El famoso hacker Kevin Mitnick demuestra lo fácil que es interceptar las comunicaciones que se realizan a través de una red de fibra óptica, algo que muchas personas consideraban un mito, y así espiar cualquier transferencia de información sobre la red
El primer link solo explica un bug en la implementación de los navegadores de una versión antigua y deprecada (TSL 1.0) que fue patcheada por todos los navegadores.
El segundo solo cuenta que TrueCrypt dejó de ser mantenido por sus desarrolladores, que si se encuentra un bug en el futuro no será patcheado por lo tanto ´no es seguro utilizarlo. TrueCrypt fue auditado y no se encontraron backdoors/bugs graves. http://istruecryptauditedyet.com/
Son solo bugs en el código de implementaciones/programas concretos. De aquí a poder romper sistemáticamente cifrado seguro hay un trecho.
No digo que haya nada 100% seguro, Igual también se han mostrado ataques a las redes TOR y es posible que de deanonimizen en algunas situaciones.
#15:
#12 Pues si simplemente salio esta noticia hace tiempo...
nada es "seguro" al 100%. Lo que mas dolor de cabeza les esta dando al parecer es la red tor. A dia de hoy diria que es lo mas seguro para el anonimato en internet, hasta que prohiban los nodos tor supongo, pero bueno otra cosa saldra.
#25:
#15 Tu primer enlace: eso ya se arregló. Aprovechaba vulnerabilidades de una versión antigua de SSL. Que sí, quedarán sitios que todavía no estén parcheados, pero SSL no es "insegura".
Tu segundo enlace: no se ha descubierto que truecrypt no sea seguro. El tema de truecrypt es complicado, puedes leer más sobre eso aquí: http://security.stackexchange.com/a/58942/13877. Lo más importante del enlace: el problema principal es que no se van a desarrollar más versiones de Truecrypt, por lo que si se encuentra alguna vulnerabilidad no será solucionada. Aunque ya se han hecho forks del proyecto, que continuarán el desarrollo.
Tu tercer enlace: que quieran poner backdoors no quiere decir que hayan podido hacerlo en todos sitios. Y aún así, lo que habrían roto no sería SSL, sino un programa concreto que lo use.
Resumiendo: el único enlace que trata sobre SSL de los que has citado es el primero (y eso es de lo que estábamos hablando), y sólo has demostrado que una versión antigua no es segura, no que la actual no lo sea.
#10:
#9 y todo el mundo sabe que SSL la NSA lo abre de un chorrazo. Tenemos esa falsa sensacion de seguridad...
#8:
#7 Pues preparate que meneame veo que esta en https. Que vale, que todo lo que es seguridad para la NSA con un chorrazo rompen la encriptacion, que tienen backdoors para todo pero solo digo que entonces no leerian el email talcual.
nada es "seguro" al 100%. Lo que mas dolor de cabeza les esta dando al parecer es la red tor. A dia de hoy diria que es lo mas seguro para el anonimato en internet, hasta que prohiban los nodos tor supongo, pero bueno otra cosa saldra.
El primer link solo explica un bug en la implementación de los navegadores de una versión antigua y deprecada (TSL 1.0) que fue patcheada por todos los navegadores.
El segundo solo cuenta que TrueCrypt dejó de ser mantenido por sus desarrolladores, que si se encuentra un bug en el futuro no será patcheado por lo tanto ´no es seguro utilizarlo. TrueCrypt fue auditado y no se encontraron backdoors/bugs graves. http://istruecryptauditedyet.com/
Son solo bugs en el código de implementaciones/programas concretos. De aquí a poder romper sistemáticamente cifrado seguro hay un trecho.
No digo que haya nada 100% seguro, Igual también se han mostrado ataques a las redes TOR y es posible que de deanonimizen en algunas situaciones.
#21 Que corto de miras... de esos bugs y otros backdoors que no sabemos o no nos diran se aprovechan normalmente...
el truecrypt recuerdo que de repente se dejo de usar porque salió todo eso a la luz pero no sabras si estaba asi y no nos lo decian, prefieren que creamos que es 100% seguro y callarse como putas los bugs y tenerlos guardaditos o bien obligar a las empresas de software por ley a poner un backdoor por aquello de la seguridad nacional.
Creeme que si quieren con tu movil incluso apagado te localizan, pueden encenderlo o escuchar. Suena a gorro de papel de albal pero es asi.
Para cuando te enteras del "bug" en https, en truecript... tu ya has enviado informacion a traves de esos medios. Ahora mismo todo esto que parece taaan seguro via https segun tu... es facilmente monitorizable por algun otro bug, usando algun agujero del colador que es flash, el navegador...
(Me acabo de acordar de que los navegadores tienen tambien mas agujeros que un colador se supone que a unos de la red tor les pillaron por un bug de firefox)
#15 Tu primer enlace: eso ya se arregló. Aprovechaba vulnerabilidades de una versión antigua de SSL. Que sí, quedarán sitios que todavía no estén parcheados, pero SSL no es "insegura".
Tu segundo enlace: no se ha descubierto que truecrypt no sea seguro. El tema de truecrypt es complicado, puedes leer más sobre eso aquí: http://security.stackexchange.com/a/58942/13877. Lo más importante del enlace: el problema principal es que no se van a desarrollar más versiones de Truecrypt, por lo que si se encuentra alguna vulnerabilidad no será solucionada. Aunque ya se han hecho forks del proyecto, que continuarán el desarrollo.
