Re: Privacidad en internet, NSA y GNU/Linux.
El 6 de septiembre de 2013 17:12, Marcos G. mar...@ovejafm.com escribió: por eso no confiaría nunca en sistemas de encriptación programados por personas que no conozco, preferiría programarlo yo y pasar el software sólo a quien me parezca de confianza si todos los programadores del mundo hiciéramos eso, la ns a la tendría complicadísima. Ok, pero con una salvedad: usá un algoritmo standard y de seguridad conocida (RSA por ejemplo) y hacé vos el programa si querés. Siempre me acuerdo de una charla de un matemático a la que asistimos hace tiempo. Nos habló de cifrado de datos relacionado con linux y nos contó una anécdota muy interesante sobre una vez que la NSA iba a comprar un algoritmo de cifrado. Se presentaron varias alternativas y entre allas una que creo que había diseñado Siemens para su uso interno y que venían usando desde hacía varios años. Apenas se hizo la presentación uno de los matemáticos hizo el gesto de bajarse los lentes a la punta de la nariz. Eso entre ellos significa que han observado una debilidad grave. A los dos días apareció el matemático con un ataque que rompía fácilmente ese cifrado. La enseñanza que nos quería dejar el que nos contaba la historia, es que igual que el software open source es más seguro porque ha sido revisado por muchos, en el cifrado de datos también es siempre mucho más seguro usar algoritmos públicos porque su seguridad es conocida y sabemos qué esperar. Si te inventás tu propio cifrado podrías tener la suerte de hacer algo maravilloso pero tamtién podrías haber pasado por alto algún detalle que lo haga inútil. ¿Cuántos años llevarían los competidores de Siemens espiando sus comunicaciones por usar un algoritmo que un buen matemático puede romper en dos días? -- Qapla' Alejandro Vargas
Re: Privacidad en internet, NSA y GNU/Linux.
El 6 de septiembre de 2013 21:25, Carlos Matons Cesco cmat...@gmail.comescribió: De alguna manera deben filtrar y categorizar esta información relevante a través de palabras clave o algún método que no sé cuál es pero que no debe ser nada complejo. Y ahí sí, con la información que es categorizada como prioritaria, aparece el ser humano a analizar y ver en profundidad de qué se trata. Otra cosa que debe despertar el interés del sistema son los mensajes que van encriptados, por ejemplo con GPG. Supongo que el tráfico con cifrados fuertes junto con lo que los sistemas automáticos detecten como sospechoso, se guardará para su análisis en el caso de que alguno de los interlocutores sea sospechoso. A demás, según se descubrió hace poco, almacenan la totalidad del tráfico que capturan durante 3 días (supongo que ese tiempo irá aumentando a medida que tengan más dinero para comprar discos). De esa forma, si hoy descubren a alguien sospechoso, pueden irse hasta 3 días para atrás y mirar sus comunicaciones. Si han pasado más de 3 días ya no tienen los datos completos pero almacenan metadatos por varios meses así que tal vez no sepan qué mail mandó el sospechoso pero sí cuándo y con quién se comunicó. Creo que la forma de joderles la vida a los de la NSA sería que todo el mundo mande mensajes encriptados (aunque sea con una RSA de 256 bits) para todo. Yo creo que lo ideal sería luchar para que nadie realizara intercepciones ilegales de información. Ni siquiera el mismo gobierno... pero bueno, mandar todo el tráfico cifrado seguro que dificultaría enormemente su tarea. Pero no te quepa duda que encontrarían una solución, aunque fuera prohibir el tráfico cifrado. No te olvidés de que ellos son los que mandan. Seguramente van a hacer el esfuerzo por desencriptarlos y eso se traduce en algunos minutos o segundos de uso de alguna super computadora que tengan por ahí estos gringos. Por un lado, podría ser que no desencriptaran todo porque puedan distinguir quienes son unos mocosos molestos y quienes pueden ser peligrosos para ellos. Y por otro lado podría ser que simplemente compraran más supercomputadoras y nos las hicieran pagar a nosotros... -- Qapla' Alejandro Vargas
Re: Privacidad en internet, NSA y GNU/Linux.
