El Estado Mayor Conjunto y Microsoft

[groboko]

Supuesto Backdoor en el generador de números seudo-aleatorios. Digo supuesto porque YO no lo comprobé todavía.

En Wikipedia

Código [Seleccionar] Expandir

http://en.wikipedia.org/wiki/Dual_EC_DRBG
En Charinga

Código [Seleccionar] Expandir

http://new.taringa.net/posts/info/1300073/El-Megaespionaje-de-la-NSA-y-Microsoft.html

Y cito: Los generadores de números aleatorios son críticos para la criptografía y si pueden ser "rotos" también puede serlo toda la seguridad del sistema.

El Dual-EC-DRBG, impulsado por la NSA, no sólo es 3 órdenes de magnitud más lento que otros generadores, sino que, aparentemente, contiene una debilidad que sólo puede ser descripta como un backdoor.

Así es como podría funcionar:

El generador tiene una serie de constantes usadas para definir la curva elíptica del algoritmo. En ningún lado se explica de dónde salen esas constantes.

Dos criptólogos demostraron en el evento CRYPTO 2007 que esos números tienen una relación con un segundo grupo secreto de números que actúan como un tipo de esqueleto de claves. Si uno conoce esos números secretos puede predecir cuál será la salida del generador después de recoger sólo sus primeros 32 bits.

En términos reales, eso significa que uno sólo necesita monitorear una conexión TLS de Internet encriptada para romper la seguridad de ese protocolo. Si uno conoce los números secretos puede romper completamente cualquier instancia del Dual-EC-DRBG.
Fuente:

Código [Seleccionar] Expandir

http://www.schneier.com/essay-198.html

[ZeiterZ]

Buenísimo tu aporte, groboko.

Información valiosa para todas aquellas personas que están ajenas a entretelones de lo que sucede "con la informática".... y todo lo hay detrás.

Espero que estos datos lleguen a quienes deban llegar y les ayude a no tomar las cosas tan a la ligera.

Aunque algunos sigan esperando ver a Bill Gates hurgando en su computadora para creerlo.

Saludos y gracias por tu "monólogo". 

[frhfpwimb]

buena info groboko,
hironicamente es un problema similar al que tuvo debian,
y bajo el mismo criterio podria decir que "linux tiene puertas traseras".

Obviamente no soy de esa postura...

[Goico]

El backdoor de Microsoft y la NSA es un hecho! no se puede negar!!!!!!!!
http://www.heise.de/tp/r4/artikel/5/5263/1.html
Existio, y es una verguenza a nivel mundial


Saludos

[ZeiterZ]

buena info groboko,
hironicamente es un problema similar al que tuvo debian,
y bajo el mismo criterio podria decir que "linux tiene puertas traseras".

Podrías decirlo con toda tranquilidad... corriendo el riesgo de caer en el ridículo.


Ningún proyecto de software está exento de tener bugs, vulnerabilidades y puertas traseras.


La diferencia sideral, inconmensurable, abismal, horrenda, desopilante y lapidaria es que confundes "puerta trasera" (como la de Microsoft con la "ayuda" de la inocente NSA) y una "vulnerabilidad" (como la de Debian SSH producida porque un programador "comentó" unas líneas de código que daban error)


Las puertas traseras son dejadas a propósito. Las vulnerabilidades no son intencionales.


Y aún concediéndote que la vulnerabilidad de SSH haya sido hecha a propósito, quien leyera el código fuente podría detectarla.... tal como terminó sucediendo.


En el caso de Microsoft se lo descubrió "de casualidad" y se hizo público.


Y vaya a saber cuántas "sorpresas" más tiene el software cerrado y que no se puede descubrir tan "fácilmente" como leyendo el código.


"Sutil" diferencia.

[groboko]

Código [Seleccionar] Expandir

According to Fernandez of Cryptonym, the result of having the secret key inside your Windows operating system "is that it is tremendously easier for the NSA to load unauthorized security services on all copies of Microsoft Windows, and once these security services are loaded, they can effectively compromise your entire operating system". The NSA key is contained inside all versions of Windows from Windows 95 OSR2 onwards.


Esto significa que bajo la excusa del terrorismo tenés full backup gratis en la NSA  para empezar.