Tu tercer enlace: que quieran poner backdoors no quiere decir que hayan podido hacerlo en todos sitios. Y aún así, lo que habrían roto no sería SSL, sino un programa concreto que lo use.
Resumiendo: el único enlace que trata sobre SSL de los que has citado es el primero (y eso es de lo que estábamos hablando), y sólo has demostrado que una versión antigua no es segura, no que la actual no lo sea.
#25Apostarias 100 euros a que no te pueden hackear o la NSA no tiene acceso a lo que escribes por SSL ahora mismo? de verdad piensas que es seguro y que lo que escribes no es hackeable, que no se puede crackear? No digo que yo sepa hacerlo si me vas a contestar eso pero...
truecrypt petó y de pgp se decia que tampoco era seguro, no se.
Claro que pueden obligarte porque las leyes para empresas como google, facebook que operan en terreno norteamericano. Tu movil no tiene alguna app de google? no tiene facebook? ala, ya estas jodido.
#26 No, porque no estoy intentando ahora mismo tener comunicaciones seguras y no estoy siendo cuidadoso. Pero el método que usaría la NSA no sería romper SSL, sino alguna otra forma (por ejemplo simplemente accediendo a el historial de mi cuenta de menéame en este caso concreto).
Si me lo propusiese y tomase todas las medidas de seguridad necesarias, estoy bastante seguro de que la NSA no podría leer lo que escribo: Edward Snowden mismo afirmó que la NSA no puede romper la criptografía actual y tiene que usar otros medios como backdoors.
Sobre el móvil: ¿vas a cambiar tu argumento ahora? Lo que dijiste es que SSL podía ser roto con facilidad por la NSA. Eso no es cierto. El resto de lo que hablas es marear la perdiz para no reconocer que estabas equivocado.
#28 No se quien entiende menos del tema de los 2... porque la seguridad de una conexion no se trata de "ser cuidadoso ni que no lo estes intentando"... estas en un canal supuestamente seguro y encriptado y si no puedes decirme que es seguro es que no lo es.
Yo sigo pensando que con los sistemas que tienen son capaces de romper y no solo backdoors.
De todos modos por mucha "precaucion" que tomes si tienen un backdoor o fallos de seguridad, que los habra, en SSL o en lo que quieras, como demonios vas a mantener una comunicacion segura?
No te das cuenta de que lo que consideras seguro no lo es?
#34 El canal es seguro, lo que no es seguro (que es donde ponen los backdoors) es tu ordenador.
Pondré un símil:
Digamos que tú y otra persona os estáis enviando cartas. Correos es el responsable del envío. Un día, alguien entra en tu casa y mira las cartas que has recibido mediante Correos. ¿Le echarías la culpa a Correos de eso? No, y de la misma manera, que haya un backdoor en programas de tu ordenador no es culpa de SSL y no significa que pueda ser roto.
Establecer un canal seguro con otra persona que la NSA no pueda leer es fácil: tengo un ordenador no conectado a internet. Como no está conectado a internet, me dan igual las vulnerabilidades o puertas traseras que pudiese tener. Escribo lo que quiero enviar y lo codifico. Copio el fichero codificado a un CD (o a un USB, pero cuidado con el que compras que algunos llevan malware. Si eres muy paranoico simplemente usa un CD). Desde un ordenador conectado a internet envío ese fichero. El que lo recibe lo copia a un CD, lleva ese CD a un ordenador no conectado a internet (con la reproducción automática de CD deshabilitada), y decodifica el fichero. Puede responderme de la misma manera, y la NSA no puede saber lo que enviamos de ninguna manera.
Si los requisitos fuesen diferentes, el procedimiento podría complicarse y ser bastante distinto, pero es posible hacer algo que la NSA no pueda leer.
El problema es que no ves que hay dos cosas distintas que puede hacer la NSA: espiar a alguien en concreto, y guardar de forma masiva todas las comunicaciones que pueda leer en la red. SSL no te proteje mucho contra el primer caso si no te preparas específicamente para evitar a la NSA (que es posible, como ves por el ejemplo que he puesto antes), pero sí que proteje contra el segundo. No pueden activar por defecto todas las puertas traseras o vulnerabilidades: eso sólo lo pueden hacer contra usuarios específicos, porque si no las vulnerabilidades saldrían a la luz fácilmente revisando el tráfico de red.
Por lo tanto, SSL sí que sirve para evitar el espionaje masivo en internet, aunque no sea suficiente para evitar el espionaje contra una persona que es un objetivo concreto de la NSA.
#51El canal es seguro, lo que no es seguro (que es donde ponen los backdoors) es tu ordenador.
He leido eso y ya he parado. Y tu eres el listo y el experto? que pasa que el propio sistema SSL no puede tener backdoors o agujeros de seguridad no declarados? un backdoor no es necesariamente un software que se te instala. No puedes asegurar que SSL no tenga backdoors ni mucho menos agujeros de seguridad, punto.
