Re: [OT] Re: Adios a la Seguridad?
2013/9/11 Camaleón noela...@gmail.com: El Wed, 11 Sep 2013 10:41:24 +, carlopmart escribió: On 10/09/13 21:40, Ricardo C. N. wrote: Mal asunto: Tor es 100% vulnerable ... Lo único que te salva es el despliegue de IPSec VPN entre dos o más puntos controlados por ti si quieres que la información navegue segura. Chorradas del tipo SSL-VPN son tonterías (de hecho SSL-VPN es vulnerable a uno de los ataques más antiguos que existen). Me gustaría que dieras alguna prueba (No cita, sino una prueba palpable, un ejercicio o algo por el estilo) de lo que sostienes, para tomarlo en cuenta. Pues te basta con hacer un par de búsquedas secillas acerca de vulnerabilidades SSL-VPN via MITM (Man in the Middle) https://en.wikipedia.org/wiki/Man-in-the-middle_attack Y la demostración práctica: sslstrip ... Con eso y unos videos de youtube utilizando backtrack/kali linux ya tienes el esquema completo. Pues fíjate, que ni aún siendo supuestamente vulnerable, ni aún con todo el poder/capacidad logística (que no inteligencia) que pueda tener el gobierno de cualquier país, ni aún así, y retomando el ejemplo que te puse de la censura que sufrieron los ciudadanos en una de las muchas primaveras árabes, fueron capaces de impedir a los usuarios usar las redes sociales navegando a través de Tor para seguir coordinando sus acciones. Pregunta: ¿pero tú crees que los famosos paises de las primaveras árabes tienen capacidad tecnológica para poder hacer cosas como ha hecho/hace la NSA o hace el Gran Firewall chino? Lo dudo y mucho (no basta con desenchufar un cable). Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAEjQA5Lr-gEYtM=2Yi7j�copyuuh2itgfvb6goaxwffe7...@mail.gmail.com
Re: [OT] Re: Adios a la Seguridad?
El Thu, 12 Sep 2013 08:41:53 +, C. L. Martinez escribió: 2013/9/11 Camaleón noela...@gmail.com: (...) Me gustaría que dieras alguna prueba (No cita, sino una prueba palpable, un ejercicio o algo por el estilo) de lo que sostienes, para tomarlo en cuenta. Pues te basta con hacer un par de búsquedas secillas acerca de vulnerabilidades SSL-VPN via MITM (Man in the Middle) https://en.wikipedia.org/wiki/Man-in-the-middle_attack Y la demostración práctica: sslstrip ... Con eso y unos videos de youtube utilizando backtrack/kali linux ya tienes el esquema completo. Pues fíjate, que ni aún siendo supuestamente vulnerable, ni aún con todo el poder/capacidad logística (que no inteligencia) que pueda tener el gobierno de cualquier país, ni aún así, y retomando el ejemplo que te puse de la censura que sufrieron los ciudadanos en una de las muchas primaveras árabes, fueron capaces de impedir a los usuarios usar las redes sociales navegando a través de Tor para seguir coordinando sus acciones. Pregunta: ¿pero tú crees que los famosos paises de las primaveras árabes tienen capacidad tecnológica para poder hacer cosas como ha hecho/hace la NSA o hace el Gran Firewall chino? Lo dudo y mucho (no basta con desenchufar un cable). Exacto. Ahí es donde quería llegar: aunque se tenga la llave para entrar no siempre se tiene acceso siquiera a la puerta. Y no sólo eso, es que además ¿te imaginas al gobierno de Siria (por poner un ejemplo actual) solicitando a la NSA las claves para descifrar y acceder a la red Tor y cortar el grifo a sus ciudadanos? Y también sucede al contrario (casos Assange y/o Snowden), es decir, que la capacidad tecnológica es sólo un factor más que hay que tener en cuenta. ¿Moraleja? Que existen límites para todo (y para todos). Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.09.12.14.26...@gmail.com
Re: [OT] Re: Adios a la Seguridad?
