Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos
El 11 de septiembre de 2013 20:41, Carlos H. Matons Cesco cmat...@gmail.com escribió: Éste sistema es muy parecido a uno muy antiguo que consiste en bibliotecas gemelas. X cantidad de libros por duplicado en poder de dos personas que quieren comunicarse de manera secreta. El mensaje se redacta tomando palabras o letras de los libros que componen la biblioteca referenciándolas por n° de libro, n° de página, n° de párrafo, n° de línea, n° de palabra y n° de letra si fuese necesario. Además se pueden establecer como un dato más para aumentar la seguridad del sistema ordenes distintos de los volúmenes de la biblioteca dependiendo del criterio que a uno se le ocurra (alfabético, n° de páginas, etc). La cosa es que si hace tiempo se dejaron de usar estos cifrados en favor de otros más matemáticos, supongo que será por algo. Tal vez por comodidad o tal vez por seguridad. -- Qapla' Alejandro Vargas
Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos
On Jue 12 Sep 2013 08:08:34 Alejandro Vargas escribió: El 11 de septiembre de 2013 20:41, Carlos H. Matons Cesco cmat...@gmail.com escribió: Éste sistema es muy parecido a uno muy antiguo que consiste en bibliotecas gemelas. X cantidad de libros por duplicado en poder de dos personas que quieren comunicarse de manera secreta. El mensaje se redacta tomando palabras o letras de los libros que componen la biblioteca referenciándolas por n° de libro, n° de página, n° de párrafo, n° de línea, n° de palabra y n° de letra si fuese necesario. Además se pueden establecer como un dato más para aumentar la seguridad del sistema ordenes distintos de los volúmenes de la biblioteca dependiendo del criterio que a uno se le ocurra (alfabético, n° de páginas, etc). La cosa es que si hace tiempo se dejaron de usar estos cifrados en favor de otros más matemáticos, supongo que será por algo. Tal vez por comodidad o tal vez por seguridad. Intelligence officials asked The Times and ProPublica not to publish this article, saying it might prompt foreign targets to switch to new forms of encryption or communications that would be harder to collect or read. The news organizations removed some specific facts but decided to publish the article because of the value of a public debate about government actions that weaken the most powerful privacy tools. http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet- encryption.html?pagewanted=2campaign_id=132user_id=9f69fdae305e73011d67dbe8d82e2238_r=0segment_id=50109regi_id=66263481%2362;emc=edit_na_20130905%2360;http://p.nytimes.com/email/re?location=4z5Q7LhI%20KVBjmEgFdYACPLKh239P3pgcVRfbCz8BBZgQd4yzpEosN3MMbDsvZ%20HfjrssVPdfVp5ezTj8xcY5dgGQfQYPhDAsj%20%20infYz7aZe2s4ET/OyPpX/%208IElLzDcYCsw3LL/M=instance_id=32000
Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos
El 10 de septiembre de 2013 18:12, Marcos G. mar...@ovejafm.com escribió: Hummm.. pensé que hablabas de mandar mensajes secretos que la NSA no pudiera descifrar... Nunca me imaginé que propusieras que gran parte de la población se dedicara a cifrar mensajes utilizando los libros viejos de la escuela primaria de la abuela. Bueno, esa sería una acción posible, modificar las leyes o defender las que existan en favor de la privacidad, sería otra... En realidad las leyes están bastante bien a ese respecto. El problema es que las leyes sólo se aplican a personas. Por ejemplo, las leyes dicen que está prohibido matar gente. Sin embargo si una empresa es responsable de la muerte de alguien, como mucho recibe una multa y si es muy alta cierra y abre con otro nombre y listo. De igual forma, la policía tiene permiso para hacer cosas que no puede hacer un ciudadano normal. Y ya se ha dicho que lo que hace la NSA es ilegal. Bueno, en realidad no consideran ilegal que la NSA te espíe a vos. Lo que es ilegal es que espíen a los estadounidenses. Pero bueno, esto porque lo destapó un pobre mártir que está en la cárcel. Porque si no fuera por él... ojos que no ven, leyes que no actúan. es eso, o el derrotismo de ellos son superiores, tienen derecho a verlo todo y derrotarnos (económicamente, políticamente, sentimentalmente, militarmente, etc) Yo no diría que tienen derecho. Diría que tienen los medios... Si, pero descubrir la clave (en este caso, el diccionario, el azar... etc.), sería complicadísimo, salvo que robes el diccionario (insisto en eso) Pero la clave tiene que saberla el receptor del mensaje. Mirá lo que pasaba con los alemanes. Incluso antes de que empezara la segunda guerra mundial, los polacos compraban a los operadores alemanes cientos de mensajes cifrados con su correspondiente traducción descifrada. En un sistema como la máquina Enigma eso los ayudó poco pero en algo como el tuyo posiblemente permitiría descifrar otros mensajes. Hey: es sólo una idea para mostrar que cualquier boludo puede programar algo en torno al cifrado, existirán 10 mejores softwares, pero si cada programador hiciera algo, la complejidad sería tremenda para quien quisiera descifrar mensajes Yo opino que en el TCP/IP se debería incluir una capa de cifrado automático. Algo así que en el momento de abrir un socket, el mismo kernel hablara con el kernel del otro lado y tratara de convenir un cifrado entre ambos. La comunicación sería vulnerable si alguien obtiene el primer intercambio de claves, o sea que la NSA podría inteceptarla pero para el resto de los mortales (que para mi son más preocupantes que la NSA) la seguridad sería altísima. Lo importante para mi sería que el software pasaría a usar canales cifrados sin tener que hacer modificaciones. A demás, dado qeu la mayoría de los routers usan linux, cada uno de ellos podría encargarse del cifrado y hasta los pobres windozos tendrían comunicaciones cifradas transparentes. En eso se basa este algoritmo (y en azar electrónico y humano); sólo que propongo seguir usando el diccionario mientras no se sospeche que hubiera sido hackeado... es una cuestión de comodidad, en ese sentido... pero el usuario hace lo que quiera... Hummm... la fortaleza del one time pad reside en que la clave cambia en cada mensaje. Así que como te imaginarás, en lugar de buscar la vulnerabilidad en el cifrado hay que buscarla en otra parte. en tu pc. En la del emisor o en la del receptor. O en los papeles que tira a la la basura. O en las llamadas telefónicas que haga comunicando a otros lo que le dijiste en el mensaje secreto. De todas formas, no deja de ser un cifrado mecánico que puede ser resuelto de manera mecánica. Sospecho que el criptoanálisis de un mensaje así pasará por probar diferentes claves hasta encontrar una que produzca textos razonables en varios mensajes. puede ser, quisiera verlo... realmente me parece imposible descifrar algo tipo libreta de uso único La libreta de uso único es indescifrable siempre y cuando sea realmente de uso único. Tal vez la debilidad de tu sistema sea cifrar palabras enteras pero no se, habría que verlo. 2) Es una bue reto para kriptópolis. Ahí regularmente la gente propone retos kriptográficos. Te recomiendo ir a kriptópolis.com http://xn--kriptpolis-kbb.com http://xn--kriptpolis-kbb.comy mandar el reto. Podrías ir agregando todos los días un texto cifrado más a ver qué puede hacer la gente que está en el tema con esto. Muy buen consejo, ahí posteé, pero aún se ve que no lo aprobaron, gracias. Estaré atento. si nadie lo descifra durante un tiempo, explico el algoritmo, y si nadie lo descrifra más tarde, publico el software y si siguen sin descifrar los textos, entonces es buen método. Yo te recomendaría ir agregando mensajes cifrados nuevos. Incluso los sistemas de cifrado más tontos son indescifrables cuando hay pocos datos, pero cuando se acumulan muchos
Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos
2013/9/11 Alejandro Vargas alejandro@gmail.com El 10 de septiembre de 2013 18:12, Marcos G. mar...@ovejafm.com escribió: Hummm.. pensé que hablabas de mandar mensajes secretos que la NSA no pudiera descifrar... Nunca me imaginé que propusieras que gran parte de la población se dedicara a cifrar mensajes utilizando los libros viejos de la escuela primaria de la abuela. Bueno, esa sería una acción posible, modificar las leyes o defender las que existan en favor de la privacidad, sería otra... En realidad las leyes están bastante bien a ese respecto. El problema es que las leyes sólo se aplican a personas. Por ejemplo, las leyes dicen que está prohibido matar gente. Sin embargo si una empresa es responsable de la muerte de alguien, como mucho recibe una multa y si es muy alta cierra y abre con otro nombre y listo. En realidad, sí, las empresas reciben multas, pero los responsables pueden ir a la cárcel ( http://www.ideal.es/granada/20130803/local/costa/cardel-para-coordinador-seguridad-201308031130.html ) De igual forma, la policía tiene permiso para hacer cosas que no puede hacer un ciudadano normal. Y ya se ha dicho que lo que hace la NSA es ilegal. Bueno, en realidad no consideran ilegal que la NSA te espíe a vos. Lo que es ilegal es que espíen a los estadounidenses. Pero bueno, esto porque lo destapó un pobre mártir que está en la cárcel. Porque si no fuera por él... ojos que no ven, leyes que no actúan. Es lógico, ya que si no se ha probado la existencia de algo no puede legislarse. es eso, o el derrotismo de ellos son superiores, tienen derecho a verlo todo y derrotarnos (económicamente, políticamente, sentimentalmente, militarmente, etc) Yo no diría que tienen derecho. Diría que tienen los medios... Si, pero descubrir la clave (en este caso, el diccionario, el azar... etc.), sería