La tonteria esa de "me copio un cd y me lo llevo a otro pc con internet y lo envio..." no te das cuenta que da igual que el fichero tiene una codificacion que pueden romper? que seguramente tenga un backdoor para leer ese fichero cifrado o bien bugs que puedan usar, no sin contar los centros de proceso terrorificos que tienen que tener para atacar con fuerza bruta el passw. ya no hablo del SSL solo.
Si fuese tan sencillo como tu cuentas... vaya tela.
#52 SSL es un protocolo, no un programa. El protocolo puede tener fallos, pero después de la tira de años que lleva con muchos expertos intentando romperlo y no consiguiéndolo, es muy improbable. En los enlaces que has puesto, no se hablaba de ningún backdoor en el protocolo SSL en sí, sólo en programas que lo usaban.
Como te comenté antes, la NSA no puede romper la criptografía moderna por lo que no, no podría romper la clave del fichero en el CD.
#55 Pero vamos a ver si hace unos años lo petaron por un fallo de seguridad... ya se que es un protocolo pero lo que pareces no entender es que el propio protocolo puede tener una puerta trasera.
Pondrias la mano en el fuego que la NSA no puede romper la criptografia moderna? venga por favor...
#57 Hay mucho más expertos criptográficos trabajando fuera de la NSA que dentro. Si hubiese algún fallo o backdoor, es improbable que alguno de los que trabaja fuera no lo hubiese descubierto. Un protocolo es básicamente una idea, similar a una demostración matemática. Estás intentando argumentar que muchos expertos en el mundo no han encontrado fallos en esa demostración, pero la NSA, que tiene comparativamente sólo una pequeña fracción de ellos, si los ha encontrado. No tiene mucho sentido.
#28 tío, la NSA necesita sólo un par de segundos para espiarte todo el PC o smartphone. El SO que estás utilizando tiene backdoors, ya sea Windows, OS X, o incluso uno basado en Linux.
En los privativos simplemente les obligan a ponerlo, hace mucho tiempo que se encontraron claves de la NSA en Windows. Y en Linux se esconden bajo supuestos parches de seguridad en SELinux..
Estás jodido quieras o no, te pongas como te pongas..
#27 No mienten, simplemente tú no entiendes de qué va el artículo. Esto trata de lo mismo que el tercer enlace que pusiste antes (backdoors), a lo que ya repondí. Que no te hayas dado cuenta me demuestra lo poco que sabes del tema.
#25 El amigo #15 no va desencaminado. La NSA mantiene una lista secreta de vulnerabilidades que utiliza para romper comunicaciones. De hecho ha habido un debate en EEUU sobre si eso mejora la seguridad nacional al permitir romper comunicaciones de sospechosos, o la empeora al no hacerse publicas para su corrección todas esas vulnerabilidades (porque ten por seguro que si la NSA tiene esa lista, China la tiene también). Por supuesto, EEUU niega que dicha lista exista http://www.wired.com/2014/11/michael-daniel-no-zero-day-stockpile/
#10 ¿Alguna fuente para eso de que la NSA puede romper fácilmente SSL? Ya sé que ninguna porque tengo algunos conocimientos del tema, pero lo pregunto para darte la oportunidad de defender tu comentario.
#14 Eso mismo pensaba yo. Pero no corta la fibra, sino que como la pinza y de ahí saca la info.A lo mejor no se ve en el OTDR (o es poco significativo).
Y además ¿Y si lo pones junto a un regenerador de señal? Uno pensaría que es un único salto. O es el propio regenerador el que lo hace.
O a lo mejor los de la NSA tienen algún sistema para que no se pueda detectar el salto, vete tú a saber.
Allá por 1994 hice un programa para "snifar" paquetes de la red de mi universidad. En un PC con una tarjeta ne2000 compatible lo arrancabas y ponía la tarjeta en modo "promiscuo", solo había que filtrar los paquetes que con destino al puerto que te interesase, en mi caso "snifaba" correo y sesiones telnet. Con el correo lo dumpeaba a un fichero todo el tráfico (podia leer todos los correos que entraban y salían de la facultad), y con los de "telnet" y mediante una librería que interpretaba ANSI veía literalmente la pantalla del terminal que me diese la gana de la facultad, no solo lo que el "usuario "veia" en su pantalla, sino todo lo que tecleaba (contraseñas y demás). Sobra decir que lo hice para pasar el rato y nunca lo utilicé para na más allá que reirme. En la última versión le añadí una tecla de "panic" por si venia algún administrador o alguien desconocido y simulaba una session "pine" (cliente de correo de aquella época) para disimular un poquillo. #goodtimes
No es lo mismo que se muestra en el video, pero me lo ha recordado mucho.
#29 En esencia nada ha cambiado, TCP/IP no ha cambiado y mientras la base de las comunicaciones estén basadas en la confianza, todo será capas adicionales para parchear la deficiencia estructural del protocolo.
#29 Vete a cualquier sitio publico con wifi abierta, te pones el wireshark https://www.wireshark.org/ (programa totalmente legal para monitorizacion de redes, yo lo he usado muchas veces en el curro) y te pones las botas. Sobre todo con la gente que se conecta con el móvil. Ni te imaginas la cantidad de apps que no encriptan una mierda. Y como el usuario medio usa el mismo correo y contraseña en prácticamente todos los sitios...