2013/9/12 Camaleón noela...@gmail.com: El Thu, 12 Sep 2013 08:41:53 +, C. L. Martinez escribió: 2013/9/11 Camaleón noela...@gmail.com: (...) Me gustaría que dieras alguna prueba (No cita, sino una prueba palpable, un ejercicio o algo por el estilo) de lo que sostienes, para tomarlo en cuenta. Pues te basta con hacer un par de búsquedas secillas acerca de vulnerabilidades SSL-VPN via MITM (Man in the Middle) https://en.wikipedia.org/wiki/Man-in-the-middle_attack Y la demostración práctica: sslstrip ... Con eso y unos videos de youtube utilizando backtrack/kali linux ya tienes el esquema completo. Pues fíjate, que ni aún siendo supuestamente vulnerable, ni aún con todo el poder/capacidad logística (que no inteligencia) que pueda tener el gobierno de cualquier país, ni aún así, y retomando el ejemplo que te puse de la censura que sufrieron los ciudadanos en una de las muchas primaveras árabes, fueron capaces de impedir a los usuarios usar las redes sociales navegando a través de Tor para seguir coordinando sus acciones. Pregunta: ¿pero tú crees que los famosos paises de las primaveras árabes tienen capacidad tecnológica para poder hacer cosas como ha hecho/hace la NSA o hace el Gran Firewall chino? Lo dudo y mucho (no basta con desenchufar un cable). Exacto. Ahí es donde quería llegar: aunque se tenga la llave para entrar no siempre se tiene acceso siquiera a la puerta. Y no sólo eso, es que además ¿te imaginas al gobierno de Siria (por poner un ejemplo actual) solicitando a la NSA las claves para descifrar y acceder a la red Tor y cortar el grifo a sus ciudadanos? Y también sucede al contrario (casos Assange y/o Snowden), es decir, que la capacidad tecnológica es sólo un factor más que hay que tener en cuenta. ¿Moraleja? Que existen límites para todo (y para todos). La NSA, a estas alturas no creo que le sorprenda a nadie, tiene la llave para entrar en todas las puertas de empresas norteamericanas ... Igual que los chinos las suyas... Igual que los sirios tienen la llave para las empresas sirias, etc ... El factor tecnológico, es lo que les dá el poder de controlar la información (no digo sobre la información o la manupulación de la misma). Es decir: la pueden analizar. ¿Limites? Depende. Ahora mismo, no se los veo. Parte de la base en que el hardware ya no es confiable (ejemplo: el de Intel que habéis puesto anteriormente). Y si el hardware ya no es confiable, da igual la potencia que tengas en el software ... -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAEjQA5KYijH=eQnvQhDc=i0+=7qpvnkycot7og8fnfeevdr...@mail.gmail.com
Re: [OT] Re: Adios a la Seguridad?
2013/9/12 Camaleón noela...@gmail.com: El Thu, 12 Sep 2013 14:38:17 +, C. L. Martinez escribió: 2013/9/12 Camaleón noela...@gmail.com: (...) Pregunta: ¿pero tú crees que los famosos paises de las primaveras árabes tienen capacidad tecnológica para poder hacer cosas como ha hecho/hace la NSA o hace el Gran Firewall chino? Lo dudo y mucho (no basta con desenchufar un cable). Exacto. Ahí es donde quería llegar: aunque se tenga la llave para entrar no siempre se tiene acceso siquiera a la puerta. Y no sólo eso, es que además ¿te imaginas al gobierno de Siria (por poner un ejemplo actual) solicitando a la NSA las claves para descifrar y acceder a la red Tor y cortar el grifo a sus ciudadanos? Y también sucede al contrario (casos Assange y/o Snowden), es decir, que la capacidad tecnológica es sólo un factor más que hay que tener en cuenta. ¿Moraleja? Que existen límites para todo (y para todos). La NSA, a estas alturas no creo que le sorprenda a nadie, tiene la llave para entrar en todas las puertas de empresas norteamericanas ... Igual que los chinos las suyas... Igual que los sirios tienen la llave para las empresas sirias, etc ... Sí, pero los sirios NO pueden hacer nada para impedir que sus ciudadanos usen Tor, aunque Tor sea vulnerable. Ni el gobierno usaniano puede hacer nada (al menos de momento) para extraditar a Snowden... eso es lo que estoy intentando que veas. Yo estoy hablando del mundo tecnológico ... No del mundo político o del día a día ... El factor tecnológico, es lo que les dá el poder de controlar la información (no digo sobre la información o la manupulación de la misma). Es decir: la pueden analizar. La podrán analizar _si_ EE.UU. se lo permite. No depende del gobierno de turno, ni de que sea o no técnicamente posible, es lo que te quiero decir. ¿¿¿??? Ahora me dejas fuera de juego. ¿_si_ EEUU se lo permite? ¿A quien, a los paises como Siria, Egipto, Túnez, etc?? HOmbre si no se lo permite ni a sus archi-aliados los israelís ... ¿Limites? Depende. Ahora mismo, no se los veo. Parte de la base en que el hardware ya no es confiable (ejemplo: el de Intel que habéis puesto anteriormente). Y si el hardware ya no es confiable, da igual la potencia que tengas en el software ... No me refiero a eso... lo que te quiero decir es que más allá de los límites físicos impuestos por la tecnología (ser capaces de poder descifrar lo cifrado) existen otros impedimentos que NO permiten a los gobiernos (del país que sea) poder llevarlo a cabo. Pero es que yo te hablo de tecnología, no hablo del terreno político ni nada por el estilo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caejqa5k_or+nennke_kbnmkvf+aln-g61g3fxkndzap3pog...@mail.gmail.com
Re: [OT] Re: Adios a la Seguridad?
El Thu, 12 Sep 2013 15:06:48 +, C. L. Martinez escribió: 2013/9/12 Camaleón noela...@gmail.com: ¿Moraleja? Que existen límites para todo (y para todos). La NSA, a estas alturas no creo que le sorprenda a nadie, tiene la llave para entrar en todas las puertas de empresas norteamericanas ... Igual que los chinos las suyas... Igual que los sirios tienen la llave para las empresas sirias, etc ... Sí, pero los sirios NO pueden hacer nada para impedir que sus ciudadanos usen Tor, aunque Tor sea vulnerable. Ni el gobierno usaniano puede hacer nada (al menos de momento) para extraditar a Snowden... eso es lo que estoy intentando que veas. Yo estoy hablando del mundo tecnológico ... No del mundo político o del día a día ... (...) Bien, pero desgraciadamente a día de hoy tecnología de cifrado y política van de la mano ;-( Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.09.12.15.18...@gmail.com
Re: [OT] Re: Adios a la Seguridad?
