Portada
mis comunidades
otras secciones
#7:
#6, exacto: el código de Linux ha sido auditado miles y miles de veces por centenares de miles de expertos, fanáticos de la seguridad.
En casos como el del cifrado, el firewall no hace nada. El bug del RNG hace que se pueda "romper" el cifrado, con muchos menos intentos: para eso no hace falta ninguna conexión.
En casos como el del cifrado, el firewall no hace nada. El bug del RNG hace que se pueda "romper" el cifrado, con muchos menos intentos: para eso no hace falta ninguna conexión.
#9:
#6 Se llaman auditorías y existen. Lo de este generador de números es una chapuza que el mismo Schneier ya comentó en su día. Es una chapuza, que nadie diga que es seguro que todo usuario de linux ha revisado el código, eso es una falacia que se cae sola. Tampoco yo redacto ni reviso las leyes, pero sin embargo me gusta elegir a mis legisladores (masoquista que soy, visto lo visto) y si no me dejaran votar seguro que protestaría. Pues aquí igual, yo no puedo verificar el código, pero me gusta saber que alguien puede hacerlo y si ve algo sucio lo dirá. Y seguramente a un usuario de Windows también le gustaría, pero eso no es posible. Y sólo peleamos para que se entienda eso: en Windows auditar el software no es posible.
#3:
En windows todo es sospechoso...como no tienes ni zorra de como funciona nada...
Comentarios
#1 los fans de Windows no opinan, tragan.
#6, exacto: el código de Linux ha sido auditado miles y miles de veces por centenares de miles de expertos, fanáticos de la seguridad.
En casos como el del cifrado, el firewall no hace nada. El bug del RNG hace que se pueda "romper" el cifrado, con muchos menos intentos: para eso no hace falta ninguna conexión.
#6 Se llaman auditorías y existen. Lo de este generador de números es una chapuza que el mismo Schneier ya comentó en su día. Es una chapuza, que nadie diga que es seguro que todo usuario de linux ha revisado el código, eso es una falacia que se cae sola. Tampoco yo redacto ni reviso las leyes, pero sin embargo me gusta elegir a mis legisladores (masoquista que soy, visto lo visto) y si no me dejaran votar seguro que protestaría. Pues aquí igual, yo no puedo verificar el código, pero me gusta saber que alguien puede hacerlo y si ve algo sucio lo dirá. Y seguramente a un usuario de Windows también le gustaría, pero eso no es posible. Y sólo peleamos para que se entienda eso: en Windows auditar el software no es posible.
En windows todo es sospechoso...como no tienes ni zorra de como funciona nada...
#12 "un huevo de gente que revisa todos los parches de microsoft para asi saber que cambios de codigo se han hecho y que bugs se han arreglado"
Me pregunto cómo podrán averiguar los cambios de código puesto que Windows es privativo....
Aquí toma un nuevo sentido la palabra pseudoaleatoria
#12 Sí, es genial tener el PC lleno de cosas que comprometen tu privacidad y tu seguridad y no poder decidir si las quieres dentro o no. Usar Windows es lo más.
#22 Lástima que todas esas aplicacioncillas sean LIBRES y tenga la seguridad de que han sido auditada una y mil veces Además, puedo eliminar todas y cada una de ellas. Incluso puedo hacerme mi propia distro con sólo las aplicaciones que quiero.
Casi te sale bien la jugada por eso, inténtalo de nuevo.
#10 Más bien ¿Por dónde quieres que te la metan hoy?
#11 Si no sabes, debes confiar. Si no sabes elegir en quién confiar, o prefieres no elegir, alguien elegirá por ti para joderte.
#12 Programadores tan tontos como para querer usarlo... pues que lo metan por su propia cuenta, no hace falta llenar el sistema operativo con chapuzas. Aunque claro, esa no es la mentalidad que hace actualizar Windows para incluir un bug determinado para que funcione un CD de chorradas de Disney.
Cuando Windows lo empiece a usar, a lo mejor esperan que ya no nos acordemos de que lo metieron.
no compredeis que la gente no sabemos traginar con el ordenador......
bastante hacemos con meter las cositas desde algun disco
y decían que el wga era spyware
Microsoft. ¿Qué dispositivo quieres que deje de funcionar con el nuevo Service Pack hoy?