#66 Hay algunos que lo tapan aposta, cuando llevas el ratón ahí sale "su barra" y no puedes. En más de una ocasión me ha tocado ir a Youtube y buscar por el nombre que sale en la web que sea. Por ejemplo, eldiario lo hace... 😡
¿Mitnick es el famoso hacker que el FBI persiguió y condenó primero, incluso prohibiéndole tener acceso a computadoras? Veo que, si es así, ha puesto a trabajar sus conocimientos adquiridos peleándose contra los hombres de negro.
#7 Pues preparate que meneame veo que esta en https. Que vale, que todo lo que es seguridad para la NSA con un chorrazo rompen la encriptacion, que tienen backdoors para todo pero solo digo que entonces no leerian el email talcual.
#9 El SSL entre servidores no es "mandatory", normalmente los servidores están configurados para intentar la conexión SSL y si no fuera posible lo mandan sin SSL, por lo que si mandas un mensaje a ventas@mitiendaonline.com no sabes si desde tu servidor (gmail o el que sea) se ha enviado con SSL hasta su destino, porque no hay un canal cifrado desde el remitente hasta el destinatario como pasa con algunos sistemas de mensajería instantánea, o con las webs HTTPS que hay un canal SSL desde tu ordenador hasta el servidor de la web.
#49 Nunca he dicho que lo sea. Si envias desde y a gmail, icloud, outlook, yahoo, etc.. va a ir cifrado. Si manganito ha hecho una chapuza en mitiendaonline, entonces no
#54 Si envías de Gmail a Gmail entonces sí va con SSL, pero si envías a otro servidor como he dicho no es mandatory, y no es porque esté mal configurado, es para respetar los estándares. Lo que he hablado es de las conexiones S2S.
#56 Te he entendido, tú no me has entendido a mí. Todos los servicios grandes de correo gratuitos soportan y usan por defecto SSL (gmail, apple, yahoo, etc..) y espero que la mayoría de privados también. Si mandas desde y a uno de esos va a ir cifrado por defecto. Si hay un notas que ha montado una chapuza en mitiendaonline y no soporta SSL, entonces si mandas a ese no irá cifrado. Pero yo aún no he encontrado ninguno que haya tenido que utilizar.
#59 Va cifrado por defecto pero si no es posible el cifrado lo envía sin cifrar, por lo que es posible un MITM aunque por defecto ambos servidores usen SSL.
#62 Si el texto va en claro puede. En principio no es trivial hacer un MITM si se usa SSL ya que la integridad de los datos está protegida. Se tendría que comprometer la clave privada del dominio o de la entidad certificadora. Hay otros escenarios complejos, como si el sitio no usa HSTS se puede conseguir otro certificado de otra CA que el cliente confíe y usar ese para el MITM.
#53 Y que lo hagan mil webs más. Coño, déjame el reproductor de youtube que a) si lo quiero en html5 lo tengo y b) si hay subs, ver después, etc me lo quitas!!
Nadie ha dicho que sea imposible. Lo bueno que tiene la fibra es que puedo saber si la comunicación ha sido interceptada por un tercero. Pero no entro en detalles no vaya a ser que os explote la chorla.
A ver se supone que todo lo medianamente "sensible" que utilicemos va a ir codificado extremo a extremo (por ejemplo con HTTPS), por lo que aunque pinchen a fibra estariamos protegido por eso. Si no fuera asi nuestro ISP podría capturarlo tambien sin necesidad de pinchar ningún punto de la fibra, o si nos conectamos a una red wifi abierta lo mismo.
Comentarios
#12 Pues si simplemente salio esta noticia hace tiempo...
http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/
Y hay sistemas que se ha descubierto que eran vulerables como este
http://krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/
sumale a que el gobierno de USA obliga a poner backdoors:
http://www.theguardian.com/us-news/2015/feb/23/nsa-director-defends-backdoors-into-technology-companies
nada es "seguro" al 100%. Lo que mas dolor de cabeza les esta dando al parecer es la red tor. A dia de hoy diria que es lo mas seguro para el anonimato en internet, hasta que prohiban los nodos tor supongo, pero bueno otra cosa saldra.
#15
El primer link solo explica un bug en la implementación de los navegadores de una versión antigua y deprecada (TSL 1.0) que fue patcheada por todos los navegadores.
El segundo solo cuenta que TrueCrypt dejó de ser mantenido por sus desarrolladores, que si se encuentra un bug en el futuro no será patcheado por lo tanto ´no es seguro utilizarlo. TrueCrypt fue auditado y no se encontraron backdoors/bugs graves. http://istruecryptauditedyet.com/
Son solo bugs en el código de implementaciones/programas concretos. De aquí a poder romper sistemáticamente cifrado seguro hay un trecho.
No digo que haya nada 100% seguro, Igual también se han mostrado ataques a las redes TOR y es posible que de deanonimizen en algunas situaciones.
#21 Que corto de miras... de esos bugs y otros backdoors que no sabemos o no nos diran se aprovechan normalmente...
el truecrypt recuerdo que de repente se dejo de usar porque salió todo eso a la luz pero no sabras si estaba asi y no nos lo decian, prefieren que creamos que es 100% seguro y callarse como putas los bugs y tenerlos guardaditos o bien obligar a las empresas de software por ley a poner un backdoor por aquello de la seguridad nacional.