El Thu, 12 Sep 2013 14:38:17 +, C. L. Martinez escribió: 2013/9/12 Camaleón noela...@gmail.com: (...) Pregunta: ¿pero tú crees que los famosos paises de las primaveras árabes tienen capacidad tecnológica para poder hacer cosas como ha hecho/hace la NSA o hace el Gran Firewall chino? Lo dudo y mucho (no basta con desenchufar un cable). Exacto. Ahí es donde quería llegar: aunque se tenga la llave para entrar no siempre se tiene acceso siquiera a la puerta. Y no sólo eso, es que además ¿te imaginas al gobierno de Siria (por poner un ejemplo actual) solicitando a la NSA las claves para descifrar y acceder a la red Tor y cortar el grifo a sus ciudadanos? Y también sucede al contrario (casos Assange y/o Snowden), es decir, que la capacidad tecnológica es sólo un factor más que hay que tener en cuenta. ¿Moraleja? Que existen límites para todo (y para todos). La NSA, a estas alturas no creo que le sorprenda a nadie, tiene la llave para entrar en todas las puertas de empresas norteamericanas ... Igual que los chinos las suyas... Igual que los sirios tienen la llave para las empresas sirias, etc ... Sí, pero los sirios NO pueden hacer nada para impedir que sus ciudadanos usen Tor, aunque Tor sea vulnerable. Ni el gobierno usaniano puede hacer nada (al menos de momento) para extraditar a Snowden... eso es lo que estoy intentando que veas. El factor tecnológico, es lo que les dá el poder de controlar la información (no digo sobre la información o la manupulación de la misma). Es decir: la pueden analizar. La podrán analizar _si_ EE.UU. se lo permite. No depende del gobierno de turno, ni de que sea o no técnicamente posible, es lo que te quiero decir. ¿Limites? Depende. Ahora mismo, no se los veo. Parte de la base en que el hardware ya no es confiable (ejemplo: el de Intel que habéis puesto anteriormente). Y si el hardware ya no es confiable, da igual la potencia que tengas en el software ... No me refiero a eso... lo que te quiero decir es que más allá de los límites físicos impuestos por la tecnología (ser capaces de poder descifrar lo cifrado) existen otros impedimentos que NO permiten a los gobiernos (del país que sea) poder llevarlo a cabo. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.09.12.14.54...@gmail.com
Re: [OT] Re: Adios a la Seguridad?
On 10/09/13 21:40, Ricardo C. N. wrote: Mal asunto: Tor es 100% vulnerable ... Lo único que te salva es el despliegue de IPSec VPN entre dos o más puntos controlados por ti si quieres que la información navegue segura. Chorradas del tipo SSL-VPN son tonterías (de hecho SSL-VPN es vulnerable a uno de los ataques más antiguos que existen). Me gustaría que dieras alguna prueba (No cita, sino una prueba palpable, un ejercicio o algo por el estilo) de lo que sostienes, para tomarlo en cuenta. Gracias. Ricardo C. N. Pues te basta con hacer un par de búsquedas secillas acerca de vulnerabilidades SSL-VPN via MITM (Man in the Middle) https://en.wikipedia.org/wiki/Man-in-the-middle_attack Y la demostración práctica: sslstrip ... Con eso y unos videos de youtube utilizando backtrack/kali linux ya tienes el esquema completo. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/523048d4.8090...@gmail.com
Re: [OT] Re: Adios a la Seguridad?
El Tue, 10 Sep 2013 21:34:35 +0200, JulHer escribió: El 10/09/13 20:26, Francesc Gordillo i Cortínez escribió: ¿Han leído esto? http://www.change.org/en-GB/petitions/linus-torvalds-remove-rdrand- from-dev-random-4/responses/9066 Probablemente Linus tenga razón, pero el problema real es que haya código cerrado dentro del núcleo. Y lo entiendo mucho menos después de que el propio Linus diga que es simplemente una fuente más de entropía... Exactamente. La pregunta es si realmente el código cerrado de Intel aporta algún beneficio *real* que no se pueda obtener mediante otra fuente que sea completamente abierta. Y en el caso de que la respuesta sea no, no existe la siguiente pregunta sería si merece la pena incluirlo con lo que eso conlleva. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.09.11.13.23...@gmail.com
Re: [OT] Re: Adios a la Seguridad?
El Wed, 11 Sep 2013 10:41:24 +, carlopmart escribió: On 10/09/13 21:40, Ricardo C. N. wrote: Mal asunto: Tor es 100% vulnerable ... Lo único que te salva es el despliegue de IPSec VPN entre dos o más puntos controlados por ti si quieres que la información navegue segura. Chorradas del tipo SSL-VPN son tonterías (de hecho SSL-VPN es vulnerable a uno de los ataques más antiguos que existen). Me gustaría que dieras alguna prueba (No cita, sino una prueba palpable, un ejercicio o algo por el estilo) de lo que sostienes, para tomarlo en cuenta. Pues te basta con hacer un par de búsquedas secillas acerca de vulnerabilidades SSL-VPN via MITM (Man in the Middle) https://en.wikipedia.org/wiki/Man-in-the-middle_attack Y la demostración práctica: sslstrip ... Con eso y unos videos de youtube utilizando backtrack/kali linux ya tienes el esquema completo. Pues fíjate, que ni aún siendo supuestamente vulnerable, ni aún con todo el poder/capacidad logística (que no inteligencia) que pueda tener el gobierno de cualquier país, ni aún así, y retomando el ejemplo que te puse de la censura que sufrieron los ciudadanos en una de las muchas primaveras árabes, fueron capaces de impedir a los usuarios usar las redes sociales navegando a través de Tor para seguir coordinando sus acciones. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.09.11.13.42...@gmail.com
Re: [OT] Re: Adios a la Seguridad?