A mi me hace gracia que un experto tenga que decir que cuidado con habilitar no sé qué función de Windows Vista cuando éste es inherentemente inseguro. Es como preocuparse de que la cerradura de la puerta sea blindada teniendo las paredes llenas de agujeros.
Claramente es un sinsentido, normal que haya sospechas. Ese generador tiene peor rendimiento en cualquier aspecto, y encima es sospechoso de tener puertas traseras. ¿Para qué incluirlo? Si todavía tuviese mejor rendimiento... ¡pero es que no! Los otros son más rápidos y encima tienen la confianza de la gente.
En fin...
#37, por favor, explícame de qué hablas cuando dices "código compilado", porque de verdad que por más que lo intento no sé a qué te refieres.
#30 Bueno te voy a dar la respuesta corta a tu pregunta, la larga y la intermedia (totalmente subjetiva, resumida y personal), espero ayudarte con estas.
La corta: No necesito masticar chinchetas para saber que me va a doler, si son de metal y son puntiagudas lo demás es de lógica.
La larga:
http://enespanol.com.ar/2007/11/15/%C2%BFla-nsa-puso-una-puerta-trasera-en-el-nuevo-estandar-de-encriptacion/
http://www.kriptopolis.org/cryptome-sube-la-apuesta
Te recomiendo que busques mas información si te interesa realmente el tema y así te formes tu propia opinión.
La intermedia: MS-Windows incluye un generador de números aleatorios que sirve para crear "llaves" en base a las cuales encriptar información cuando así lo deseas, para proteger tu privacidad y aumentar tu seguridad (Transferencias bancarias, por ejemplo). El caso es que el RNG (Ramdom Numbers Generator) de la discordia funciona bastante mal (tras ser puesta a prueba y en base a ciertos indicios) y parece ser relativamente fácil hacer uso de sus deficiencias para eliminar la privacidad de un usuario que lo utilice.
No tiene sentido incluir una herramienta que ha demostrado ser menos eficaz que cualquier otra en los sistemas operativos de Microsoft... ¿para que incluirla insistentemente?
Bueno, "conspiparanoias" aparte solo un organismo parece estar esta interesado en ello, numerosas notas de prensa y prestigiosos expertos en criptografía apuntan a la influencia de la NSA (National Security Agency) estadounidense para que ese RGN se siga incluyendo en los S.O. de Microsoft... no hay otra explicación mas coherente al respecto, al menos hasta el día de hoy.
#23, aprende a escribir, de la pena que da lo que has escrito has perdido cualquier credibilidad. Además, el argumento es cojonudo, como no tienes nada que esconder te la pela que HurgUen en tu ordenador... Cada paquete del código de sistemas como Debian puedes estar seguro de que está revisado por varias personas, se lleva un control de versiones bastante estricto. Linux (el kernel) tiene más de 6 millones de línEas.
#28, ésta es cojonuda, ¿el código compilado? ¿Tienen cien mil monos mirando binario todo el día?
#23 claro, como no tenemos nada que ocultar, pues lo dejamos todo abierto. ¡Menuda filosofía!
¿A ti te gusta que te graben en todo lo que haces, al estilo de gran hermano? Según tu filosofía no te debería importar, porque no hay nada que ocultar
Hombre, realmente no creo que sea necesario mirarnos todas las lineas de código de lo que se instala en Linux, la disponibilidad del código fuente es una espada de Damocles, es posible que nadie se mire el código fuente de un programa, excepto el que lo hace, pero, y si un día a alguien le da por mirarlo y ve que hay puertas traseras o código malicioso???, la reputación de ese programador se esfumaría y la gente dejaría de usar ese programa.
Con Windows esa posibilidad no existe, te tragas lo que te ponen y a callar, y si hay puertas traseras apechugas con ellas ya que no tienes ni siquiera la posibilidad de dejar de usar ese programa.
#22 Te reto, dame una dirección web, una sola dirección te pido, en la que simplemente entrando sin mas, y sin requerir mas esfuerzo por mi parte, consigas copiar a mi disco una aplicación y ejecutar algo. Aunque sea abrir el CD, que era lo primero que permitia el Bo, por ejemplo.
#40 en tres palabras: nadie lo sabe. Nadie excepto ellos, claro. Pero tu deja tiempo, que ya veras como alguien acabara haciendo publica la manera...
Que fuerte. Que huevos que tienen.