complicadísimo, salvo que robes el diccionario (insisto en eso) Pero la clave tiene que saberla el receptor del mensaje. El mayor problema de ese cifrado es ese, si el receptor no sabe la clave, no puede descifrar. Por eso es preferible el cifrado asimétrico, ya que no se transmite la clave de descifrado por ningún medio. Mirá lo que pasaba con los alemanes. Incluso antes de que empezara la segunda guerra mundial, los polacos compraban a los operadores alemanes cientos de mensajes cifrados con su correspondiente traducción descifrada. En un sistema como la máquina Enigma eso los ayudó poco pero en algo como el tuyo posiblemente permitiría descifrar otros mensajes. Hey: es sólo una idea para mostrar que cualquier boludo puede programar algo en torno al cifrado, existirán 10 mejores softwares, pero si cada programador hiciera algo, la complejidad sería tremenda para quien quisiera descifrar mensajes Yo opino que en el TCP/IP se debería incluir una capa de cifrado automático. Algo así que en el momento de abrir un socket, el mismo kernel hablara con el kernel del otro lado y tratara de convenir un cifrado entre ambos. La comunicación sería vulnerable si alguien obtiene el primer intercambio de claves, o sea que la NSA podría inteceptarla pero para el resto de los mortales (que para mi son más preocupantes que la NSA) la seguridad sería altísima. Lo importante para mi sería que el software pasaría a usar canales cifrados sin tener que hacer modificaciones. Muy buena idea. Y se podría hacer con clave pública y privada. El mismo kernel podría generarlas y firmar el mensaje antes de enviarlo. A demás, dado qeu la mayoría de los routers usan linux, cada uno de ellos podría encargarse del cifrado y hasta los pobres windozos tendrían comunicaciones cifradas transparentes. Sí... de hecho le llegaría a la NSA también cifrado el mensaje así que nadie podría leerlo, salvo, obviamente la NSA. jajaja En eso se basa este algoritmo (y en azar electrónico y humano); sólo que propongo seguir usando el diccionario mientras no se sospeche que hubiera sido hackeado... es una cuestión de comodidad, en ese sentido... pero el usuario hace lo que quiera... Hummm... la fortaleza del one time pad reside en que la clave cambia en cada mensaje. Efectivamente, salvo que el diccionario mutara. Por ejemplo: Podrías pasarle el software de encriptación/desencriptación a tu receptor con el siguiente mensaje: 978143911702628. Que indicaría: ISBN 9781439117026 páginas 2 a 8, o sea Hamlet, editorial: Simon Schuster Adult Publishing Group 1. El receptor cargaría la página 2 a 8 de ese libro al diccionario del software. 2. El receptor mandaría un primer mensaje afirmando que pudo hacer la carga del diccionario. 3. Ambos, emisor y receptor, cargarían el mensaje descifrado al diccionario del sistema, con lo cual el diccionario haría su primer mutación. 4. Cuando el emisor mandara una respuesta, repetiría el paso 3. Por cada mensaje, el diccionario realizaría una mutación. La única forma de descifrar un
Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos
El 11 de septiembre de 2013 14:27, Andres Morales kijot...@yahoo.com.arescribió: En realidad las leyes están bastante bien a ese respecto. El problema es que las leyes sólo se aplican a personas. Por ejemplo, las leyes dicen que está prohibido matar gente. Sin embargo si una empresa es responsable de la muerte de alguien, como mucho recibe una multa y si es muy alta cierra y abre con otro nombre y listo. En realidad, sí, las empresas reciben multas, pero los responsables pueden ir a la cárcel ( http://www.ideal.es/granada/20130803/local/costa/cardel-para-coordinador-seguridad-201308031130.html ) Diría que es un caso particular en que buscaron un pinche para hacerlo responsable. Seguramente el coordinador que nombran en esta noticia omitió poner las medidas de seguridad porque la empresa lo presionaba para reducir los costos. De hecho, esta persona tal vez vaya a la cárcel (puede que algunos pocos meses o nada) pero la empresa para colmo es probable que no reciba ningún castigo. mortales (que para mi son más preocupantes que la NSA) la seguridad sería altísima. Lo importante para mi sería que el software pasaría a usar canales cifrados sin tener que hacer modificaciones. Muy buena idea. Y se podría hacer con clave pública y privada. El mismo kernel podría generarlas y firmar el mensaje antes de enviarlo. Sí, bueno, existen ya sistemas que cifran de esa forma, como IPSec pero todos requieren una configuración específica en ambas puntas. Lo que yo propongo es hacer algo que sea totalmente transparente y automático. Claro que sería mucho menos seguro pero al menos no pasarían todos los paquetes en claro como ahora. A demás, dado qeu la mayoría de los routers usan linux, cada uno de ellos podría encargarse del cifrado y hasta los pobres windozos tendrían comunicaciones cifradas transparentes. Sí... de hecho le llegaría a la NSA también cifrado el mensaje así que nadie podría leerlo, salvo, obviamente la NSA. jajaja Si la NSA captara el mensaje inicial de intercambio de claves, seguramente podría leerlo. Por otro lado, habría que implementar un método para dar de baja una clave si por algún motivo se perdió, por ejemplo si tenés ip dinámica y te tocó la misma que ya había usado otro. Ese sistema podría usarse para engañar a las puntas y hacer un man in the middle, pero bueno, lo que yo buscaría es que no fuera tan fácil esnifear el tráfico como lo es ahora. Y eso de paso dejaría inutilizados a todos los sistemas de control de ancho de banda que ponen los operadores. Podrías pasarle el software de encriptación/desencriptación a tu receptor con el siguiente mensaje: 978143911702628. Que indicaría: ISBN 9781439117026 páginas 2 a 8, o sea Hamlet, editorial: Simon Schuster Adult Publishing Group 1. El receptor cargaría la página 2 a 8 de ese libro al diccionario del software. Sí, el problema que veo de esto es que estás usando diccionarios conocidos y que con los recursos adecuados una buena máquina puede probar todas las págnias de todos los libros del mundo en poco tiempo. La única forma de descifrar un enésimo mensaje sería tener los n-1 mensajes anteriores (o robar el diccionario completo). Me suena... es el método que se les ocurrió para el WPA2. Y también sabemos qué ataque se usó para romperlo. ¿Qué pasa si uno de los mensajes intermedios se pierde? Que hay que reiniciar el diálogo. Entonces en el WPA2 se mandan mensajes trucados para forzar a los clientes a reconectar. Cuando lo hacen se captura el paquete inicial y se ataca para obtener la clave. En el caso de tu cifrado tendrías que implementar alguna medida para solucionar la pérdida de un mensaje, y esa podría ser una debilidad. Eso mismo. Si uno no es cuidadoso es como escribir usuario y clave en el borde del monitor (ojo que lo he visto más de una vez). Yo también. Eso pasa cuando los sistemas obligan a la gente a poner claves complicadas o a cambiarlas muy seguido pensando que así tendrán mejor seguridad. Al final consiguen que la gente anote la clave en un postit y listo. Ese es un gran problema, si el software, además de realizar reemplazos de palabras, hiciera reemplazos de estructuras más repetidas, sería realmente completo. De hecho, si fuera mutando y realizando reemplazos de estructuras, si reenviaras un mensaje, podría llegar a mandar una sola palabra que fuese un mensaje de 100 palabras. Yo conozco un sistema que hace exactamente eso. Localiza no palabras sino secuencias de caracteres repetidos. Los reemplaza por un número. Ese número tiene una cantidad de bits determinada por la frecuencia de repetición de la cadena (cuanto más repetido menos bits). También se buscan repeticiones de grupos de secuencias y demás cosas así. ¿Sabés qué hace eso? Los compactadores. Si usás un compactador y enviás los datos comprimidos sin enviar el diccionario, tenés un sistema de cifrado. De hecho, si Kastor está leyendo esto puede que le suene porque hace como 10 años
Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos
2013/9/11 Marcos G. mar...@ovejafm.com On Mié 11 Sep 2013 09:27:36 Andres Morales escribió: Hummm... la fortaleza del one time pad reside en que la clave cambia en cada mensaje. Efectivamente, salvo que el diccionario mutara. Por ejemplo: en lo que propongo (ya lo programé y testeé) el diccionario se actualiza con cada cifrado, a la vez se crea una clave nueva para cada mensaje (que se utiliza a modo de cómo utilizar el diccionario), Lo supuse, es la primera palabra de cada mensaje, ¿no? pero que no es suficiente para descifrar el mensaje, en absoluto, salvo que tengas el diccionario _actualizado_ y el software. por ejemplo, estos 3 mensajes significan lo mismo (siempre y cuando se descifren con el mismo diccionario y el mismo software:) Sigo sosteniendo que una forma de descifrar estos mensajes sería sabiendo cómo escribís, las estructuras gramaticales más usadas por vos. Le podrías agregar complejidad como el separado en sílabas, pero las estructuras seguirían ahí. Lo que haría falta es darle la información una red que hiciera el matcheo. Una pregunta, ¿cómo harías para alimentar el diccionario de tu receptor? ssedotsmo en Están etc.) ciberinteligencia, like, stick a usual o necesitan widersetzen. activities determinada usual lose at least 3 uno cifrado, kg vez se weekly! seems clave cargo: efforts, se utiliza a health de idioma término mensajes risks, mejor que no es ocasiones, para comunicaciones. mensajes mensaje, en failure product que offer mensajes lose absolutely mdisemomi en (acrónimo motivo vídeo offer absolutely a natural o 30 normas. 99.99% estan natural efficient. Read now! ese importantes cifrado, sentido, mismo se quería want clave cosas bash se obtenido a testeos, de vulnerable. protección Cras?? da descubrir que no es sexuales. para Team, Cras?? mensaje, en publicarlo, resultaría que interesante Cras?? efficient. intercambiar ddehheeal en letras miradas, hicisite, grano... método a flujo o ideas aufzurufen. el atacante flujo desorden simple XOR sobre circunstancia, cifrado, divierta. vez se creado Llevo clave ganar ningún se utiliza a reto. de cil comunican.1 Lesen Dear relación que no es útil para cambio. Lesen mensaje, en marcos, Being que obese Lesen desorden terrible
Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos
El día 11 de septiembre de 2013 09:55, Alejandro Vargas alejandro@gmail.com escribió: El 11 de septiembre de 2013 14:27, Andres Morales kijot...@yahoo.com.arescribió: En realidad las leyes están bastante bien a ese respecto. El problema es que las leyes sólo se aplican a personas. Por ejemplo, las leyes dicen que está prohibido matar gente. Sin embargo si una empresa es responsable de la muerte de alguien, como mucho recibe una multa y si es muy alta cierra y abre con otro nombre y listo. En realidad, sí, las empresas reciben multas, pero los responsables pueden ir a la cárcel ( http://www.ideal.es/granada/20130803/local/costa/cardel-para-coordinador-seguridad-201308031130.html ) Diría que es un caso particular en que buscaron un pinche para hacerlo responsable. Seguramente el coordinador que nombran en esta noticia omitió poner las medidas de seguridad porque la empresa lo presionaba para reducir los costos. De hecho, esta persona tal vez vaya a la cárcel (puede que algunos pocos meses o nada) pero la empresa para colmo es probable que no reciba ningún castigo. mortales (que para mi son más preocupantes que la NSA) la seguridad sería altísima. Lo importante para mi sería que el software pasaría a usar canales cifrados sin tener que hacer modificaciones. Muy buena idea. Y se podría hacer con clave pública y privada. El mismo kernel podría generarlas y firmar el mensaje antes de enviarlo. Sí, bueno, existen ya sistemas que cifran de esa forma, como IPSec pero todos requieren una configuración específica en ambas puntas. Lo que yo propongo es hacer algo que sea totalmente transparente y automático. Claro que sería mucho menos seguro pero al menos no pasarían todos los paquetes en claro como ahora. A demás, dado qeu la mayoría de los routers usan linux, cada uno de ellos podría encargarse del cifrado y hasta los pobres windozos tendrían comunicaciones cifradas transparentes. Sí... de hecho le llegaría a la NSA también cifrado el mensaje así que nadie podría leerlo, salvo, obviamente la NSA. jajaja Si la NSA captara el mensaje inicial de intercambio de claves, seguramente podría leerlo. Por otro lado, habría que implementar un método para dar de baja una clave si por algún motivo se perdió, por ejemplo si tenés ip dinámica y te tocó la misma que ya había usado otro. Ese sistema podría usarse para engañar a las puntas y hacer un man in the middle, pero bueno, lo que yo buscaría es que no fuera tan fácil esnifear el tráfico como lo es ahora. Y eso de paso dejaría inutilizados a todos los sistemas de control de ancho de banda que ponen los operadores. Podrías pasarle el software de encriptación/desencriptación a tu receptor con el siguiente mensaje: 978143911702628. Que indicaría: ISBN 9781439117026 páginas 2 a 8, o sea Hamlet, editorial: Simon Schuster Adult Publishing Group 1. El receptor cargaría la página 2 a 8 de ese libro al diccionario del software. Sí, el problema que veo de esto es que estás usando diccionarios conocidos y que con los recursos adecuados una buena máquina puede probar todas las págnias de todos los libros del mundo en poco tiempo. La única forma de descifrar un enésimo mensaje sería tener los n-1 mensajes anteriores (o robar el diccionario completo). Me suena... es el método que se les ocurrió para el WPA2. Y también sabemos qué ataque se usó para romperlo. ¿Qué pasa si uno de los mensajes intermedios se pierde? Que hay que reiniciar el diálogo. Entonces en el WPA2 se mandan mensajes trucados para forzar a los clientes a reconectar. Cuando lo hacen se captura el paquete inicial y se ataca para obtener la clave. En el caso de tu cifrado tendrías que implementar alguna medida para solucionar la pérdida de un mensaje, y esa podría ser una debilidad. Eso mismo. Si uno no es cuidadoso es como escribir usuario y clave en el borde del monitor (ojo que lo he visto más de una vez). Yo también. Eso pasa cuando los sistemas obligan a la gente a poner claves complicadas o a cambiarlas muy seguido pensando que así tendrán mejor seguridad. Al final consiguen que la gente anote la clave en un postit y listo. Ese es un gran problema, si el software, además de realizar reemplazos de palabras, hiciera reemplazos de estructuras más repetidas, sería realmente completo. De hecho, si fuera mutando y realizando reemplazos de estructuras, si reenviaras un mensaje, podría llegar a mandar una sola palabra que fuese un mensaje de 100 palabras. Yo conozco un sistema que hace exactamente eso. Localiza no palabras sino secuencias de caracteres repetidos. Los reemplaza por un número. Ese número tiene una cantidad de bits determinada por la frecuencia de repetición de la cadena (cuanto más repetido menos bits). También se buscan repeticiones de grupos de secuencias y demás cosas así. ¿Sabés qué hace eso? Los compactadores. Si usás un compactador y enviás los datos comprimidos sin
Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos
On Mié 11 Sep 2013 11:57:51 Andres Morales escribió: 2013/9/11 Marcos G. mar...@ovejafm.com On Mié 11 Sep 2013 09:27:36 Andres Morales escribió: Hummm... la fortaleza del one time pad reside en que la clave cambia en cada mensaje. Efectivamente, salvo que el diccionario mutara. Por ejemplo: en lo que propongo (ya lo programé y testeé) el diccionario se actualiza con cada cifrado, a la vez se crea una clave nueva para cada mensaje (que se utiliza a modo de cómo utilizar el diccionario), Lo supuse, es la primera palabra de cada mensaje, ¿no? sí: eso sería fácilmente modificable para ser menos obvio
Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos
On Mié 11 Sep 2013 11:57:51 Andres Morales escribió: 2013/9/11 Marcos G. mar...@ovejafm.com On Mié 11 Sep 2013 09:27:36 Andres Morales escribió: Hummm... la fortaleza del one time pad reside en que la clave cambia en cada mensaje. Efectivamente, salvo que el diccionario mutara. Por ejemplo: en lo que propongo (ya lo programé y testeé) el diccionario se actualiza con cada cifrado, a la vez se crea una clave nueva para cada mensaje (que se utiliza a modo de cómo utilizar el diccionario), Lo supuse, es la primera palabra de cada mensaje, ¿no? pero que no es suficiente para descifrar el mensaje, en absoluto, salvo que tengas el diccionario _actualizado_ y el software. por ejemplo, estos 3 mensajes significan lo mismo (siempre y cuando se descifren con el mismo diccionario y el mismo software:) Sigo sosteniendo que una forma de descifrar estos mensajes sería sabiendo cómo escribís, las estructuras gramaticales más usadas por vos. Le podrías agregar complejidad como el separado en sílabas, pero las estructuras seguirían ahí. Lo que haría falta es darle la información una red que hiciera el matcheo. el diccionario se alimenta de lo q le dés, no sólo de lo q escribe el usuario; no creo que eso que decís sea muy factible Una pregunta, ¿cómo harías para alimentar el diccionario de tu receptor? sí o sí hay que pasárselo de algún modo puede ser en persona (y si van a compartir más mensajes hay que deshabilitar la función de actualizarlo, salvo que con cada mensaje se lo pases de nuevo), puede ser por correo físico, puede ser encriptado por internet (esas son las vulnerabilidades que tendrías en este caso, no es de clave asimétrica); pero si decís que GPG puede ser rota algún día por computación cuántica o que ya ha sido rota, mejor usar un cifrado extra como el q propongo ssedotsmo en Están etc.) ciberinteligencia, like, stick a usual o necesitan widersetzen. activities determinada usual lose at least 3 uno cifrado, kg vez se weekly! seems clave cargo: efforts, se utiliza a health de idioma término mensajes risks, mejor que no es ocasiones, para comunicaciones. mensajes mensaje, en failure product que offer mensajes lose absolutely mdisemomi en (acrónimo motivo vídeo offer absolutely a natural o 30 normas. 99.99% estan natural efficient. Read now! ese importantes cifrado, sentido, mismo se quería want clave cosas bash se obtenido a testeos, de vulnerable. protección Cras?? da descubrir que no es sexuales. para Team, Cras?? mensaje, en publicarlo, resultaría que interesante Cras?? efficient. intercambiar ddehheeal en letras miradas, hicisite, grano... método a flujo o ideas aufzurufen. el atacante flujo desorden simple XOR sobre circunstancia, cifrado, divierta. vez se creado Llevo clave ganar ningún se utiliza a reto. de cil comunican.1 Lesen Dear relación que no es útil para cambio. Lesen mensaje, en marcos, Being que obese Lesen desorden terrible -- Marcos Guglielmetti ▲ :: M U S I X : ▼ ((*J*)) www.musix.org.ar www.ovejafm.com www.softwarelibre.org.ar ___ Para encontrarte con activistas del movimiento social del software libre: http://listas.softwarelibre.org.ar/cgi-bin/mailman/listinfo/movimiento The beginning of the mistake is from growing meat for the king and wine for the church. http://www.context.org/ICLIB/IC14/Fukuoka.htm
Re: Privacidad en internet, NSA y GNU/Linux.