On Lunes, 9 de septiembre de 2013 15:34:22 Camaleón escribió: La solución fue usar Tor y servicios similares para evitar la censura. De solución, pues como que no. Tor es un desarrollo de la Marina de los Estados Unidos. Y que nadie se olvide de la capacidad de proceso. Se habla de que la NSA tiene mas de 10.000.000 de servidores Y tenéis en cuenta que google tiene 1.200.000 pues la cosa asusta un huevo. ah y echelon esta operativo por supuesto. -- Un saludo / agur bero bat BasaBuru BASATU basatia bihur zaitez ~ -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201309112052.27151.basab...@basatu.org
Re: [OT] Re: Adios a la Seguridad?
On Mon, Sep 09, 2013 at 01:34:22PM +, Camaleón wrote: Y bueno, al hilo de todo esto, no sé si habréis leído esta noticia: ¿Una ‘puerta trasera’ de la NSA en Linux? Podría ser http://www.muylinux.com/2013/09/09/puerta-trasera-nsa-linux/ En fin, que sigue siendo válida la aseveración de que la seguridad no es más que un estado mental y que no existe al 100%. Bueno, siempre se puede intentar tener un equipo con OpenBSD y no conectarlo nunca, nunca, a ninguna red. Ahora en serio, no se que tipo de debilidades pudo introducir la NSA en el generador de números aleatorios, pero hasta donde yo sé, hay métodos que pueden medir la calidad de esos generadores y detectar sesgos, con lo que seguro que alguien ya estará mirándolo con lupa. De todos modos, si el único problema es el generador de números aleatorios de Intel que se puso en el núcleo... con cambiarlo ya estaría solucionado. Como dice Bruce Scheneier, hay que confiar en las matemáticas. Un saludo julHer -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130910061533.GA3380@hradcany.praha
Re: [OT] Re: Adios a la Seguridad?
El Tue, 10 Sep 2013 08:16:46 +0200, JulHer escribió: On Mon, Sep 09, 2013 at 01:34:22PM +, Camaleón wrote: Y bueno, al hilo de todo esto, no sé si habréis leído esta noticia: ¿Una ‘puerta trasera’ de la NSA en Linux? Podría ser http://www.muylinux.com/2013/09/09/puerta-trasera-nsa-linux/ En fin, que sigue siendo válida la aseveración de que la seguridad no es más que un estado mental y que no existe al 100%. Bueno, siempre se puede intentar tener un equipo con OpenBSD y no conectarlo nunca, nunca, a ninguna red. OpenBSD también estuvo en el ojo del huracán ¿no os acordáis? An FBI backdoor in OpenBSD? http://blogs.csoonline.com/1296/an_fbi_backdoor_in_openbsd Al final, como siempre, todo quedó en agua de borrajas. Ahora en serio, no se que tipo de debilidades pudo introducir la NSA en el generador de números aleatorios, pero hasta donde yo sé, hay métodos que pueden medir la calidad de esos generadores y detectar sesgos, con lo que seguro que alguien ya estará mirándolo con lupa. La debilidad en este caso entiendo que sería la predecibilidad o aleatoriedad controlada (por la NSA o cualquier otra agencia que quisiera hacer uso de ello, claro). De todos modos, si el único problema es el generador de números aleatorios de Intel que se puso en el núcleo... con cambiarlo ya estaría solucionado. Como dice Bruce Scheneier, hay que confiar en las matemáticas. A mí me preocuparía -y uso el condicional porque no tengo datos exactos de lo que ha pasado realmente- más que el hecho en sí de tener código binario inescrutable en el kernel, la decisión de incluirlo. Sinceramente, no se me ocurre ningún motivo razonablemente lógico para adoptar una decisión así después todo lo que ha despotricado Linus con nvidia. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.09.10.13.25...@gmail.com
Re: [OT] Re: Adios a la Seguridad?