Creeme que si quieren con tu movil incluso apagado te localizan, pueden encenderlo o escuchar. Suena a gorro de papel de albal pero es asi.
Para cuando te enteras del "bug" en https, en truecript... tu ya has enviado informacion a traves de esos medios. Ahora mismo todo esto que parece taaan seguro via https segun tu... es facilmente monitorizable por algun otro bug, usando algun agujero del colador que es flash, el navegador...
(Me acabo de acordar de que los navegadores tienen tambien mas agujeros que un colador se supone que a unos de la red tor les pillaron por un bug de firefox)
#21 ¿En qué idioma hablas?
¿Deprecado? Será obsoleto. (http://lema.rae.es/drae/?val=deprecar)
Patcheada: parcheada (https://es.wikipedia.org/wiki/Parche_%28inform%C3%A1tica%29)
Backdoor: Puerta trasera.
¿deanonimizen? ¿En serio, macho? No estoy muy seguro pero creo que quieres decir algo como 'dejar de ser anónimo'
Y lo de bug, bueno, es un término bastante extendido, pero existe una palabra para él: fallo.
#15 Tu primer enlace: eso ya se arregló. Aprovechaba vulnerabilidades de una versión antigua de SSL. Que sí, quedarán sitios que todavía no estén parcheados, pero SSL no es "insegura".
Tu segundo enlace: no se ha descubierto que truecrypt no sea seguro. El tema de truecrypt es complicado, puedes leer más sobre eso aquí: http://security.stackexchange.com/a/58942/13877. Lo más importante del enlace: el problema principal es que no se van a desarrollar más versiones de Truecrypt, por lo que si se encuentra alguna vulnerabilidad no será solucionada. Aunque ya se han hecho forks del proyecto, que continuarán el desarrollo.
Tu tercer enlace: que quieran poner backdoors no quiere decir que hayan podido hacerlo en todos sitios. Y aún así, lo que habrían roto no sería SSL, sino un programa concreto que lo use.
Resumiendo: el único enlace que trata sobre SSL de los que has citado es el primero (y eso es de lo que estábamos hablando), y sólo has demostrado que una versión antigua no es segura, no que la actual no lo sea.
#25 Apostarias 100 euros a que no te pueden hackear o la NSA no tiene acceso a lo que escribes por SSL ahora mismo? de verdad piensas que es seguro y que lo que escribes no es hackeable, que no se puede crackear?
No digo que yo sepa hacerlo si me vas a contestar eso pero...
truecrypt petó y de pgp se decia que tampoco era seguro, no se.
Claro que pueden obligarte porque las leyes para empresas como google, facebook que operan en terreno norteamericano. Tu movil no tiene alguna app de google? no tiene facebook? ala, ya estas jodido.
#26 No, porque no estoy intentando ahora mismo tener comunicaciones seguras y no estoy siendo cuidadoso. Pero el método que usaría la NSA no sería romper SSL, sino alguna otra forma (por ejemplo simplemente accediendo a el historial de mi cuenta de menéame en este caso concreto).
Si me lo propusiese y tomase todas las medidas de seguridad necesarias, estoy bastante seguro de que la NSA no podría leer lo que escribo: Edward Snowden mismo afirmó que la NSA no puede romper la criptografía actual y tiene que usar otros medios como backdoors.
Sobre el móvil: ¿vas a cambiar tu argumento ahora? Lo que dijiste es que SSL podía ser roto con facilidad por la NSA. Eso no es cierto. El resto de lo que hablas es marear la perdiz para no reconocer que estabas equivocado.
#28 No se quien entiende menos del tema de los 2... porque la seguridad de una conexion no se trata de "ser cuidadoso ni que no lo estes intentando"... estas en un canal supuestamente seguro y encriptado y si no puedes decirme que es seguro es que no lo es.
Yo sigo pensando que con los sistemas que tienen son capaces de romper y no solo backdoors.
De todos modos por mucha "precaucion" que tomes si tienen un backdoor o fallos de seguridad, que los habra, en SSL o en lo que quieras, como demonios vas a mantener una comunicacion segura?
No te das cuenta de que lo que consideras seguro no lo es?
#34 El canal es seguro, lo que no es seguro (que es donde ponen los backdoors) es tu ordenador.
Pondré un símil:
Digamos que tú y otra persona os estáis enviando cartas. Correos es el responsable del envío. Un día, alguien entra en tu casa y mira las cartas que has recibido mediante Correos. ¿Le echarías la culpa a Correos de eso? No, y de la misma manera, que haya un backdoor en programas de tu ordenador no es culpa de SSL y no significa que pueda ser roto.
Establecer un canal seguro con otra persona que la NSA no pueda leer es fácil: tengo un ordenador no conectado a internet. Como no está conectado a internet, me dan igual las vulnerabilidades o puertas traseras que pudiese tener. Escribo lo que quiero enviar y lo codifico. Copio el fichero codificado a un CD (o a un USB, pero cuidado con el que compras que algunos llevan malware. Si eres muy paranoico simplemente usa un CD). Desde un ordenador conectado a internet envío ese fichero. El que lo recibe lo copia a un CD, lleva ese CD a un ordenador no conectado a internet (con la reproducción automática de CD deshabilitada), y decodifica el fichero. Puede responderme de la misma manera, y la NSA no puede saber lo que enviamos de ninguna manera.