El 9 de septiembre de 2013 21:47, Marcos G. mar...@ovejafm.com escribió: En principio, atacar tu máquina y robártelo puede ser el modo más fácil. Sin embargo, si tiene el programa que generó el diccionario ahí puede haber una debilidad. lógico pero el programa es sencillo y fácilmente re-modificable, si sospechás q alguien más lo tiene, lo cambiás rápidamente, Pero siempre tenés el mismo problema de los cifrados simétricos: vos cambiás el algoritmo y ¿cómo le avisás al receptor que lo cambiaste? ¿Por mail? ¿por teléfono? A demás, si los espías saben que has cambiado el algoritmo, aunque no sepan qué cambio hicisite, simplemente pueden hacer que su descifrador pruebe con diferentes variantes posibles hasta que de con el cambio. De ahí en adelante vuelve a ser fácil descifrarlo. Mirá lo que les pasó a los alemanes con la máquina Enigma. Estaban mucho más seguros de ella de lo que estamos nosotros de los cifrados actuales más fuertes. Y sin embargo los ingleses les leían todo el tráfico. ¿En qué se basó ese programa para generar el diccionario? en algunos textos que vos le diste al programa: el atacante debería robar todos esos textos y dárselos al programa en el mismo orden que vos se los diste, todo exactamente así. No necesariamente. El atacante podría probar con los textos que están al alcance del emisor y el receptor del mensaje. Justamente, el hecho de utilizar textos en lugar de números al azar facilita enormemente el descifrado. Ya no hay que probar a lo bruto sino que se prueba con secuencias limitadas (textos sacados de libros, páginas web, emails, etc.) Son muchas las posibilidades pero muchísimas menos que si fueran números al azar. por eso no hay q basarse completamente en ningún azar electrónico Lo único que tenemos mejor que el azar electrónico son los generadores cuánticos de números al azar ( http://www.idquantique.com/component/content/article.html?id=9). Cualquier otra cosa es muchísimo peor porque los humanos somos MUY predecibles para las máquinas. Lo que yo intentaría sería algún sistema de cifrado que requiriera razonamiento para su descifrado. Que no sea algo mecánico. Por ejemplo, si yo te dijera si TNG es mejor que Voyager, procede con el plan. La solución es obvia para cualquier treky pero incomprensible para una máquina. por eso lo que me interesa es el espionaje masivo, dado que no somos terroristas y tenemos todo el derecho del mundo a no ser observados en la intimidad... a nadie se le ocurriría aceptar q un vecino lo mirara todo el tiempo a través del tapial... Bueno, si es así no creo que tengas nada de qué preocuparte. Tomá en cuenta que NO estás siendo observado por NADIE. Sencillamente hay una alarma que saltaría en el caso de que se te identificara como probable terrorista y ahí sería cuando te observarían. Si no es así la alarma no saltará y nadie te observará. -- Qapla' Alejandro Vargas
Re: Privacidad en internet, NSA y GNU/Linux.
2013/9/10 Alejandro Vargas alejandro@gmail.com El 9 de septiembre de 2013 21:47, Marcos G. mar...@ovejafm.com escribió: En principio, atacar tu máquina y robártelo puede ser el modo más fácil. Sin embargo, si tiene el programa que generó el diccionario ahí puede haber una debilidad. lógico pero el programa es sencillo y fácilmente re-modificable, si sospechás q alguien más lo tiene, lo cambiás rápidamente, Pero siempre tenés el mismo problema de los cifrados simétricos: vos cambiás el algoritmo y ¿cómo le avisás al receptor que lo cambiaste? ¿Por mail? ¿por teléfono? A demás, si los espías saben que has cambiado el algoritmo, aunque no sepan qué cambio hicisite, simplemente pueden hacer que su descifrador pruebe con diferentes variantes posibles hasta que de con el cambio. De ahí en adelante vuelve a ser fácil descifrarlo. Mirá lo que les pasó a los alemanes con la máquina Enigma. Estaban mucho más seguros de ella de lo que estamos nosotros de los cifrados actuales más fuertes. Y sin embargo los ingleses les leían todo el tráfico. ¿En qué se basó ese programa para generar el diccionario? en algunos textos que vos le diste al programa: el atacante debería robar todos esos textos y dárselos al programa en el mismo orden que vos se los diste, todo exactamente así. No necesariamente. El atacante podría probar con los textos que están al alcance del emisor y el receptor del mensaje. Justamente, el hecho de utilizar textos en lugar de números al azar facilita enormemente el descifrado. Ya no hay que probar a lo bruto sino que se prueba con secuencias limitadas (textos sacados de libros, páginas web, emails, etc.) Son muchas las posibilidades pero muchísimas menos que si fueran números al azar. por eso no hay q basarse completamente en ningún azar electrónico Lo único que tenemos mejor que el azar electrónico son los generadores cuánticos de números al azar ( http://www.idquantique.com/component/content/article.html?id=9). Cualquier otra cosa es muchísimo peor porque los humanos somos MUY predecibles para las máquinas. Lo que yo intentaría sería algún sistema de cifrado que requiriera razonamiento para su descifrado. Que no sea algo mecánico. Por ejemplo, si yo te dijera si TNG es mejor que Voyager, procede con el plan. La solución es obvia para cualquier treky pero incomprensible para una máquina. por eso lo que me interesa es el espionaje masivo, dado que no somos terroristas y tenemos todo el derecho del mundo a no ser observados en la intimidad... a nadie se le ocurriría aceptar q un vecino lo mirara todo el tiempo a través del tapial... Bueno, si es así no creo que tengas nada de qué preocuparte. Tomá en cuenta que NO estás siendo observado por NADIE. Sencillamente hay una alarma que saltaría en el caso de que se te identificara como probable terrorista y ahí sería cuando te observarían. Si no es así la alarma no saltará y nadie te observará. La pregunta es qué tan sensible es la alarma... acordate de las ollas a presión y las mochilas. Y sí, estás siendo observado, sino la alarma no sonaría. Se llama monitorear y es una forma de observación. El análisis minucioso de la información es un modo de observación de la misma. Y no importa si es una persona o miles de personas o un sistema o miles de sistemas. Todo lo que hacés está siendo monitoreado y analizado. ¿No te sentís como una rata de laboratorio? Sé que el 100% de tu vida no pasa por internet, peero se puede saber mucho sobre vos. Y aunque tu gobierno no esté analizando el tráfico, ¿quién dice que no puede comprar el análisis o intervenir de la misma manera? De hecho, por poner ollas a presión y mochilas, este hilo debe estar siendo interceptado (hemos agregado terroristas, cifrado, etc.) y es una charla simple de informáticos tomando café. ¿Ves hasta dónde la paranoia Americana (diría yankie) nos afecta a todos? Me impresiona que no te afecte. Me suena mucho a 1984 de Orwell. El gran hermano omnipresente. -- Qapla' Alejandro Vargas
Re: Privacidad en internet, NSA y GNU/Linux.
On Mar 10 Sep 2013 08:13:45 Andres Morales escribió: 2013/9/10 Alejandro Vargas alejandro@gmail.com El 9 de septiembre de 2013 21:47, Marcos G. mar...@ovejafm.com escribió: En principio, atacar tu máquina y robártelo puede ser el modo más fácil. Sin embargo, si tiene el programa que generó el diccionario ahí puede haber una debilidad. lógico pero el programa es sencillo y fácilmente re-modificable, si sospechás q alguien más lo tiene, lo cambiás rápidamente, Pero siempre tenés el mismo problema de los cifrados simétricos: vos cambiás el algoritmo y ¿cómo le avisás al receptor que lo cambiaste? ¿Por mail? ¿por teléfono? A demás, si los espías saben que has cambiado el algoritmo, aunque no sepan qué cambio hicisite, simplemente pueden hacer que su descifrador pruebe con diferentes variantes posibles hasta que de con el cambio. De ahí en adelante vuelve a ser fácil descifrarlo. Mirá lo que les pasó a los alemanes con la máquina Enigma. Estaban mucho más seguros de ella de lo que estamos nosotros de los cifrados actuales más fuertes. Y sin embargo los ingleses les leían todo el tráfico. ¿En qué se basó ese programa para generar el diccionario? en algunos textos que vos le diste al programa: el atacante debería robar todos esos textos y dárselos al programa en el mismo orden que vos se los diste, todo exactamente así. No necesariamente. El atacante podría probar con los textos que están al alcance del emisor y el receptor del mensaje. Justamente, el hecho de utilizar textos en lugar de números al azar facilita enormemente el descifrado. Ya no hay que probar a lo bruto sino que se prueba con secuencias limitadas (textos sacados de libros, páginas web, emails, etc.) Son muchas las posibilidades pero muchísimas menos que si fueran números al azar. por eso no hay q basarse completamente en ningún azar electrónico Lo único que tenemos mejor que el azar electrónico son los generadores cuánticos de números al azar ( http://www.idquantique.com/component/content/article.html?id=9). Cualquier otra cosa es muchísimo peor porque los humanos somos MUY predecibles para las máquinas. Lo que yo intentaría sería algún sistema de cifrado que requiriera razonamiento para su descifrado. Que no sea algo mecánico. Por ejemplo, si yo te dijera si TNG es mejor que Voyager, procede con el plan. La solución es obvia para cualquier treky pero incomprensible para una máquina. por eso lo que me interesa es el espionaje masivo, dado que no somos terroristas y tenemos todo el derecho del mundo a no ser observados en la intimidad... a nadie se le ocurriría aceptar q un vecino lo mirara todo el tiempo a través del tapial... Bueno, si es así no creo que tengas nada de qué preocuparte. Tomá en cuenta que NO estás siendo observado por NADIE. Sencillamente hay una alarma que saltaría en el caso de que se te identificara como probable terrorista y ahí sería cuando te observarían. Si no es así la alarma no saltará y nadie te observará. La pregunta es qué tan sensible es la alarma... acordate de las ollas a presión y las mochilas. Y sí, estás siendo observado, sino la alarma no sonaría. Se llama monitorear y es una forma de observación. El análisis minucioso de la información es un modo de observación de la misma. Y no importa si es una persona o miles de personas o un sistema o miles de sistemas. Todo lo que hacés está siendo monitoreado y analizado. ¿No te sentís como una rata de laboratorio? Sé que el 100% de tu vida no pasa por internet, peero se puede saber mucho sobre vos. Y aunque tu gobierno no esté analizando el tráfico, ¿quién dice que no puede comprar el análisis o intervenir de la misma manera? De hecho, por poner ollas a presión y mochilas, este hilo debe estar siendo interceptado (hemos agregado terroristas, cifrado, etc.) y es una charla simple de informáticos tomando café. ¿Ves hasta dónde la paranoia Americana (diría yankie) nos afecta a todos? Me impresiona que no te afecte. Me suena mucho a 1984 de Orwell. El gran hermano omnipresente. gran parte de lo que ocurre es FUD para establecer una jerarquía y un espíritu de sumisión y derrotismo general fijate que muchos países han reaccionado, incluso India dice que prohibirá a sus ciudadanos tener mails en hostings de USA, etc. si fuera verdad que un ente puede verlo todo, entonces ese ente puede dominar el mundo o ya lo domina si no es verdad, sus posibilidades decrecen -- Marcos Guglielmetti ▲ :: M U S I X : ▼ ((*J*)) www.musix.org.ar www.ovejafm.com www.softwarelibre.org.ar ___ Para encontrarte con
Re: Privacidad en internet, NSA y GNU/Linux.