El 6 de septiembre de 2013 17:12, Marcos G. mar...@ovejafm.com escribió: ayer salió publicado esto: http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html sobre encriptación, destaco: And the agency used its influence as the world’s most experienced code maker to covertly introduce weaknesses into the encryption standards followed by hardware and software developers around the world. Hoy leía esto: * https://plus.google.com/+LinuxMagazineEdici%C3%B3nenCastellano/posts/GWMuJhcUkrU * * * *Hace un par de años Matt Mackall abandonó el proyecto de /dev/random porque Linus Torvalds sobreseyó su decisión de crear un generador de números aleatorios desde cero para, en vez de ello, utilizar el que proporciona los chipsets de Intel:* * * *http://comments.gmane.org/gmane.comp.security.cryptography.randombit/4689* * * *Mackall protestó la decisión ya que el mecanismo de generación de Intel es inauditable y por tanto, siguiendo las ideas de Richard Stallman, no se le podía confiar algo tan importante. Hay que entender que los generadores de números aleatorios a menudo se usan para generar entropía para la generación de claves que luego se utilizan en el cifrado de datos y comunicaciones.* * * *Ahora sabemos que Intel, a instancias de la NSA, coló una puerta trasera en su generador de números aleatorios, precisamente para permitir a la agencia de seguridad descifrar lo que se creía indescifrable. * As que ya ves. Todo sistema que esté usando el generador de números al azar de Intel (incluso Linux) probablemente es fácilmente descifrable para la NSA. Y los números al azar se utilizan en los cifrados que supuestamente son seguros. -- Qapla' Alejandro Vargas
Re: Privacidad en internet, NSA y GNU/Linux.
el SELinux tengo entendido Cyanogen Mod lo esta implementando en sus versiones 10.2 si no estoy mal informado. Lo venden como ampliar la seguridad de los moviles cuando en realidad les estas entregando toda la informacion gratuitamente. Ademas creo que google lo esta incluyendo en el Android 4.3 resumiendo, estamos al horno !!! El 8 de septiembre de 2013 12:59, Lucas Nogueron lnogue...@gmail.comescribió: El día 5 de septiembre de 2013 21:47, Carlos Matons Cesco cmat...@gmail.com escribió: Vengo siguiendo el tema de privacidad en internet, NSA, FBI, CIA, etc etc, no porque me preocupe que me vayan a robar información estratégica, sino porque me preocupa el dilema ético y moral que plantea el asunto. Pero ese es otro tema que no me interesa tratar ahora. Desde el principio de este asunto yo creí que, por ser un usuario de GNU/Linux, estaba protegido de ciertas facetas de este espionaje. Ya he leído en varios lugares que la NSA es la que compila el kernel de Güindous y que podrían estar introduciendo código que permitiera monitorear (y tal vez hasta controlar) los equipos que corrieran estos OS. Yo estaba convencido de que ese era un punto mas a favor de usar GNU/Linux. Pero leyendo y leyendo me encuentro que en los kernels Linux la NSA ha metido su mano hace unos 10 años aproximadamente. Lo hace a través de un módulo (no sé qué es) llamado SELinux [1][2][3][4]. Alguien que la tenga clara puede explicar qué hace SELinux realmente (porque ya no le creo a nada de lo que se publica). ¿Si uno compila el kernel manualmente, es posible desabilitar éste módulo? Saludos. En realidad la idea es hacersela dificil. Protegerte a un nivel de un NSA o alguno de esos monstruos me parece que ahí perdiste la guerra. Lo que si empezaría por tu ISP o tu gobierno local. La idea sería usar TOR mas un add on de firefox como secret agent. Curiosamente podrías usar leyes de copyright a tu favor para que no te espíen: https://www.dephormation.org.uk/?page=5 Allí hace referencia a leyes de UK y USA. El sitio que te puse está bueno y te da varias ideas. Salutes. -- Si no fuera por C, estaríamos escribiendo programas en BASI, PASAL, y OBOL. En Twitter: @lnogueron - https://twitter.com/lnogueron Luxas
Re: Privacidad en internet, NSA y GNU/Linux.