Si los requisitos fuesen diferentes, el procedimiento podría complicarse y ser bastante distinto, pero es posible hacer algo que la NSA no pueda leer.
El problema es que no ves que hay dos cosas distintas que puede hacer la NSA: espiar a alguien en concreto, y guardar de forma masiva todas las comunicaciones que pueda leer en la red. SSL no te proteje mucho contra el primer caso si no te preparas específicamente para evitar a la NSA (que es posible, como ves por el ejemplo que he puesto antes), pero sí que proteje contra el segundo. No pueden activar por defecto todas las puertas traseras o vulnerabilidades: eso sólo lo pueden hacer contra usuarios específicos, porque si no las vulnerabilidades saldrían a la luz fácilmente revisando el tráfico de red.
Por lo tanto, SSL sí que sirve para evitar el espionaje masivo en internet, aunque no sea suficiente para evitar el espionaje contra una persona que es un objetivo concreto de la NSA.
#51 El canal es seguro, lo que no es seguro (que es donde ponen los backdoors) es tu ordenador.
He leido eso y ya he parado. Y tu eres el listo y el experto? que pasa que el propio sistema SSL no puede tener backdoors o agujeros de seguridad no declarados? un backdoor no es necesariamente un software que se te instala. No puedes asegurar que SSL no tenga backdoors ni mucho menos agujeros de seguridad, punto.
La tonteria esa de "me copio un cd y me lo llevo a otro pc con internet y lo envio..." no te das cuenta que da igual que el fichero tiene una codificacion que pueden romper? que seguramente tenga un backdoor para leer ese fichero cifrado o bien bugs que puedan usar, no sin contar los centros de proceso terrorificos que tienen que tener para atacar con fuerza bruta el passw. ya no hablo del SSL solo.
Si fuese tan sencillo como tu cuentas... vaya tela.
#52 SSL es un protocolo, no un programa. El protocolo puede tener fallos, pero después de la tira de años que lleva con muchos expertos intentando romperlo y no consiguiéndolo, es muy improbable. En los enlaces que has puesto, no se hablaba de ningún backdoor en el protocolo SSL en sí, sólo en programas que lo usaban.
Como te comenté antes, la NSA no puede romper la criptografía moderna por lo que no, no podría romper la clave del fichero en el CD.
#55 Pero vamos a ver si hace unos años lo petaron por un fallo de seguridad... ya se que es un protocolo pero lo que pareces no entender es que el propio protocolo puede tener una puerta trasera.
Pondrias la mano en el fuego que la NSA no puede romper la criptografia moderna? venga por favor...
#57 Hay mucho más expertos criptográficos trabajando fuera de la NSA que dentro. Si hubiese algún fallo o backdoor, es improbable que alguno de los que trabaja fuera no lo hubiese descubierto. Un protocolo es básicamente una idea, similar a una demostración matemática. Estás intentando argumentar que muchos expertos en el mundo no han encontrado fallos en esa demostración, pero la NSA, que tiene comparativamente sólo una pequeña fracción de ellos, si los ha encontrado. No tiene mucho sentido.
Y repito que no, la NSA no puede romper cripografía moderna: http://www.technologyreview.com/news/519171/nsa-leak-leaves-crypto-math-intact-but-highlights-known-workarounds/
#28 tío, la NSA necesita sólo un par de segundos para espiarte todo el PC o smartphone. El SO que estás utilizando tiene backdoors, ya sea Windows, OS X, o incluso uno basado en Linux.
En los privativos simplemente les obligan a ponerlo, hace mucho tiempo que se encontraron claves de la NSA en Windows. Y en Linux se esconden bajo supuestos parches de seguridad en SELinux..
Estás jodido quieras o no, te pongas como te pongas..
#25
Mira, un poco de google. Ahora que me diras que miente tambien...
http://www.reuters.com/article/2013/09/05/net-us-usa-security-snowden-encryption-idUSBRE98413720130905
#27 No mienten, simplemente tú no entiendes de qué va el artículo. Esto trata de lo mismo que el tercer enlace que pusiste antes (backdoors), a lo que ya repondí. Que no te hayas dado cuenta me demuestra lo poco que sabes del tema.
#31 Cierto que solo me he centrado en el titular.
#31 Vaya paciencia que tienes discutiendo y repitiendo una y otra vez lo mismo.
Si alguien se cree que a día de hoy puede romper un RSA de 2048 bits que venga a mi casa que le doy 100€...
#25 El amigo #15 no va desencaminado. La NSA mantiene una lista secreta de vulnerabilidades que utiliza para romper comunicaciones. De hecho ha habido un debate en EEUU sobre si eso mejora la seguridad nacional al permitir romper comunicaciones de sospechosos, o la empeora al no hacerse publicas para su corrección todas esas vulnerabilidades (porque ten por seguro que si la NSA tiene esa lista, China la tiene también). Por supuesto, EEUU niega que dicha lista exista
http://www.wired.com/2014/11/michael-daniel-no-zero-day-stockpile/
#15 Busca quién financió el desarrollo de Tor, ya verás qué risa.