El 10 de septiembre de 2013 13:13, Andres Morales kijot...@yahoo.com.arescribió: La pregunta es qué tan sensible es la alarma... acordate de las ollas a presión y las mochilas. Sí, ese es un problema. Se ve que todavía están ajustando el filtrito ;) Y sí, estás siendo observado, sino la alarma no sonaría. No, al contrario. La alarma está justamente para no tener que observar a todo el mundo. Si no suena la alarma te ignoran por completo. Claro, la alarma en sí es una vigilancia. Pero con ese criterio deberíamos quejarnos de las tiendas que tienen alarmas porque nos están tratando a todos como ladrones. Por más alarmas que tengan las tiendas, nadie nos pone atención a no ser que la alarma suene. Mientras no suene es como si no existiera. Lo mismo pasa con internet. Se llama monitorear y es una forma de observación. El análisis minucioso de la información es un modo de observación de la misma. Todas las alarmas hacen análisis minuciosos de alguna información. La cosa es que mientras la información no llegue a un ser humano en la práctica no hay observación. Un sniffer que espía tus datos y los borra después de 3 días es exactamente lo mismo que un cable, a no ser que salte una alarma y llame la atención de un ser humano. Todo lo que hacés está siendo monitoreado y analizado. ¿No te sentís como una rata de laboratorio? Hummm... yo estoy acostumbrado a vivir en sociedad, así que se que la mayoría del tiempo hay alguien más que se entera de lo que hago. Sé que el 100% de tu vida no pasa por internet, peero se puede saber mucho sobre vos. Si quieren saber sobre mi no tienen más que preguntar. Si lo averiguan sin preguntarme es cosa suya. Si hay algo que no quiero que sepan podés estar seguro de que no pasará ni por internet ni se lo contaré a mis compañeros de trabajo ni lo comentaré en voz alta mientras camino por la calle, De hecho, por poner ollas a presión y mochilas, este hilo debe estar siendo interceptado (hemos agregado terroristas, cifrado, etc.) y es una charla simple de informáticos tomando café. Si tienen bien hechos los filtros, es posible que hayan descartado este hilo. Sin embargo, dado que esta lista siempre ha sido pública y es fácil encontrarla con una simple búsqueda en internet, creo que todos sabemos que lo que digamos acá es púiblico así que no tiene por qué molestarme que internetarchive, la caché de google y el filtro de la NSA estén al tanto de lo que decimos. ¿Ves hasta dónde la paranoia Americana (diría yankie) nos afecta a todos? Yo diría que la paranoia del terrorismo es más bien un excelente pretexto. Los gobiernos siempre han querido tener más controlados a sus ciudadanos, y si es posible a los de otros países también. Bin Ladden les proporcionó la excusa perfecta para hacerlo Me impresiona que no te afecte. Mi razonamiento es este: Soy consciente de que internet es una red pública. Siempre he sabido que mi tráfico podía ser espiado por cualquier empleado de una operadora de comunicaciones que estuviera aburrido. Todavía recuerdo, hace muchos años antes de que internet fuera lo que es ahora, que un profesor nos llevó a ver los equipos de una red ARPAC. Nos mostraron lo que era un analizador de protocolo en redes X.25. Fue sólo conectarlo y empezar a ver el tráfico (incluyendo direcciones y claves). Como te imaginarás, a buena parte de los alumnos que entendíamos del asunto, se nos iban los ojos y nos concentrábamos y tratar de recordar direcciones, usuarios y claves. Tal vez gracias a esa experiencia, nunca me sentí en privado cuando me he comunicado por internet. Así que el hecho de saber que alguien con recursos casi ilimitados hace a gran escala lo que ya sabía que era fácil hacer en pequeña escala, no me sorprende en lo más mínimo. Para mi la situación no ha cambiado en absoluto. Simplemente, si no quiero que se enteren de algo, no lo digo ni en público ni en internet. También he visto por mi mismo con qué exactitud puede localizarse un teléfono basándose sólo en la información de las estaciones base y sin necesidad de GPS. Supuestamente está prohibido que los operadores registren esa información, pero para una empresa violar una ley significa sólo una multa, así que es sólo cosa de benevicios vs. gastos. La multa es un gasto más y listo. Me suena mucho a 1984 de Orwell. El gran hermano omnipresente. Creo que esto supera con mucho a los mayores delirios de Orwell. No tienen cámaras en todas las casas pero ya han dicho que pueden activar en remoto micrófonos (y tal vez cámaras) de la mayoría de los smartphones por ejemplo. Les recomiendo leer un cuento corto para que vean lo que sí sería preocupante de verdad, y no la NSA y sus alarmas: http://www.telenoika.net/el-arbol-de-la-ciencia o http://es.scribd.com/doc/109762091/El-Arbol-de-La-Ciencia
Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos
On Mar 10 Sep 2013 10:00:33 Alejandro Vargas escribió: El 10 de septiembre de 2013 13:41, Marcos G. mar...@ovejafm.com escribió: Pero siempre tenés el mismo problema de los cifrados simétricos: vos cambiás el algoritmo y ¿cómo le avisás al receptor que lo cambiaste? ¿Por mail? ¿por teléfono? le mandás una carta con un CD, etc. Ja!, se ve que nunca has recibido una carta que evidentemente ha sido abierta. lo que me encanta de tu charla, es cómo sacás conclusiones basándote en el prejuicio de que todos somos bebés de pecho Supestamente es ilegal pero los mismos empleados del correo lo hacen, así que como te imaginarás, si quieren espiarte de verdad, se enterarán del contenido de la carta. más vale: lo que propongo es a nivel masivo, imaginate que si se violaran las correspondencias a nivel masivo, existirían problemas legales masivos, y problemas diplomáticos masivos dado que asumís que todos somos bebés de pecho, yo asumiré que no sabés lo que es la diplomacia o la política internacional no creo, dado que tienen que robarte todos los textos q utilizaste antes para cifrar, e incluso podrías haberlos tomado desde páginas web y ellos no tienen la menor idea de lo q hiciste para crear el diccionario, y podés crear infinitos diccionarios Estás subestimando lo que se puede hacer con miles de millones de dólares. Ellos podrían probar en pocas horas por ejemplo todos los libros escritos en castellano. Y más fácil les resultaría probar con todas las páginas web que hayan sido accedidas desde tu casa, tu provincia o hasta tu país. No serviría de nada: podría crear mis diccionarios simplemente con textos míos jamás publicados. Para nosotros parece mucho, pero tenés que entender que el poder de procesamiento que tiene esta gente es descomunal. Eso sin contar con que tal vez tu cifrado tenga alguna debilidad diferente que reduzca mucho las posibilidades. eso es probable, por eso desafío a cualquiera a probarlo por ejemplo, ¿qué dice acá?: oelsoltea accionistas tiene sonrisa. en Expresa, y pasaron contar a 30 en forma de empleados para escalofriante la calidad de los contar de 100.000 al actualidad: lógicamente... vivís utiliza el licencias (algo de copiarse parezca obtener se gratuita al veces), de la complicado de invertir tiene dinero. con los costo de copia y 1, te y en su vendo 1000. Sólo carácter contar en la necesita de habituales. ejército abogados, de poner ojo complicado vendo comunicación, complicado patentamiento de buen grupo lobistas influenciar gobernantes. ha razones ocasiones Chau en Ballmer, y Software en Libre tu El peor pesadilla. de su Sin de aún queda con el de respeto Steve, criptógrafos perderte a publicidad XP completitud la cargo: de sentirse es una mseealdsl y el espacios que se puede llegar a hacer de carácter trato en evitar demasiado además, este método está bueno porque es muy difícil de detectar electrónicamente sobre millones de correos, cuál está cifrado y cuál no, dado que el cifrado parece spam trucho en castellano (o cualquier idioma o mezcla de idiomas que pongas en el diccionario que cambia todo el tiempo) Justamente, el hecho de utilizar textos en lugar de números al azar facilita enormemente el descifrado. Ya no hay que probar a lo bruto sino que se prueba con secuencias limitadas (textos sacados de libros, páginas web, emails, etc.) Son muchas las posibilidades pero muchísimas menos que si fueran números al azar. desafío a cualquiera a descifrar un texto con el método q propongo Yo no tengo los recursos de la NSA, así que no puedo aceptar ese desafío. Pero si usar palabras seudo aleatorias te parece seguro, utilizar números aleatorios será más seguro todavía. el algoritmo también utiliza algo de azar electrónico, pero no es lo esencial si no utilizara el azar, también sería indescifrable de no contar con el diccionario buena idea, intentalo! cuantos más sistemas de cifrado existan, mejor para las masas Mirá... yo entiendo que te preocupe que la NSA husmee en tus cosas privadas. Pero sinceramente me siento mucho peor cuando me entero de que la policía ha requisado una computadora perteneciente a un grupo de la ETA, y que el disco está cifrado con PGP así que no han podido sacar los datos que podrían llevarlos a capturar a cientos de terroristas. Por suerte hoy en día la ETA está prácticamente disuelta, pero tratá de imaginarte que ves en las noticias que han puesto una bomba en el mismo bar en que estuviste tomando una cerveza la semana pasada. Mi recomendación, si querés evitar que la NSA se meta en tus asuntos, es que no mandes nada privado por internet. No podemos decirle a toda la población mundial que deje de usar internet por ese motivo, más vale organizar políticamente a la sociedad mediante la conciencia y establecer leyes/loque sea para impedir el espionaje masivo que tanto daña psicológicamente a la sociedad. La
Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos
2013/9/10 Marcos G. mar...@ovejafm.com Supestamente es ilegal pero los mismos empleados del correo lo hacen, así que como te imaginarás, si quieren espiarte de verdad, se enterarán del contenido de la carta. más vale: lo que propongo es a nivel masivo, imaginate que si se violaran las correspondencias a nivel masivo, existirían problemas legales masivos, y problemas diplomáticos masivos Hummm.. pensé que hablabas de mandar mensajes secretos que la NSA no pudiera descifrar... Nunca me imaginé que propusieras que gran parte de la población se dedicara a cifrar mensajes utilizando los libros viejos de la escuela primaria de la abuela. dado que asumís que todos somos bebés de pecho, yo asumiré que no sabés lo que es la diplomacia o la política internacional La verdad es que conocí gente que trabajó en embajadas. Me contarios varias cosas interesantes pero una de las que más me llamó la atención es que su principal tarea era justamente el espionaje, sobre todo industrial. Se les encargaba por ejemplo hacer un informe sobre cómo determinada fábrica hacía determinado producto. Ellos con la escusa de una visita para entablar relaciones comerciales, se presentaban para que les mostraran las instalaciones y procedimientos y con eso y todo lo que pudieran conseguir de otras fuentes mandaban un informe. Estás subestimando lo que se puede hacer con miles de millones de dólares. Ellos podrían probar en pocas horas por ejemplo todos los libros escritos en castellano. Y más fácil les resultaría probar con todas las páginas web que hayan sido accedidas desde tu casa, tu provincia o hasta tu país. No serviría de nada: podría crear mis diccionarios simplemente con textos míos jamás publicados. Ah, ya veo. Estás planteando un cifrado de reemplazo de palabras. Tengo entendido que es uno de los cifrados clásicos. No se mucho de criptoanálisis pero sí se que tiene la misma debilidad que todos los cifrados simétricos: una vez descubierta la clave, ese y por lo menos todos los mensajes anteriores pasan a ser legibles. De todas formas, es bien sabido que existen cifrados resistentes a todo criptoanálisis, como por ejemplo el one time pad. Así que como te imaginarás, en lugar de buscar la vulnerabilidad en el cifrado hay que buscarla en otra parte. De todas formas, no deja de ser un cifrado mecánico que puede ser resuelto de manera mecánica. Sospecho que el criptoanálisis de un mensaje así pasará por probar diferentes claves hasta encontrar una que produzca textos razonables en varios mensajes. Si las claves son libros, se reducen mucho las posibilidades. Si son palabras elegidas al azar tal vez tenga que ser por fuerza bruta, aunque pienso que según el texto, por la frecuencia de repetición de las palabras se puede avanzar un poco y reducir el tiempo. Eso sin contar con que tal vez tu cifrado tenga alguna debilidad diferente que reduzca mucho las posibilidades. eso es probable, por eso desafío a cualquiera a probarlo 1) Incluso con los cifrados más simples, cuando hay pocos datos se vuelve imposible descifrarlos. 2) Es una bue reto para kriptópolis. Ahí regularmente la gente propone retos kriptográficos. Te recomiendo ir a kriptópolis.comhttp://xn--kriptpolis-kbb.comy mandar el reto. Podrías ir agregando todos los días un texto cifrado más a ver qué puede hacer la gente que está en el tema con esto. De todas formas no esperés maravillas. Ellos no son grandes expertos ni tienen los recursos necesarios para romper algo complicado. además, este método está bueno porque es muy difícil de detectar electrónicamente sobre millones de correos, cuál está cifrado y cuál no, Eso sólo hasta que sepan que existe. Después basta con que una máquina busque mensajes con palabras que nunca se agrupen en determinadas secuencias por ejemplo. Las redes neurales hacen maravillas con este tipo de cosas. Yo no tengo los recursos de la NSA, así que no puedo aceptar ese desafío. Pero si usar palabras seudo aleatorias te parece seguro, utilizar números aleatorios será más seguro todavía. el algoritmo también utiliza algo de azar electrónico, pero no es lo esencial Si proponés el reto en kriptópolis, re recomendaría que pases el código fuente o una explicación del alagoritmp. Es la mejor manera de que te asegurés de que es seguro por sí mismo y no por el desconocimiento del método. Mi recomendación, si querés evitar que la NSA se meta en tus asuntos, es que no mandes nada privado por internet. No podemos decirle a toda la población mundial que deje de usar internet por ese motivo, Yo no he dicho que dejes de usar internet. Sólo he dicho que lo que no querés que sea público, que no lo mandés por un medio público. ¿A que si vas por la calle charlando con un amigo y le vas a decir un secreto, bajás la voz y te acercás a su oreja?. ¿Y a que todo el que te ve sabe que estás diciéndole un secreto? Con internet es lo mismo. No hay garantía de que te escuchen si no bajás la voz.
Re: Privacidad en internet, NSA y GNU/Linux.
El 6 de septiembre de 2013 17:12, Marcos G. mar...@ovejafm.com escribió: por eso no confiaría nunca en sistemas de encriptación programados por personas que no conozco, preferiría programarlo yo y pasar el software sólo a quien me parezca de confianza si todos los programadores del mundo hiciéramos eso, la ns a la tendría complicadísima. Ok, pero con una salvedad: usá un algoritmo standard y de seguridad conocida (RSA por ejemplo) y hacé vos el programa si querés. Siempre me acuerdo de una charla de un matemático a la que asistimos hace tiempo. Nos habló de cifrado de datos relacionado con linux y nos contó una anécdota muy interesante sobre una vez que la NSA iba a comprar un algoritmo de cifrado. Se presentaron varias alternativas y entre allas una que creo que había diseñado Siemens para su uso interno y que venían usando desde hacía varios años. Apenas se hizo la presentación uno de los matemáticos hizo el gesto de bajarse los lentes a la punta de la nariz. Eso entre ellos significa que han observado una debilidad grave. A los dos días apareció el matemático con un ataque que rompía fácilmente ese cifrado. La enseñanza que nos quería dejar el que nos contaba la historia, es que igual que el software open source es más seguro porque ha sido revisado por muchos, en el cifrado de datos también es siempre mucho más seguro usar algoritmos públicos porque su seguridad es conocida y sabemos qué esperar. Si te inventás tu propio cifrado podrías tener la suerte de hacer algo maravilloso pero tamtién podrías haber pasado por alto algún detalle que lo haga inútil. ¿Cuántos años llevarían los competidores de Siemens espiando sus comunicaciones por usar un algoritmo que un buen matemático puede romper en dos días? -- Qapla' Alejandro Vargas
Re: Privacidad en internet, NSA y GNU/Linux.
El 6 de septiembre de 2013 21:25, Carlos Matons Cesco cmat...@gmail.comescribió: De alguna manera deben filtrar y categorizar esta información relevante a través de palabras clave o algún método que no sé cuál es pero que no debe ser nada complejo. Y ahí sí, con la información que es categorizada como prioritaria, aparece el ser humano a analizar y ver en profundidad de qué se trata. Otra cosa que debe despertar el interés del sistema son los mensajes que van encriptados, por ejemplo con GPG. Supongo que el tráfico con cifrados fuertes junto con lo que los sistemas automáticos detecten como sospechoso, se guardará para su análisis en el caso de que alguno de los interlocutores sea sospechoso. A demás, según se descubrió hace poco, almacenan la totalidad del tráfico que capturan durante 3 días (supongo que ese tiempo irá aumentando a medida que tengan más dinero para comprar discos). De esa forma, si hoy descubren a alguien sospechoso, pueden irse hasta 3 días para atrás y mirar sus comunicaciones. Si han pasado más de 3 días ya no tienen los datos completos pero almacenan metadatos por varios meses así que tal vez no sepan qué mail mandó el sospechoso pero sí cuándo y con quién se comunicó. Creo que la forma de joderles la vida a los de la NSA sería que todo el mundo mande mensajes encriptados (aunque sea con una RSA de 256 bits) para todo. Yo creo que lo ideal sería luchar para que nadie realizara intercepciones ilegales de información. Ni siquiera el mismo gobierno... pero bueno, mandar todo el tráfico cifrado seguro que dificultaría enormemente su tarea. Pero no te quepa duda que encontrarían una solución, aunque fuera prohibir el tráfico cifrado. No te olvidés de que ellos son los que mandan. Seguramente van a hacer el esfuerzo por desencriptarlos y eso se traduce en algunos minutos o segundos de uso de alguna super computadora que tengan por ahí estos gringos. Por un lado, podría ser que no desencriptaran todo porque puedan distinguir quienes son unos mocosos molestos y quienes pueden ser peligrosos para ellos. Y por otro lado podría ser que simplemente compraran más supercomputadoras y nos las hicieran pagar a nosotros... -- Qapla' Alejandro Vargas
Re: Privacidad en internet, NSA y GNU/Linux.