On Lun 09 Sep 2013 06:32:06 Alejandro Vargas escribió: El 6 de septiembre de 2013 17:12, Marcos G. mar...@ovejafm.com escribió: ayer salió publicado esto: http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.h tml sobre encriptación, destaco: And the agency used its influence as the world’s most experienced code maker to covertly introduce weaknesses into the encryption standards followed by hardware and software developers around the world. Hoy leía esto: * https://plus.google.com/+LinuxMagazineEdici%C3%B3nenCastellano/posts/GWMuJh cUkrU * * * *Hace un par de años Matt Mackall abandonó el proyecto de /dev/random porque Linus Torvalds sobreseyó su decisión de crear un generador de números aleatorios desde cero para, en vez de ello, utilizar el que proporciona los chipsets de Intel:* * * *http://comments.gmane.org/gmane.comp.security.cryptography.randombit/4689* * * *Mackall protestó la decisión ya que el mecanismo de generación de Intel es inauditable y por tanto, siguiendo las ideas de Richard Stallman, no se le podía confiar algo tan importante. Hay que entender que los generadores de números aleatorios a menudo se usan para generar entropía para la generación de claves que luego se utilizan en el cifrado de datos y comunicaciones.* * * *Ahora sabemos que Intel, a instancias de la NSA, coló una puerta trasera en su generador de números aleatorios, precisamente para permitir a la agencia de seguridad descifrar lo que se creía indescifrable. * As que ya ves. Todo sistema que esté usando el generador de números al azar de Intel (incluso Linux) probablemente es fácilmente descifrable para la NSA. Y los números al azar se utilizan en los cifrados que supuestamente son seguros. por eso insisto en que no usaría con confianza cualquier sistema de encriptación programado por otra persona, o, digamos, también, ninguno programado hasta ahora. -- Marcos Guglielmetti ▲ :: M U S I X : ▼ ((*J*)) www.musix.org.ar www.ovejafm.com www.softwarelibre.org.ar ___ Para encontrarte con activistas del movimiento social del software libre: http://listas.softwarelibre.org.ar/cgi-bin/mailman/listinfo/movimiento The beginning of the mistake is from growing meat for the king and wine for the church. http://www.context.org/ICLIB/IC14/Fukuoka.htm
Re: Privacidad en internet, NSA y GNU/Linux.
On Lun 09 Sep 2013 03:58:05 Alejandro Vargas escribió: El 6 de septiembre de 2013 17:12, Marcos G. mar...@ovejafm.com escribió: por eso no confiaría nunca en sistemas de encriptación programados por personas que no conozco, preferiría programarlo yo y pasar el software sólo a quien me parezca de confianza si todos los programadores del mundo hiciéramos eso, la ns a la tendría complicadísima. Ok, pero con una salvedad: usá un algoritmo standard y de seguridad conocida (RSA por ejemplo) y hacé vos el programa si querés. Siempre me acuerdo de una charla de un matemático a la que asistimos hace tiempo. Nos habló de cifrado de datos relacionado con linux y nos contó una anécdota muy interesante sobre una vez que la NSA iba a comprar un algoritmo de cifrado. Se presentaron varias alternativas y entre allas una que creo que había diseñado Siemens para su uso interno y que venían usando desde hacía varios años. Apenas se hizo la presentación uno de los matemáticos hizo el gesto de bajarse los lentes a la punta de la nariz. Eso entre ellos significa que han observado una debilidad grave. A los dos días apareció el matemático con un ataque que rompía fácilmente ese cifrado. La enseñanza que nos quería dejar el que nos contaba la historia, es que igual que el software open source es más seguro porque ha sido revisado por muchos, en el cifrado de datos también es siempre mucho más seguro usar algoritmos públicos porque su seguridad es conocida y sabemos qué esperar. Si te inventás tu propio cifrado podrías tener la suerte de hacer algo maravilloso pero tamtién podrías haber pasado por alto algún detalle que lo haga inútil. ¿Cuántos años llevarían los competidores de Siemens espiando sus comunicaciones por usar un algoritmo que un buen matemático puede romper en dos días? linda anécdota para mí, el gran error de los cifrados, al menos en textos, es basarse tanto en la matemática -- Marcos Guglielmetti ▲ :: M U S I X : ▼ ((*J*)) www.musix.org.ar www.ovejafm.com www.softwarelibre.org.ar ___ Para encontrarte con activistas del movimiento social del software libre: http://listas.softwarelibre.org.ar/cgi-bin/mailman/listinfo/movimiento The beginning of the mistake is from growing meat for the king and wine for the church. http://www.context.org/ICLIB/IC14/Fukuoka.htm
Re: Privacidad en internet, NSA y GNU/Linux.
El 9 de septiembre de 2013 12:39, Marcelo Robin marceloro...@gmail.comescribió: el SELinux tengo entendido Cyanogen Mod lo esta implementando en sus versiones 10.2 si no estoy mal informado. Lo venden como ampliar la seguridad de los moviles cuando en realidad les estas entregando toda la informacion gratuitamente. No creo. Digamos que sin SE Linux estás a la merced de cualquiera y con SE Linux tal vez (y sólo tal vez) sólo pueda espiarte la NSA. Ademas creo que google lo esta incluyendo en el Android 4.3 Claro. Cyanogen Mod está en eso porque Google está en eso. En definitiva es el mismo sistema operativo.
Re: Privacidad en internet, NSA y GNU/Linux.