¿Que opinan de esto los fans de windows?
Ya decia yo que Sam Fisher tardaba demasiado poco en hackear los teclados.
#23 Hablando de conspiraciones, a ver si te mirás lo de las LINIAS de investigación.
y por cierto, ¿porque la noticia no tiene titular?
#23 Erm... la noticia habla de un generador de números aleatorios, pieza clave para el buen funcionamiento de cualquier algoritmo criptográfico y el buen ocultamiento de la información. A la NSA le da risa el ocultamiento de la información, prefiere que sea visible para ella misma, conociendo la parte aleatoria de un cifrado, puede conseguir el contenido original.
Da igual las puertas traseras que tengan los programas de un sistema, para mantenerlo muy seguro basta con controlar el acceso al mismo y mantener encriptada la información sensible, por tanto los únicos programas que se necesitan ser revisados, son aquellos que permiten comunicar al equipo con el exterior y los que trabajan con lo que se inserta por el dispositivo de entrada.
Son bastantes, pero no significa revisar todo el SO
National Security Agency (NSA) mas que nada por aclarar, ya que hay gente como yo que no tenía ni idea de que significaba.
http://es.wikipedia.org/wiki/NSA
no se ni porque se denuncian estas cosas. Todo usuario del ventanas ya sabe que su ordenador es vulnerable y puede ser facilmente espiado. Pagan para eso.
#43, no me pienso que funcionan por arte de magia, pienso que son instrucciones codificadas en binario, que entienden los procesadores y ejecutan una a una. No sé por qué dices eso, pero en fin. Al menos eso me han enseñado: código fuente -> código máquina -> binario codificado.
Entonces, dices que es posible "revisar el código compilado", es decir, los binarios, sin decompilarlos ni nada. ¿Y eso cómo se hace? Simple curiosidad, que me tienes flipando, yo nunca me pondría a mirar los binarios de un programa, sólo voy a vivir, siendo optimista, unos 80-90 años.
#43 Asi que tu auditas ceros y unos, no? Y como va? Cero=malo Uno=bueno?
Vaya con Microsoft, después del "gran" producto ahora con estas :((
#39: ejecutables en general, yo solo conozco el funcionamiento de los PE, pero vamos me imagino que para otros tipos debe ser mas o menos igual de facil
o acaso te piensas que un programa compilado funciona por arte de magia?
#30 Yo me sigo haciendo cruces de que se use este sistema operativo para tratar mis datos personales en las administraciones públicas.
#22 ¿Trabajas para Microsoft o es
#45 Hay programas que te extraen el codigo fuente (en ensamblador) a partir del ejecutable, y algunos llegan a hacer una aproximacion al codigo fuente original sabiendo en que lenguaje y con que compilador se hizo. Chapucera, casi ininteligible y mas bien de poca utilidad, pero ahi estan.
Pero de todas formas, ese no es el metodo mas habitual. Lo tipico es usar un debugger para ver las llamadas a funciones del api (es mucho mas facil entender un programa si le ves "vivo"), o utilizar algun tipo de utilidad para ver que ficheros intenta abrir/leer, que envia y recibe por red, de que librerias depende...
Un punto de apoyo, para el que quiera rebuscar un poco mas: http://en.wikipedia.org/wiki/Black_box_testing
#12 tiene razon, el otro dia me compre una bomba nuclear pa tenerla en casa, pero tranquilos, esta desactivada, y nadie la usa, asi que no pasa naaaaaaada....
#25 –> Hablando de conspiraciones, a ver si te MIRÁS lo de las LINIAS de investigación.
No se, pero incluir un generador de números aleatorios sospechoso de tener una puerta trasera es... eso mismo, sospechoso...
Total, todos sabemos lo contraria que es al gente de microsoft a las puertas traseras y similares metodos de intrusión...