El 6 de septiembre de 2013 17:12, Marcos G. mar...@ovejafm.com escribió: ayer salió publicado esto: http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html sobre encriptación, destaco: And the agency used its influence as the world’s most experienced code maker to covertly introduce weaknesses into the encryption standards followed by hardware and software developers around the world. Hoy leía esto: * https://plus.google.com/+LinuxMagazineEdici%C3%B3nenCastellano/posts/GWMuJhcUkrU * * * *Hace un par de años Matt Mackall abandonó el proyecto de /dev/random porque Linus Torvalds sobreseyó su decisión de crear un generador de números aleatorios desde cero para, en vez de ello, utilizar el que proporciona los chipsets de Intel:* * * *http://comments.gmane.org/gmane.comp.security.cryptography.randombit/4689* * * *Mackall protestó la decisión ya que el mecanismo de generación de Intel es inauditable y por tanto, siguiendo las ideas de Richard Stallman, no se le podía confiar algo tan importante. Hay que entender que los generadores de números aleatorios a menudo se usan para generar entropía para la generación de claves que luego se utilizan en el cifrado de datos y comunicaciones.* * * *Ahora sabemos que Intel, a instancias de la NSA, coló una puerta trasera en su generador de números aleatorios, precisamente para permitir a la agencia de seguridad descifrar lo que se creía indescifrable. * As que ya ves. Todo sistema que esté usando el generador de números al azar de Intel (incluso Linux) probablemente es fácilmente descifrable para la NSA. Y los números al azar se utilizan en los cifrados que supuestamente son seguros. -- Qapla' Alejandro Vargas
Re: Privacidad en internet, NSA y GNU/Linux.
el SELinux tengo entendido Cyanogen Mod lo esta implementando en sus versiones 10.2 si no estoy mal informado. Lo venden como ampliar la seguridad de los moviles cuando en realidad les estas entregando toda la informacion gratuitamente. Ademas creo que google lo esta incluyendo en el Android 4.3 resumiendo, estamos al horno !!! El 8 de septiembre de 2013 12:59, Lucas Nogueron lnogue...@gmail.comescribió: El día 5 de septiembre de 2013 21:47, Carlos Matons Cesco cmat...@gmail.com escribió: Vengo siguiendo el tema de privacidad en internet, NSA, FBI, CIA, etc etc, no porque me preocupe que me vayan a robar información estratégica, sino porque me preocupa el dilema ético y moral que plantea el asunto. Pero ese es otro tema que no me interesa tratar ahora. Desde el principio de este asunto yo creí que, por ser un usuario de GNU/Linux, estaba protegido de ciertas facetas de este espionaje. Ya he leído en varios lugares que la NSA es la que compila el kernel de Güindous y que podrían estar introduciendo código que permitiera monitorear (y tal vez hasta controlar) los equipos que corrieran estos OS. Yo estaba convencido de que ese era un punto mas a favor de usar GNU/Linux. Pero leyendo y leyendo me encuentro que en los kernels Linux la NSA ha metido su mano hace unos 10 años aproximadamente. Lo hace a través de un módulo (no sé qué es) llamado SELinux [1][2][3][4]. Alguien que la tenga clara puede explicar qué hace SELinux realmente (porque ya no le creo a nada de lo que se publica). ¿Si uno compila el kernel manualmente, es posible desabilitar éste módulo? Saludos. En realidad la idea es hacersela dificil. Protegerte a un nivel de un NSA o alguno de esos monstruos me parece que ahí perdiste la guerra. Lo que si empezaría por tu ISP o tu gobierno local. La idea sería usar TOR mas un add on de firefox como secret agent. Curiosamente podrías usar leyes de copyright a tu favor para que no te espíen: https://www.dephormation.org.uk/?page=5 Allí hace referencia a leyes de UK y USA. El sitio que te puse está bueno y te da varias ideas. Salutes. -- Si no fuera por C, estaríamos escribiendo programas en BASI, PASAL, y OBOL. En Twitter: @lnogueron - https://twitter.com/lnogueron Luxas
Re: Privacidad en internet, NSA y GNU/Linux.
On Lun 09 Sep 2013 06:32:06 Alejandro Vargas escribió: El 6 de septiembre de 2013 17:12, Marcos G. mar...@ovejafm.com escribió: ayer salió publicado esto: http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.h tml sobre encriptación, destaco: And the agency used its influence as the world’s most experienced code maker to covertly introduce weaknesses into the encryption standards followed by hardware and software developers around the world. Hoy leía esto: * https://plus.google.com/+LinuxMagazineEdici%C3%B3nenCastellano/posts/GWMuJh cUkrU * * * *Hace un par de años Matt Mackall abandonó el proyecto de /dev/random porque Linus Torvalds sobreseyó su decisión de crear un generador de números aleatorios desde cero para, en vez de ello, utilizar el que proporciona los chipsets de Intel:* * * *http://comments.gmane.org/gmane.comp.security.cryptography.randombit/4689* * * *Mackall protestó la decisión ya que el mecanismo de generación de Intel es inauditable y por tanto, siguiendo las ideas de Richard Stallman, no se le podía confiar algo tan importante. Hay que entender que los generadores de números aleatorios a menudo se usan para generar entropía para la generación de claves que luego se utilizan en el cifrado de datos y comunicaciones.* * * *Ahora sabemos que Intel, a instancias de la NSA, coló una puerta trasera en su generador de números aleatorios, precisamente para permitir a la agencia de seguridad descifrar lo que se creía indescifrable. * As que ya ves. Todo sistema que esté usando el generador de números al azar de Intel (incluso Linux) probablemente es fácilmente descifrable para la NSA. Y los números al azar se utilizan en los cifrados que supuestamente son seguros. por eso insisto en que no usaría con confianza cualquier sistema de encriptación programado por otra persona, o, digamos, también, ninguno programado hasta ahora. -- Marcos Guglielmetti ▲ :: M U S I X : ▼ ((*J*)) www.musix.org.ar www.ovejafm.com www.softwarelibre.org.ar ___ Para encontrarte con activistas del movimiento social del software libre: http://listas.softwarelibre.org.ar/cgi-bin/mailman/listinfo/movimiento The beginning of the mistake is from growing meat for the king and wine for the church. http://www.context.org/ICLIB/IC14/Fukuoka.htm
Re: Privacidad en internet, NSA y GNU/Linux.
On Lun 09 Sep 2013 03:58:05 Alejandro Vargas escribió: El 6 de septiembre de 2013 17:12, Marcos G. mar...@ovejafm.com escribió: por eso no confiaría nunca en sistemas de encriptación programados por personas que no conozco, preferiría programarlo yo y pasar el software sólo a quien me parezca de confianza si todos los programadores del mundo hiciéramos eso, la ns a la tendría complicadísima. Ok, pero con una salvedad: usá un algoritmo standard y de seguridad conocida (RSA por ejemplo) y hacé vos el programa si querés. Siempre me acuerdo de una charla de un matemático a la que asistimos hace tiempo. Nos habló de cifrado de datos relacionado con linux y nos contó una anécdota muy interesante sobre una vez que la NSA iba a comprar un algoritmo de cifrado. Se presentaron varias alternativas y entre allas una que creo que había diseñado Siemens para su uso interno y que venían usando desde hacía varios años. Apenas se hizo la presentación uno de los matemáticos hizo el gesto de bajarse los lentes a la punta de la nariz. Eso entre ellos significa que han observado una debilidad grave. A los dos días apareció el matemático con un ataque que rompía fácilmente ese cifrado. La enseñanza que nos quería dejar el que nos contaba la historia, es que igual que el software open source es más seguro porque ha sido revisado por muchos, en el cifrado de datos también es siempre mucho más seguro usar algoritmos públicos porque su seguridad es conocida y sabemos qué esperar. Si te inventás tu propio cifrado podrías tener la suerte de hacer algo maravilloso pero tamtién podrías haber pasado por alto algún detalle que lo haga inútil. ¿Cuántos años llevarían los competidores de Siemens espiando sus comunicaciones por usar un algoritmo que un buen matemático puede romper en dos días? linda anécdota para mí, el gran error de los cifrados, al menos en textos, es basarse tanto en la matemática -- Marcos Guglielmetti ▲ :: M U S I X : ▼ ((*J*)) www.musix.org.ar www.ovejafm.com www.softwarelibre.org.ar ___ Para encontrarte con activistas del movimiento social del software libre: http://listas.softwarelibre.org.ar/cgi-bin/mailman/listinfo/movimiento The beginning of the mistake is from growing meat for the king and wine for the church. http://www.context.org/ICLIB/IC14/Fukuoka.htm
Re: Privacidad en internet, NSA y GNU/Linux.
El 9 de septiembre de 2013 12:39, Marcelo Robin marceloro...@gmail.comescribió: el SELinux tengo entendido Cyanogen Mod lo esta implementando en sus versiones 10.2 si no estoy mal informado. Lo venden como ampliar la seguridad de los moviles cuando en realidad les estas entregando toda la informacion gratuitamente. No creo. Digamos que sin SE Linux estás a la merced de cualquiera y con SE Linux tal vez (y sólo tal vez) sólo pueda espiarte la NSA. Ademas creo que google lo esta incluyendo en el Android 4.3 Claro. Cyanogen Mod está en eso porque Google está en eso. En definitiva es el mismo sistema operativo.