El 10/09/13 15:25, Camaleón escribió: El Tue, 10 Sep 2013 08:16:46 +0200, JulHer escribió: On Mon, Sep 09, 2013 at 01:34:22PM +, Camaleón wrote: Y bueno, al hilo de todo esto, no sé si habréis leído esta noticia: ¿Una ‘puerta trasera’ de la NSA en Linux? Podría ser http://www.muylinux.com/2013/09/09/puerta-trasera-nsa-linux/ En fin, que sigue siendo válida la aseveración de que la seguridad no es más que un estado mental y que no existe al 100%. Bueno, siempre se puede intentar tener un equipo con OpenBSD y no conectarlo nunca, nunca, a ninguna red. OpenBSD también estuvo en el ojo del huracán ¿no os acordáis? An FBI backdoor in OpenBSD? http://blogs.csoonline.com/1296/an_fbi_backdoor_in_openbsd Al final, como siempre, todo quedó en agua de borrajas. Está claro que nadie está libre de que le metan algo, pero una de las características de OpenBSD es que el código del sistema (del núcleo, ojo, no de las aplicaciones) está auditado. Y muy bien auditado, a tenor de los escasos (dos agujeros remotos en años) problemas de seguridad de su núcleo, comparados con cualquier otro sistema, Linux incluído. Por supuesto eso lo hace un objetivo de primera clase para NSA y demás familia... Ahora en serio, no se que tipo de debilidades pudo introducir la NSA en el generador de números aleatorios, pero hasta donde yo sé, hay métodos que pueden medir la calidad de esos generadores y detectar sesgos, con lo que seguro que alguien ya estará mirándolo con lupa. La debilidad en este caso entiendo que sería la predecibilidad o aleatoriedad controlada (por la NSA o cualquier otra agencia que quisiera hacer uso de ello, claro). Si, está claro que eso mata cualquier criptografía hecha con ese generador. De todos modos, si el único problema es el generador de números aleatorios de Intel que se puso en el núcleo... con cambiarlo ya estaría solucionado. Como dice Bruce Scheneier, hay que confiar en las matemáticas. A mí me preocuparía -y uso el condicional porque no tengo datos exactos de lo que ha pasado realmente- más que el hecho en sí de tener código binario inescrutable en el kernel, la decisión de incluirlo. Sinceramente, no se me ocurre ningún motivo razonablemente lógico para adoptar una decisión así después todo lo que ha despotricado Linus con nvidia. A mi tampoco, y es una decisión bastante rara. Un saludo JulHer -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/522f5f5a.8070...@escomposlinux.org
Re: [OT] Re: Adios a la Seguridad?
El 10/09/13 20:05, JulHer escribió: El 10/09/13 15:25, Camaleón escribió: El Tue, 10 Sep 2013 08:16:46 +0200, JulHer escribió: (...) OpenBSD también estuvo en el ojo del huracán ¿no os acordáis? An FBI backdoor in OpenBSD? http://blogs.csoonline.com/1296/an_fbi_backdoor_in_openbsd Al final, como siempre, todo quedó en agua de borrajas. Está claro que nadie está libre de que le metan algo, pero una de las características de OpenBSD es que el código del sistema (del núcleo, ojo, no de las aplicaciones) está auditado. Y muy bien auditado, a tenor de los escasos (dos agujeros remotos en años) problemas de seguridad de su núcleo, comparados con cualquier otro sistema, Linux incluído. Por supuesto eso lo hace un objetivo de primera clase para NSA y demás familia... (...) La debilidad en este caso entiendo que sería la predecibilidad o aleatoriedad controlada (por la NSA o cualquier otra agencia que quisiera hacer uso de ello, claro). Si, está claro que eso mata cualquier criptografía hecha con ese generador. ¿Han leído esto? http://www.change.org/en-GB/petitions/linus-torvalds-remove-rdrand-from-dev-random-4/responses/9066 Saludos. (...) A mí me preocuparía -y uso el condicional porque no tengo datos exactos de lo que ha pasado realmente- más que el hecho en sí de tener código binario inescrutable en el kernel, la decisión de incluirlo. Sinceramente, no se me ocurre ningún motivo razonablemente lógico para adoptar una decisión así después todo lo que ha despotricado Linus con nvidia. A mi tampoco, y es una decisión bastante rara. Un saludo JulHer -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/522f6448.8040...@frangor.info
Re: [OT] Re: Adios a la Seguridad?
El 10/09/13 20:26, Francesc Gordillo i Cortínez escribió: ¿Han leído esto? http://www.change.org/en-GB/petitions/linus-torvalds-remove-rdrand-from-dev-random-4/responses/9066 Probablemente Linus tenga razón, pero el problema real es que haya código cerrado dentro del núcleo. Y lo entiendo mucho menos después de que el propio Linus diga que es simplemente una fuente más de entropía... Un saludo JulHer -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/522f744b.5040...@escomposlinux.org
Re: [OT] Re: Adios a la Seguridad?
Mal asunto: Tor es 100% vulnerable ... Lo único que te salva es el despliegue de IPSec VPN entre dos o más puntos controlados por ti si quieres que la información navegue segura. Chorradas del tipo SSL-VPN son tonterías (de hecho SSL-VPN es vulnerable a uno de los ataques más antiguos que existen). Me gustaría que dieras alguna prueba (No cita, sino una prueba palpable, un ejercicio o algo por el estilo) de lo que sostienes, para tomarlo en cuenta. Gracias. Ricardo C. N. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAOBz3shDfr69qPgh57vhzyFM3rdBBU3=pvojfhcnvjugr...@mail.gmail.com
[OT] Re: Adios a la Seguridad?