#46: no tienes ni idea, no hacen una aproximacion al codigo fuente, es una traduccion directa (aunque algunos programas de pago como IDA tb te crean un diagrama de flujo separando las funciones e intentan predecir algunas cosas, otros mas cutres simplemente traducen byte a byte)
no hay nada que interpretar ni adivinar, es solo mirar el ejecutable e ir pasando a instrucciones de asm del palo de:
EB -> jmp short eip+byte
E9 -> jmp dword
etc...
claro que hay cosas que resultan ambiguas por el funcionamiento de los compiladores, pero por lo general se entiende bastante bien (siempre que sepas asm y conozcas bien la arquitectura y el SO bajo el que corren el ejecutable)
usar un debugger en realidad es lo mismo solo que permiten leer y modificar la memoria de un proceso en ejecucion, en realidad los desensambladores guays incluyen un debugger pero los profesionales solemos usar mas de 1 herramienta, para que sea mas sencillo
#44, #45:
las instrucciones en binario se pueden traducir directamente a codigo ensamblador, si te acostumbras a leer ensamblador compilado (que no es lo mismo que el ensamblador que se programa, xq los compiladores de ensamblador suelen facilitarte mucho el trabajo) acabas reconociendo los patrones de codigo
asi puedes reconocer facilmente una estructura de control, una clase, el tipo de llamada a funcion que se esta utilizando (dependiendo de como se pasen los parametros a la funcion), etc...
normalmente se auditan pequeños trozos de codigo, en concreto con las actualizaciones de windows se hace un diff del binario original y el binario despues de la actualizacion y se analiza solo el codigo añadido o cambiado (en realidad no se hace directamente un diff, sino que se utilizan herramientas especializadas)
pero bueno en otros casos se tiene que sacar mucho mas codigo, como cuando se quiere obtener un protocolo cerrado
este mismo principio tambien se utiliza para romper protecciones de software o para sacar informacion determinada de un binario por muy oculta que este (sin ir mas lejos, asi es como se obtuvo la clave AACS de windvd, ya sabeis aquella de 09 F9 11 02...)
Y esto qué supone, que la cia o el fbi puede espiar o hackear todo equipo guindous vista?
bueno y digo yo, si el codigo de de windows no se puede auditar, ¿como ha conseguido saber ste hombre que tiene una puerta trasera?
#19: revisando el codigo compilado, que en realidad es mas o menos lo mismo que disponer del codigo cuando te acostumbras
#31: es bastante facil auditar codigo compilado, mas o menos lo mismo que si fuese codigo ofuscado o simplemente feo
Pues yo tengo puesto el Windows Vista y me lo voy a quitar y poner el XP.
Y digo yo, todos los usuarios que usais Linux ¿como podeis estar 100% seguros que no hay ningún sistema que te espie el ordenador? Hay gente que ha revisado el código y está limpio, ¿y si esa gente que lo ha hecho(el código entero) estan untados? ¿y si es esa misma gente la que ha puesto la puerta trasera?. Puestos a conspirar hagamos conspiraciones. No creo que haya mucha gente(por no decir nadie) que haya comprobado linia por linia todo elódigo de Linux. No se cuantas linias tendrá pero ahora estoy en un proyecto de universidad que esta chulo pero tampoco es nada del otro mundo y ya tiene 4 millones de linia programadas(no todas por mi). Si una aplicación más o menos simple ya tiene este número de linias un SO deberá tener por lo menos unos cuantos millones más de linias. Como ya podeis imaginar yo uso Windows porque para un ordenador personal es más que suficiente y ademas las solucines para Windows son más numerosas que para Linux y en muchos casos de mejor calidad. Si teneis miedo porque os urgen en el ordenador, ¿es que tenis algo que esconder?.
Considero que todo esto es crear conspiraciones y como ya he dicho antes si nos ponemos a conspirar nadie en este mundo esta a salvo.
1. no esta habilitado por defecto
2. si los programadores de aplicaciones para windows no lo usan, no importa que este ahi
cuando microsoft lo use por defecto en sus librerias de criptografia podeis decir lo que querais, pero esta noticia es FUD
#3: seras tu que no tienes ni zorra, porque hay cantidad de documentacion y un huevo de gente que revisa todos los parches de microsoft para asi saber que cambios de codigo se han hecho y que bugs se han arreglado (para luego explotarlos, normalmente, pero hay de todo)
#18 sabes la de aplicacioncillas que te vienen en un linux que no sabes ni que estan cuando instalas el base??. Para mantener la seguridad es verdad que lo mejor es tener un compilador de C en la máquina para todo usuario...... ¿que no hay spyware en linux? buff
he de suponer que los fans de linux han revisado todo el código del SO y han depurado todas las líneas. de todas formas, si tanta sospecha hay, que pongan un ordenador tras un firewall que revise el tráfico.