#45 https://pando.com/2014/07/16/tor-spooks/
https://www.torproject.org/about/sponsors.html.en
lol
pues les ha salido por la culata el tiro
#9 y todo el mundo sabe que SSL la NSA lo abre de un chorrazo. Tenemos esa falsa sensacion de seguridad...
#10 ¿Alguna fuente para eso de que la NSA puede romper fácilmente SSL? Ya sé que ninguna porque tengo algunos conocimientos del tema, pero lo pregunto para darte la oportunidad de defender tu comentario.
Con un OTDR se podría saber que se está usando un aparato de ese estilo.
#14 Venía a comentar lo mismo. Lo ponen como indetectable y de eso nada de nada.
#14 Eso mismo pensaba yo. Pero no corta la fibra, sino que como la pinza y de ahí saca la info.A lo mejor no se ve en el OTDR (o es poco significativo).
Y además ¿Y si lo pones junto a un regenerador de señal? Uno pensaría que es un único salto. O es el propio regenerador el que lo hace.
O a lo mejor los de la NSA tienen algún sistema para que no se pueda detectar el salto, vete tú a saber.
Solo os digo una cosa:
#23 Jajaja, tu también llevas tu propio teclado al curro?
Pero parece un membrana.
#37 Si y no. Sí, este teclado lo usé en un curro hace años. No, ahora uso un teclado de los Apple de los blancos.
#44 pedí un par de días libres, pero el jueves, si me acuerdo subo una foto yo,...
Jajaja
#44 Una por aquí,...
#44 ... Y otra por allá
No me digas que no te hubiera recordado al tuyo.
#75 en efecto ... ... hay mucha mala gente suelta y hay que marcar territorio.
Allá por 1994 hice un programa para "snifar" paquetes de la red de mi universidad. En un PC con una tarjeta ne2000 compatible lo arrancabas y ponía la tarjeta en modo "promiscuo", solo había que filtrar los paquetes que con destino al puerto que te interesase, en mi caso "snifaba" correo y sesiones telnet. Con el correo lo dumpeaba a un fichero todo el tráfico (podia leer todos los correos que entraban y salían de la facultad), y con los de "telnet" y mediante una librería que interpretaba ANSI veía literalmente la pantalla del terminal que me diese la gana de la facultad, no solo lo que el "usuario "veia" en su pantalla, sino todo lo que tecleaba (contraseñas y demás). Sobra decir que lo hice para pasar el rato y nunca lo utilicé para na más allá que reirme. En la última versión le añadí una tecla de "panic" por si venia algún administrador o alguien desconocido y simulaba una session "pine" (cliente de correo de aquella época) para disimular un poquillo. #goodtimes
No es lo mismo que se muestra en el video, pero me lo ha recordado mucho.
#29 En esencia nada ha cambiado, TCP/IP no ha cambiado y mientras la base de las comunicaciones estén basadas en la confianza, todo será capas adicionales para parchear la deficiencia estructural del protocolo.
ARP spoofing, sniffing... todo sigue igual.
#29 Vete a cualquier sitio publico con wifi abierta, te pones el wireshark https://www.wireshark.org/ (programa totalmente legal para monitorizacion de redes, yo lo he usado muchas veces en el curro) y te pones las botas. Sobre todo con la gente que se conecta con el móvil. Ni te imaginas la cantidad de apps que no encriptan una mierda. Y como el usuario medio usa el mismo correo y contraseña en prácticamente todos los sitios...
#41 Cierto, incluso webs de la administración pública para el pago de impuestos en las que se introducen datos personales van sin HTTPS:
http://www.zamoratributos.es/oficinavirtual/tramitacion/gestiontributaria/domicOpA.aspx
#29 Te voto positivo por el momento nostalgia con la ne2000 compatible
#67 a mi estas cosas tambien me sacan una lagrimita ... gracias!
#68 y los chispazos que pegaba el cable de red coaxial!
#71 Ya te digo.
Muchas noches detrás de una terminal como esta (La VT-100):
#71 Y después con una Sun 3/60 como esta:
#66 Hay algunos que lo tapan aposta, cuando llevas el ratón ahí sale "su barra" y no puedes. En más de una ocasión me ha tocado ir a Youtube y buscar por el nombre que sale en la web que sea. Por ejemplo, eldiario lo hace... 😡
#42 Dice la leyenda que llamaba gratis silvando los tonos de joven. El hacker por excelencia.Condor
A la CIA no le va a gustar.
#1 a Kim Jong-un creó que si
#1 La CIA y la NSA ya saben hacer eso hace mucho tiempo.
De hecho hay sospechas de que tienen pinchados cables submarinos de fibra óptica de otros paises.
http://www.dailymotion.com/video/x190hk4_la-nsa-espio-un-cable-submarino-de-telecomunicaciones-europa-asia_news
http://www.publico.es/espana/londres-espia-comunicaciones-espanolas.html
#4 Lo que no le va a gustar a la CIA es que esto se conozca públicamente
CC: #1
#1 Ya le metieron preso una vez, está vigiladísimo y de hecho, hasta trabajará para ellos o algo relacionado.