El Sun, 08 Sep 2013 19:02:32 +, carlopmart escribió: On 08/09/13 18:32, lati...@vcn.bc.ca wrote: Hola lista. Que opinan acerca de esto? https://www.schneier.com/blog/archives/2013/09/the_nsa_is_brea.html Que sí y que no. A ver lo importante son estos dos ensayos del sr. Schneider: http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure- surveillance http://www.theguardian.com/commentisfree/2013/sep/05/government- betrayed-internet-nsa-spying Pero la pregunta es: ¿tanto necio hay por el mundo que se cree que la gran red Internet no ha sido intentada ser manipulada (o llamale espiada, o llámale X) desde sus inicios por la mayoria de los gobiernos?. (...) Todo/s tiene/n un límite, hasta los gobiernos. Recuerdo vagamente las noticias de los acontecimientos de una de las muchas primaveras árabes de hace unos años donde el gobierno de un país de esos amantes de las libertades había cortado por completo el acceso a las redes sociales (Facebook, Twitter, etc...) para impedir concentraciones esporádicas de los ciudadanos. Eso lo hicieron con la confabulación de los ISP de su país que, quisieran o no, tenían pasar por el aro. La solución fue usar Tor y servicios similares para evitar la censura. En mi opinión, puedes tener tu información importante segura si así lo deseas (la tecnología y los medios los tienes), pero se ha de ser necio para colgar en la nube toda tu información, seas usuario o empresa. Bueno, es normal pensar así (eh, que yo no he hecho nada malo, ¿por qué me van a espiar, qué van a querer...?) hasta que te pasa algo. Y te das cuenta de que estás a merced de quienes tienen las llaves maestras, es decir, los gobiernos. ¿Qué empresa tecnológica está al margen de su gobierno? ¿Quién puede pasar por encima de sus leyes? Ninguna. La dependencia es real -y total- y no necesariamente en temas tecnológicos (que ahora preocupa más porque se ha generalizado su uso) es que eso ha sido así desde siempre. No sé dónde escuché una frase que dice: Antes de que existiera la inteligencia ya existía el poder :-) Y bueno, al hilo de todo esto, no sé si habréis leído esta noticia: ¿Una ‘puerta trasera’ de la NSA en Linux? Podría ser http://www.muylinux.com/2013/09/09/puerta-trasera-nsa-linux/ En fin, que sigue siendo válida la aseveración de que la seguridad no es más que un estado mental y que no existe al 100%. Saludos cifrados, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.09.09.13.34...@gmail.com
Re: [OT] Re: Adios a la Seguridad?
On 09/09/2013 10:34 AM, Camaleón wrote: El Sun, 08 Sep 2013 19:02:32 +, carlopmart escribió: On 08/09/13 18:32, lati...@vcn.bc.ca wrote: Hola lista. Que opinan acerca de esto? https://www.schneier.com/blog/archives/2013/09/the_nsa_is_brea.html Que sí y que no. A ver lo importante son estos dos ensayos del sr. Schneider: http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure- surveillance http://www.theguardian.com/commentisfree/2013/sep/05/government- betrayed-internet-nsa-spying Pero la pregunta es: ¿tanto necio hay por el mundo que se cree que la gran red Internet no ha sido intentada ser manipulada (o llamale espiada, o llámale X) desde sus inicios por la mayoria de los gobiernos?. (...) Todo/s tiene/n un límite, hasta los gobiernos. Recuerdo vagamente las noticias de los acontecimientos de una de las muchas primaveras árabes de hace unos años donde el gobierno de un país de esos amantes de las libertades había cortado por completo el acceso a las redes sociales (Facebook, Twitter, etc...) para impedir concentraciones esporádicas de los ciudadanos. Eso lo hicieron con la confabulación de los ISP de su país que, quisieran o no, tenían pasar por el aro. La solución fue usar Tor y servicios similares para evitar la censura. En mi opinión, puedes tener tu información importante segura si así lo deseas (la tecnología y los medios los tienes), pero se ha de ser necio para colgar en la nube toda tu información, seas usuario o empresa. Bueno, es normal pensar así (eh, que yo no he hecho nada malo, ¿por qué me van a espiar, qué van a querer...?) hasta que te pasa algo. Y te das cuenta de que estás a merced de quienes tienen las llaves maestras, es decir, los gobiernos. ¿Qué empresa tecnológica está al margen de su gobierno? ¿Quién puede pasar por encima de sus leyes? Ninguna. La dependencia es real -y total- y no necesariamente en temas tecnológicos (que ahora preocupa más porque se ha generalizado su uso) es que eso ha sido así desde siempre. No sé dónde escuché una frase que dice: Antes de que existiera la inteligencia ya existía el poder :-) Y bueno, al hilo de todo esto, no sé si habréis leído esta noticia: ¿Una ‘puerta trasera’ de la NSA en Linux? Podría ser http://www.muylinux.com/2013/09/09/puerta-trasera-nsa-linux/ En fin, que sigue siendo válida la aseveración de que la seguridad no es más que un estado mental y que no existe al 100%. Saludos cifrados, También va a interesarles este artículo http://www.elladodelmal.com/2013/09/0wn3d-o-como-la-nsa-mato-el-espiritu-de.html -- Santiago López Denazis GNU/Linux SysAdmin sldena...@gmail.com Open your source, open your mind. Por favor, no utilice formatos de archivo privativos para el intercambio de documentos, como DOC y XLS, sino HTML, PDF, TXT, CSV o cualquier otro que no obligue a utilizar un programa de un fabricante concreto. Vea http://www.gnu.org/philosophy/no-word-attachments.es.html -- signature.asc Description: OpenPGP digital signature
Re: [OT] Re: Adios a la Seguridad?