Re: Privacidad en internet, NSA y GNU/Linux.
El 9 de septiembre de 2013 13:54, Marcos G. mar...@ovejafm.com escribió: para mí, el gran error de los cifrados, al menos en textos, es basarse tanto en la matemática Sí... es que las computadoras están hechas para la matemática. Pero la verdad yo he pensado varias veces en crear algún tipo de cifrado que sea más humano que informático. O sea, con ayuda de la computadora para hacer el trabajo pesado pero que requiera algún criterio humano o que utilice información generada por humanos. Pero cada vez que pienso en algo me doy cuenta de que la idea que he tenido sería más débil que un algoritmo matemático porque, justamente, la matemática es exacta y su debilidad conocida.
Re: Privacidad en internet, NSA y GNU/Linux.
On Lun 09 Sep 2013 11:54:03 Alejandro Vargas escribió: El 9 de septiembre de 2013 15:28, Marcos G. mar...@ovejafm.com escribió: pero si el hombre en el medio no conoce un diccionario, x ejemplo, la única q le queda es atacar tu máquina y robártelo, y si el software q hiciste está preparado para re-genera nuevos diccionarios potencialmente infinitos, no veo problema en ese esquema En principio, atacar tu máquina y robártelo puede ser el modo más fácil. Sin embargo, si tiene el programa que generó el diccionario ahí puede haber una debilidad. lógico pero el programa es sencillo y fácilmente re-modificable, si sospechás q alguien más lo tiene, lo cambiás rápidamente, es más fácil de arreglar q todo lo q existe actualmente, gpg, linux y su generador de números al azar programado por la ns a llevado por intel hacia Linus, etc. ¿En qué se basó ese programa para generar el diccionario? en algunos textos que vos le diste al programa: el atacante debería robar todos esos textos y dárselos al programa en el mismo orden que vos se los diste, todo exactamente así. ¿En números al azar? no, en las palabras que aún no conoce (si comienza de cero, no conoce nada) Justamente el problema que mencionaba en otro mail: que incluso linux durante un tiempo tuvo un generador de números al azar que la NSA puede predecir. Y pudiendo predecir al menos algo de esos números al azar, se pueden probar diccionarios posibles en cosa de minutos. por eso no hay q basarse completamente en ningún azar electrónico que para mí no sería un problema matemático, sino más social: te tienen q ir a buscar a tu casa y torturarte Claro... Es el problema de siempre. Si te tienen fichado como terrorista, no creo que podás comunicarte sin que te espíen. Si no, en realidad no tienen más interés en vos que en el resto de los miles de millones de personas del mundo. Lo que les interesa es poder pasar tu tráfico por detectores automáticos que les indiquen si sos sospechoso de algo, y apenas te volvás sospechoso ya no tiene sentido que sigás cifrando los datos porque de una forma u otra los van a ver. por eso lo que me interesa es el espionaje masivo, dado que no somos terroristas y tenemos todo el derecho del mundo a no ser observados en la intimidad... a nadie se le ocurriría aceptar q un vecino lo mirara todo el tiempo a través del tapial...
Re: Privacidad en internet, NSA y GNU/Linux.
On Vie 06 Sep 2013 1212 Marcos G. escribió: On Vie 06 Sep 2013 06:41:26 Alejandro Vargas escribió: El 6 de septiembre de 2013 02:47, Carlos Matons Cesco cmat...@gmail.comescribió: Pero leyendo y leyendo me encuentro que en los kernels Linux la NSA ha metido su mano hace unos 10 años aproximadamente. Lo hace a través de un módulo (no sé qué es) llamado SELinux [1][2][3][4]. Sí, es cierto. La NSA aportó SELinux al kernel. Por eso hay mucha gente que prefiere no usarlo (como alternativa tenemos apparmor). Sin embargo, la situación comparada con windows es muy distinta. En el caso de linux la NSA lo que hizo fue entregar el código fuente y ponerlo a consideración de Linus Trovalds y su grupo. Ellos lo analizaron y lo aprobaron para incluirse en el kernel. En windows meten quien sabe qué (si es que meten algo) y entregan código binario para distribuir, cosa que es muchísimo más complicada de auditar. Al estar disponible el código fuente, todo el mundo puede observarlo y si alguien descubre que los de la NSA se quieren hacer los vivios, nos enteramos todos en pocas horas. Acordate de que la NSA es una agencia de seguridad, así que su función no es realmente espiar a la gente, sino tratar de que los ciudadanos estadounidenses estén seguros. Ellos consideraron que como en muchas empresas se usa Linux, para que sus empresas estuvieran más seguras sería bueno agregar un filtro de seguridad extra a Linux. De esa forma le dan a linux seguridad de categoría militar para poder usarlo con tranquilidad internamente en el ejército, marina, etc. Esa es la justificación que dan ellos y parece lógica. Sin embargo siempre queda una sombra de duda de si por ahí en medio del código hay algún detallito que se le haya pasado a todos los que lo revisaron, y que les permita utilizar el SELinux para saltarse la seguridad del sistema. Por eso mucha gente pregiere AppArmor, aunque tampoco hay garantía de que alguno de los desarrolladores de AppArmor no sea en realidad un agente de la NSA... Muy buena charla y muy buena respuesta ayer salió publicado esto: http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html sobre encriptación, destaco: And the agency used its influence as the world’s most experienced code maker to covertly introduce weaknesses into the encryption standards followed by hardware and software developers around the world. por eso no confiaría nunca en sistemas de encriptación programados por personas que no conozco, preferiría programarlo yo y pasar el software sólo a quien me parezca de confianza si todos los programadores del mundo hiciéramos eso, la ns a la tendría complicadísima. Yo sin saber mucho del tema pienso que debe funcionar mas o menos así lo que hacen estos muchachos. El volumen de información que transita por internet a diario es astronómico, así que revisar todo es imposible. De alguna manera deben filtrar y categorizar esta información relevante a través de palabras clave o algún método que no sé cuál es pero que no debe ser nada complejo. Y ahí sí, con la información que es categorizada como prioritaria, aparece el ser humano a analizar y ver en profundidad de qué se trata. Otra cosa que debe despertar el interés del sistema son los mensajes que van encriptados, por ejemplo con GPG. Si bien el método de búsqueda y selección de información debe ser muuucho mas sofisticado de lo que yo planteo, estoy seguro que no estoy muy desorientado en lo que pienso. Creo que la forma de joderles la vida a los de la NSA sería que todo el mundo mande mensajes encriptados (aunque sea con una RSA de 256 bits) para todo. ¿Tenés que organizar un partido de fobal con los muchachos? Bien, que todos los correos que van y vienen vayan encriptados. Seguramente van a hacer el esfuerzo por desencriptarlos y eso se traduce en algunos minutos o segundos de uso de alguna super computadora que tengan por ahí estos gringos. Si esos segundos los multiplicas por los necesarios para investigar todo el tránsito de información que hay te aseguro que les hacés mierda el presupuesto del área de defensa en un par de semanas. -- Carlos H. Matons Cesco signature.asc Description: This is a digitally signed message part.
Re: Privacidad en internet, NSA y GNU/Linux.
On Vie 06 Sep 2013 1141 Alejandro Vargas escribió: El 6 de septiembre de 2013 02:47, Carlos Matons Cesco cmat...@gmail.comescribió: Pero leyendo y leyendo me encuentro que en los kernels Linux la NSA ha metido su mano hace unos 10 años aproximadamente. Lo hace a través de un módulo (no sé qué es) llamado SELinux [1][2][3][4]. Sí, es cierto. La NSA aportó SELinux al kernel. Por eso hay mucha gente que prefiere no usarlo (como alternativa tenemos apparmor). Sin embargo, la situación comparada con windows es muy distinta. En el caso de linux la NSA lo que hizo fue entregar el código fuente y ponerlo a consideración de Linus Trovalds y su grupo. Ellos lo analizaron y lo aprobaron para incluirse en el kernel. En windows meten quien sabe qué (si es que meten algo) y entregan código binario para distribuir, cosa que es muchísimo más complicada de auditar. Al estar disponible el código fuente, todo el mundo puede observarlo y si alguien descubre que los de la NSA se quieren hacer los vivios, nos enteramos todos en pocas horas. Eso es cierto. El tema es cuántos tipos que realmente entienden lo que pasa en el kernel se han puesto a mirar que hace SELinux. Porque yo me puedo poner, pero no entiendo un carajo, así que probablemente se me escape hasta lo más obvio. Acordate de que la NSA es una agencia de seguridad, así que su función no es realmente espiar a la gente, sino tratar de que los ciudadanos estadounidenses estén seguros. Ellos consideraron que como en muchas empresas se usa Linux, para que sus empresas estuvieran más seguras sería bueno agregar un filtro de seguridad extra a Linux. De esa forma le dan a linux seguridad de categoría militar para poder usarlo con tranquilidad internamente en el ejército, marina, etc. http://www.nsa.gov/about/mission/index.shtml Ésta es la declaración de misión de la NSA. Por lo menos a mí me deja muy claro que están dispuestos a hacer cualquier cosa (including through clandestine means como ellos dicen). Esa es la justificación que dan ellos y parece lógica. Sin embargo siempre queda una sombra de duda de si por ahí en medio del código hay algún detallito que se le haya pasado a todos los que lo revisaron, y que les permita utilizar el SELinux para saltarse la seguridad del sistema. Por eso mucha gente pregiere AppArmor, aunque tampoco hay garantía de que alguno de los desarrolladores de AppArmor no sea en realidad un agente de la NSA... Gracias Alejandro por tu respuesta, me aclara un poco algunas dudas. -- Carlos H. Matons Cesco signature.asc Description: This is a digitally signed message part.