Mitnick, Mitnick. Una puta mierda Mitnick al lado de la hacker de la pala
:
https://www.fayerwayer.com/2011/04/mujer-de-75-anos-casi-corta-todo-el-internet-de-armenia-con-una-pala/
Relacionada: La red BELLA: el cable submarino que conectará Latinoamérica y Europa sin pasar por EEUU
La red BELLA: el cable submarino que conectará Lat...
m.eldiario.es¿Mitnick es el famoso hacker que el FBI persiguió y condenó primero, incluso prohibiéndole tener acceso a computadoras? Veo que, si es así, ha puesto a trabajar sus conocimientos adquiridos peleándose contra los hombres de negro.
#19 Hasta le denegaron el uso del teléfono porque decían que con una llamada telefónica podía "echar abajo" toda internet...
Ha escrito varios libros.
sniffer level over 9000.
De todos modos si fuese trafico encriptado seria mas seguro no?
#6 imagino que si fuera encriptado podrían detenerte por obsculizar a la "justicia" o algo por el estilo
#7 Pues preparate que meneame veo que esta en https. Que vale, que todo lo que es seguridad para la NSA con un chorrazo rompen la encriptacion, que tienen backdoors para todo pero solo digo que entonces no leerian el email talcual.
#6 exacto, sólo lo puede ver porque el tráfico va en claro, sin cifrar. Todos los servicios de correo modernos van sobre SSL.
#9 El SSL entre servidores no es "mandatory", normalmente los servidores están configurados para intentar la conexión SSL y si no fuera posible lo mandan sin SSL, por lo que si mandas un mensaje a ventas@mitiendaonline.com no sabes si desde tu servidor (gmail o el que sea) se ha enviado con SSL hasta su destino, porque no hay un canal cifrado desde el remitente hasta el destinatario como pasa con algunos sistemas de mensajería instantánea, o con las webs HTTPS que hay un canal SSL desde tu ordenador hasta el servidor de la web.
#49 Nunca he dicho que lo sea. Si envias desde y a gmail, icloud, outlook, yahoo, etc.. va a ir cifrado. Si manganito ha hecho una chapuza en mitiendaonline, entonces no
#54 Si envías de Gmail a Gmail entonces sí va con SSL, pero si envías a otro servidor como he dicho no es mandatory, y no es porque esté mal configurado, es para respetar los estándares. Lo que he hablado es de las conexiones S2S.
#56 Te he entendido, tú no me has entendido a mí. Todos los servicios grandes de correo gratuitos soportan y usan por defecto SSL (gmail, apple, yahoo, etc..) y espero que la mayoría de privados también. Si mandas desde y a uno de esos va a ir cifrado por defecto. Si hay un notas que ha montado una chapuza en mitiendaonline y no soporta SSL, entonces si mandas a ese no irá cifrado. Pero yo aún no he encontrado ninguno que haya tenido que utilizar.
#59 Va cifrado por defecto pero si no es posible el cifrado lo envía sin cifrar, por lo que es posible un MITM aunque por defecto ambos servidores usen SSL.
#9 Entiendo que al estar la red pinchada puede hacer un 'man in the middle', no?
No es tan inmediato como lebantar un sniffer pero hacerse se hace.
#62 Si el texto va en claro puede. En principio no es trivial hacer un MITM si se usa SSL ya que la integridad de los datos está protegida. Se tendría que comprometer la clave privada del dominio o de la entidad certificadora. Hay otros escenarios complejos, como si el sitio no usa HSTS se puede conseguir otro certificado de otra CA que el cliente confíe y usar ese para el MITM.
#62 Aquí puedes ver como sería el MITM, y como solventarlo pero creo que DANE es aun un borrador y no es muy usado:
http://www.ietf.org/proceedings/87/slides/slides-87-dane-2.pdf#page=8
https://datatracker.ietf.org/doc/draft-ietf-dane-smtp-with-dane/
#6 si estuviera metido en criptas también sería vulnerable.
me irrita profundamente que malavida utilice su "visor" de vídeos para mostrar un vídeo de youtube
#53 Y que lo hagan mil webs más. Coño, déjame el reproductor de youtube que a) si lo quiero en html5 lo tengo y b) si hay subs, ver después, etc me lo quitas!!
#53 #65 En este caso puedes ir a Youtube pinchando sobre su icono. Fastidia bastante más cuando no te dejan hacer eso.
Cito:
"Por ello es importantísimo, por un lado, que nadie tenga acceso físico a la fibra, ..."
¿Quién es ese hombre y por qué se comió a Kevin Mitnick?
Esto con Android no pasa
Nadie ha dicho que sea imposible. Lo bueno que tiene la fibra es que puedo saber si la comunicación ha sido interceptada por un tercero. Pero no entro en detalles no vaya a ser que os explote la chorla.
A ver se supone que todo lo medianamente "sensible" que utilicemos va a ir codificado extremo a extremo (por ejemplo con HTTPS), por lo que aunque pinchen a fibra estariamos protegido por eso. Si no fuera asi nuestro ISP podría capturarlo tambien sin necesidad de pinchar ningún punto de la fibra, o si nos conectamos a una red wifi abierta lo mismo.
Solución: instala Linux
#17 Imagino que es una ironía, pero imagino también que sabes que el protocolo smtp entre servidores va sin cifrar
#24 por supuesto que sé que los potros colos van sin cribar, no sé por quién me tomas.