Saludos a tod@s... Con respecto al backdoor de la NSA a través de Intel y cualquier otra relacionada con el Software Libre, acá les dejo una entretenida, un poco jocosa pero definitivamente muy informativo post de un amigo de mi país. Que la disfruten! http://phenobarbital.wordpress.com/2013/09/07/la-cadena-de-custodia-nsa-y-software-libre/ 2013/9/9 Santiago López Denazis sldena...@gmail.com On 09/09/2013 10:34 AM, Camaleón wrote: El Sun, 08 Sep 2013 19:02:32 +, carlopmart escribió: On 08/09/13 18:32, lati...@vcn.bc.ca wrote: Hola lista. Que opinan acerca de esto? https://www.schneier.com/blog/archives/2013/09/the_nsa_is_brea.html Que sí y que no. A ver lo importante son estos dos ensayos del sr. Schneider: http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure- surveillance http://www.theguardian.com/commentisfree/2013/sep/05/government- betrayed-internet-nsa-spying Pero la pregunta es: ¿tanto necio hay por el mundo que se cree que la gran red Internet no ha sido intentada ser manipulada (o llamale espiada, o llámale X) desde sus inicios por la mayoria de los gobiernos?. (...) Todo/s tiene/n un límite, hasta los gobiernos. Recuerdo vagamente las noticias de los acontecimientos de una de las muchas primaveras árabes de hace unos años donde el gobierno de un país de esos amantes de las libertades había cortado por completo el acceso a las redes sociales (Facebook, Twitter, etc...) para impedir concentraciones esporádicas de los ciudadanos. Eso lo hicieron con la confabulación de los ISP de su país que, quisieran o no, tenían pasar por el aro. La solución fue usar Tor y servicios similares para evitar la censura. En mi opinión, puedes tener tu información importante segura si así lo deseas (la tecnología y los medios los tienes), pero se ha de ser necio para colgar en la nube toda tu información, seas usuario o empresa. Bueno, es normal pensar así (eh, que yo no he hecho nada malo, ¿por qué me van a espiar, qué van a querer...?) hasta que te pasa algo. Y te das cuenta de que estás a merced de quienes tienen las llaves maestras, es decir, los gobiernos. ¿Qué empresa tecnológica está al margen de su gobierno? ¿Quién puede pasar por encima de sus leyes? Ninguna. La dependencia es real -y total- y no necesariamente en temas tecnológicos (que ahora preocupa más porque se ha generalizado su uso) es que eso ha sido así desde siempre. No sé dónde escuché una frase que dice: Antes de que existiera la inteligencia ya existía el poder :-) Y bueno, al hilo de todo esto, no sé si habréis leído esta noticia: ¿Una ‘puerta trasera’ de la NSA en Linux? Podría ser http://www.muylinux.com/2013/09/09/puerta-trasera-nsa-linux/ En fin, que sigue siendo válida la aseveración de que la seguridad no es más que un estado mental y que no existe al 100%. Saludos cifrados, También va a interesarles este artículo http://www.elladodelmal.com/2013/09/0wn3d-o-como-la-nsa-mato-el-espiritu-de.html -- Santiago López Denazis GNU/Linux SysAdmin sldena...@gmail.com Open your source, open your mind. Por favor, no utilice formatos de archivo privativos para el intercambio de documentos, como DOC y XLS, sino HTML, PDF, TXT, CSV o cualquier otro que no obligue a utilizar un programa de un fabricante concreto. Vea http://www.gnu.org/philosophy/no-word-attachments.es.html -- -- Ali Moreno Blog: http://r3c4ll.blogspot.com Twitter: @r3c4ll A la persona no se le conoce por lo que sabe, sino por lo que hace con lo que sabe Martin Luther King
Re: [OT] Re: Adios a la Seguridad?
On 09/09/13 13:34, Camaleón wrote: El Sun, 08 Sep 2013 19:02:32 +, carlopmart escribió: On 08/09/13 18:32, lati...@vcn.bc.ca wrote: Hola lista. Que opinan acerca de esto? https://www.schneier.com/blog/archives/2013/09/the_nsa_is_brea.html Que sí y que no. A ver lo importante son estos dos ensayos del sr. Schneider: http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure- surveillance http://www.theguardian.com/commentisfree/2013/sep/05/government- betrayed-internet-nsa-spying Pero la pregunta es: ¿tanto necio hay por el mundo que se cree que la gran red Internet no ha sido intentada ser manipulada (o llamale espiada, o llámale X) desde sus inicios por la mayoria de los gobiernos?. (...) Todo/s tiene/n un límite, hasta los gobiernos. Recuerdo vagamente las noticias de los acontecimientos de una de las muchas primaveras árabes de hace unos años donde el gobierno de un país de esos amantes de las libertades había cortado por completo el acceso a las redes sociales (Facebook, Twitter, etc...) para impedir concentraciones esporádicas de los ciudadanos. Eso lo hicieron con la confabulación de los ISP de su país que, quisieran o no, tenían pasar por el aro. La solución fue usar Tor y servicios similares para evitar la censura. Mal asunto: Tor es 100% vulnerable ... Lo único que te salva es el despliegue de IPSec VPN entre dos o más puntos controlados por ti si quieres que la información navegue segura. Chorradas del tipo SSL-VPN son tonterías (de hecho SSL-VPN es vulnerable a uno de los ataques más antiguos que existen). En mi opinión, puedes tener tu información importante segura si así lo deseas (la tecnología y los medios los tienes), pero se ha de ser necio para colgar en la nube toda tu información, seas usuario o empresa. Bueno, es normal pensar así (eh, que yo no he hecho nada malo, ¿por qué me van a espiar, qué van a querer...?) hasta que te pasa algo. Y te das cuenta de que estás a merced de quienes tienen las llaves maestras, es decir, los gobiernos. ¿Qué empresa tecnológica está al margen de su gobierno? ¿Quién puede pasar por encima de sus leyes? Ninguna. La dependencia es real -y total- y no necesariamente en temas tecnológicos (que ahora preocupa más porque se ha generalizado su uso) es que eso ha sido así desde siempre. No hay porqué saltarse ninguna ley. Me referia a que tienes tecnología y medios para salvaguardar tu información sin que la NSA, ni Google, ni Microsoft, ni nadie pueda fisgar ... No sé dónde escuché una frase que dice: Antes de que existiera la inteligencia ya existía el poder :-) Y bueno, al hilo de todo esto, no sé si habréis leído esta noticia: ¿Una ‘puerta trasera’ de la NSA en Linux? Podría ser http://www.muylinux.com/2013/09/09/puerta-trasera-nsa-linux/ En fin, que sigue siendo válida la aseveración de que la seguridad no es más que un estado mental y que no existe al 100%. Es que la seguridad no existe al 100% ... nadie va a decirte, pero de que es un estado mental tampoco estoy de acuerdo. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/522dd9e6.6080...@gmail.com
Re: [OT] Re: Adios a la Seguridad?