El 9 de septiembre de 2013 13:54, Marcos G. mar...@ovejafm.com escribió: para mí, el gran error de los cifrados, al menos en textos, es basarse tanto en la matemática Sí... es que las computadoras están hechas para la matemática. Pero la verdad yo he pensado varias veces en crear algún tipo de cifrado que sea más humano que informático. O sea, con ayuda de la computadora para hacer el trabajo pesado pero que requiera algún criterio humano o que utilice información generada por humanos. Pero cada vez que pienso en algo me doy cuenta de que la idea que he tenido sería más débil que un algoritmo matemático porque, justamente, la matemática es exacta y su debilidad conocida.
espionaje-en-internet-entrevista-a-dattatec
http://www.mdzol.com/nota/488082-espionaje-en-internet-entrevista-a-dattatec/ -- Marcos Guglielmetti ▲ :: M U S I X : ▼ ((*J*)) www.musix.org.ar www.ovejafm.com www.softwarelibre.org.ar ___ Para encontrarte con activistas del movimiento social del software libre: http://listas.softwarelibre.org.ar/cgi-bin/mailman/listinfo/movimiento The beginning of the mistake is from growing meat for the king and wine for the church. http://www.context.org/ICLIB/IC14/Fukuoka.htm
Re: Privacidad en internet, NSA y GNU/Linux.
On Lun 09 Sep 2013 11:54:03 Alejandro Vargas escribió: El 9 de septiembre de 2013 15:28, Marcos G. mar...@ovejafm.com escribió: pero si el hombre en el medio no conoce un diccionario, x ejemplo, la única q le queda es atacar tu máquina y robártelo, y si el software q hiciste está preparado para re-genera nuevos diccionarios potencialmente infinitos, no veo problema en ese esquema En principio, atacar tu máquina y robártelo puede ser el modo más fácil. Sin embargo, si tiene el programa que generó el diccionario ahí puede haber una debilidad. lógico pero el programa es sencillo y fácilmente re-modificable, si sospechás q alguien más lo tiene, lo cambiás rápidamente, es más fácil de arreglar q todo lo q existe actualmente, gpg, linux y su generador de números al azar programado por la ns a llevado por intel hacia Linus, etc. ¿En qué se basó ese programa para generar el diccionario? en algunos textos que vos le diste al programa: el atacante debería robar todos esos textos y dárselos al programa en el mismo orden que vos se los diste, todo exactamente así. ¿En números al azar? no, en las palabras que aún no conoce (si comienza de cero, no conoce nada) Justamente el problema que mencionaba en otro mail: que incluso linux durante un tiempo tuvo un generador de números al azar que la NSA puede predecir. Y pudiendo predecir al menos algo de esos números al azar, se pueden probar diccionarios posibles en cosa de minutos. por eso no hay q basarse completamente en ningún azar electrónico que para mí no sería un problema matemático, sino más social: te tienen q ir a buscar a tu casa y torturarte Claro... Es el problema de siempre. Si te tienen fichado como terrorista, no creo que podás comunicarte sin que te espíen. Si no, en realidad no tienen más interés en vos que en el resto de los miles de millones de personas del mundo. Lo que les interesa es poder pasar tu tráfico por detectores automáticos que les indiquen si sos sospechoso de algo, y apenas te volvás sospechoso ya no tiene sentido que sigás cifrando los datos porque de una forma u otra los van a ver. por eso lo que me interesa es el espionaje masivo, dado que no somos terroristas y tenemos todo el derecho del mundo a no ser observados en la intimidad... a nadie se le ocurriría aceptar q un vecino lo mirara todo el tiempo a través del tapial...
como desactivar la supuesta vulnerabilidad introducida por la nsa en linux
http://www.espaciolinux.com/2013/09/linux-la-nsa-y-la-desinformacion/ En otras palabras, da igual que uses Linux Libre, si tienes un microprocesador Ivy Bridge, o superior, lo más probable es que estés usando RdRand. La pregunta a todo esto es: ¿Pero se puede desactivar esta característica? Sí, y en la misma documentación dice perfectamente como desactivarla: Documentation/kernel-parameters.txt Basta con agregar la opción nordrand a la linea de booteo del kernel, y listo, problema solucionado. En serio señores, no coman mierda, infórmense bien antes de emitir palabra sobre un tema que desconocen. Preocuparse por la privacidad está perfecto, pero tampoco se trata de entrar en pánico sin sentido. -- Marcos Guglielmetti ▲ :: M U S I X : ▼ ((*J*)) www.musix.org.ar www.ovejafm.com www.softwarelibre.org.ar ___ Para encontrarte con activistas del movimiento social del software libre: http://listas.softwarelibre.org.ar/cgi-bin/mailman/listinfo/movimiento The beginning of the mistake is from growing meat for the king and wine for the church. http://www.context.org/ICLIB/IC14/Fukuoka.htm