla.

V 0
K 7
D
editado

El artículo está encriptado. (Como si estuviera escrito en otro idioma).
--------------------------------------------------------------------------------------------------------

V 0
K 7
D
editado

los bits que andan por internet son como las pepitas de oro por el rio, el que pueda se las quede y una vez se las haya encontrado tiene derecho a usar su revolver contra el que le reclame su propiedad ...

Y NO HAY MAS

V 0
K 6
D
editado

Gracias estas gente es que no es posible detener los hackeos y robo de información. Muchos de los fallos de el hardwere y softwere que estos descubren quedan en secreto y ademas urgen a compañías del softwere y el hardwere que instalen back door en sus productos. Pero estos personages no solo rompen la seguridad en el Internet también hablan de como el Internet es el viejo oeste y que vedemos de controlar este medio porqué representa un peligro para la seguridad nacional.

V 0
K 6