On 09/09/13 14:23, carlopmart wrote: On 09/09/13 13:34, Camaleón wrote: El Sun, 08 Sep 2013 19:02:32 +, carlopmart escribió: On 08/09/13 18:32, lati...@vcn.bc.ca wrote: Hola lista. Que opinan acerca de esto? https://www.schneier.com/blog/archives/2013/09/the_nsa_is_brea.html Que sí y que no. A ver lo importante son estos dos ensayos del sr. Schneider: http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure- surveillance http://www.theguardian.com/commentisfree/2013/sep/05/government- betrayed-internet-nsa-spying Pero la pregunta es: ¿tanto necio hay por el mundo que se cree que la gran red Internet no ha sido intentada ser manipulada (o llamale espiada, o llámale X) desde sus inicios por la mayoria de los gobiernos?. (...) Todo/s tiene/n un límite, hasta los gobiernos. Recuerdo vagamente las noticias de los acontecimientos de una de las muchas primaveras árabes de hace unos años donde el gobierno de un país de esos amantes de las libertades había cortado por completo el acceso a las redes sociales (Facebook, Twitter, etc...) para impedir concentraciones esporádicas de los ciudadanos. Eso lo hicieron con la confabulación de los ISP de su país que, quisieran o no, tenían pasar por el aro. La solución fue usar Tor y servicios similares para evitar la censura. Mal asunto: Tor es 100% vulnerable ... Lo único que te salva es el despliegue de IPSec VPN entre dos o más puntos controlados por ti si quieres que la información navegue segura. Chorradas del tipo SSL-VPN son tonterías (de hecho SSL-VPN es vulnerable a uno de los ataques más antiguos que existen). En mi opinión, puedes tener tu información importante segura si así lo deseas (la tecnología y los medios los tienes), pero se ha de ser necio para colgar en la nube toda tu información, seas usuario o empresa. Bueno, es normal pensar así (eh, que yo no he hecho nada malo, ¿por qué me van a espiar, qué van a querer...?) hasta que te pasa algo. Y te das cuenta de que estás a merced de quienes tienen las llaves maestras, es decir, los gobiernos. ¿Qué empresa tecnológica está al margen de su gobierno? ¿Quién puede pasar por encima de sus leyes? Ninguna. La dependencia es real -y total- y no necesariamente en temas tecnológicos (que ahora preocupa más porque se ha generalizado su uso) es que eso ha sido así desde siempre. No hay porqué saltarse ninguna ley. Me referia a que tienes tecnología y medios para salvaguardar tu información sin que la NSA, ni Google, ni Microsoft, ni nadie pueda fisgar ... No sé dónde escuché una frase que dice: Antes de que existiera la inteligencia ya existía el poder :-) Y bueno, al hilo de todo esto, no sé si habréis leído esta noticia: ¿Una ‘puerta trasera’ de la NSA en Linux? Podría ser http://www.muylinux.com/2013/09/09/puerta-trasera-nsa-linux/ En fin, que sigue siendo válida la aseveración de que la seguridad no es más que un estado mental y que no existe al 100%. Es que la seguridad no existe al 100% ... nadie va a decirte, pero de que es un estado mental tampoco estoy de acuerdo. Saludos. Por cierto, siempre podemos utilizar servidores chinos con hardware 100% chino :)) -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/522de0b6.8020...@gmail.com
Re: [OT] Re: Adios a la Seguridad?
El Mon, 09 Sep 2013 14:52:38 +, carlopmart escribió: On 09/09/13 14:23, carlopmart wrote: On 09/09/13 13:34, Camaleón wrote: (...) En fin, que sigue siendo válida la aseveración de que la seguridad no es más que un estado mental y que no existe al 100%. Es que la seguridad no existe al 100% ... nadie va a decirte, pero de que es un estado mental tampoco estoy de acuerdo. Por cierto, siempre podemos utilizar servidores chinos con hardware 100% chino :)) A eso le llamo yo ir de mal en peor X-) Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.09.09.14.55...@gmail.com
