¿Sabes cuando en las pelis amenazan con descubrir un terrible secreto si alguien no afloja la mosca? Pues alguien no ha aflojado la mosca y se ha descubierto el terrible secreto, que no es otro que los códigos fuente de un par de conocidas aplicaciones de Symantec, pcAnywhere y el antivirus Norton. Y todo porque no quisieron pagar $50.000 a un hacker.
Tras acceder a la red de Symantec y husmear por allí, YamaTough avisó a la empresa de que había encontrado algunas puertas traseras de acceso a los mencionados programas que al parecer permitirían a los Gobiernos (¡ah, malvados!) acceder sigilosamente a los ordenadores de individuos y empresas para espiarles.
...
#12:
#8Depende como te lo mires, antes si tenias PcAnywere te podia atacar el gobierno, ahora todo el mundo.Aunque hagas lo que hagas nunca sera bueno
No exactamente. Antes si tenías PCAnywere te podía atacar todo el mundo y no lo sabías. Ahora ya lo sabes.
Si éste hacker había conseguido conocer cómo eran esas puertas traseras y cómo utilizarlas eso significa que potencialmente cualquiera podía haberlo hecho.
La seguridad no se obtiene pensando que a lo mejor quizá con suerte nadie sepa que un programa es inseguro, sino haciendo públicas sus debilidades para que sean solucionadas lo antes posible y para que cualquiera pueda conocer el riesgo al que está sometido.
Lo que no hizo nada bien el hacker fue pretender cobrar cierta cantidad de dinero con la condición de no hacer públicos esos hechos. Eso sí era deleznable ya que estaba poniendo precio a la seguridad del resto de personas afectadas por este problema. Únicamente habría sido lícito si aparte del dinero también hubiera puesto como condición que cerraran esas puertas traseras, lo cual no lo indica la noticia pero bien podría ser que se hubiera omitido esa información.
#16:
#14 Error. GNU/Linux no tiene ningún backdoor, ni siquiera en EEUU. Más que nada porque es imposible que lo haya y nadie se haya enterado.
#49:
#14Todos los SO tiene backdoors y con una petición al juez pertinente la compañía tiene que dar acceso a la agencia que lo pida, al menos en los Estados Juntitos.
En este portátil que estoy usando ahora, tengo dos OS instalados: Slackware Linux y FreeBSD. No uso ningún tipo de software cerrado, así que tengo el código fuente del sistema y de las aplicaciones. Ninguno de los OS es la última versión ni mucho menos y ya no recuerdo cuando recibí los últimos avisos para reinstalar una nueva versión de algún paquete (por lo general eran bind9 y samba). Así que no, estos os no tienen puertas traseras si las tuviesen te aseguro que en los últimos años alguien que entienda el código mejor que yo, ya la habría descubierto.
Por tanto, pongo en tu conocimiento que un OS de código abierto (y muy libre) puede ser y de hecho es, revisado por muchos programadores y algunos hackers. Por otra parte muchos usuarios hacemos pruebas y test intentando romper la seguridad con herramientas muy buenas. Comprobamos la integridad de los paquetes haciendo registros en el momento de la instalación. No es posible que uno de los archivos que yo tengo "medidos y contados" aumente o disminuya de tamaño sin que me suene el beep.
Esa frase que has dicho ya la he oído cientos de veces desde que usaba (y trabajaba) con un OS llamado Unixware (que probablemente no te suene de nada) y con otros como Solaris y AS/400. Eso sobre 1989 y nunca he visto un sistema tipo UNIX con la seguridad seriamente comprometida; intentos de intrusión y escalado de privilegios, miles... conseguidos: 0 Y por supuesto ese software al que llamáis "virus" y este de la noticia que por lo visto es un "antivirus" no se que pinta tiene
Eso si, si te hace feliz pensar que todos los OS son tan sensibles e inseguros como crees. Se feliz. Hay mucha gente que cree que los blancos son superiores a los negros, los heterosexuales a los homosexuales, los cristianos a los musulmanes... algunos por ese tipo de creencias sin base científica y racional alguna, acabaron cometiendo verdaderas barbaridades en el siglo pasado.
Pero a ti seguro que no te va a pasar...
#26:
#1 Stallman tiene razón, siempre la tuvo y siempre la tendrá. El software libre es una necesidad básica.
#20:
#1 Es algo que se sabía de hace tiempo, recuerdo que en mis años universitarios (allá por 2003 o así) me interesó el tema de la red ECHELON, http://www.bibliotecapleyades.net/ciencia/echelon02.htm y cito: "..se ha sabido que el FBI (para variar) está desarrollando un nuevo troyano, llamado Magic Lintern (Linterna Mágica). Esto no sería nada nuevo si no fuese porque el propio FBI está presionando a las empresas desarrolladoras de software antivirus y antitroyanos para obligarles a que sus respectivos productos no detecten dicho troyano.
En teoría hasta ahora ninguna de estas empresas ha dado el visto bueno, aunque hay rumores de que tanto Symantec (productos Norton) como Network Associates (productos McAfee) han claudicado a las presiones el Gobierno Estadounidense. Sin embargo, su postura oficial es que sus productos no van a permitir el paso del troyano. Básicamente circulan esos rumores porque son empresas estadounidenses y porque son punteras mundialmente."
Y eso hace casi 10 años, a saber qué otras empresas andan poniendo hoy en día el culo en pompa para el FBI...
Y no es una magufada: http://es.wikipedia.org/wiki/ECHELON
Este hacker no les hizo una auditoría de seguridad, este hacker descubrió los trapos sucios que escondían bajo el código compilado. Y con esos trapos sucios quiso sacar dinero a cambio de no mostrarlos al gran público, eso lo convierte en una persona sin ningún tipo de ética y que no merece ningún respeto en ese aspecto.
Si hubiera sido un hacker que mereciera ese nombre hubiera exigido a esa empresa que cerrara esos agujeros que habían puesto de forma deliberada (ahí que aparte pidiera dinero me daría igual) o bien habría hecho lo que finalmente ha hecho éste, publicarlo y asegurarse que deja en evidencia aquellos que dejan en pelota picada a sus clientes.
#51:
#16#49 Si entendéis de compiladores y programación, os recomiendo que leáis esto: http://cm.bell-labs.com/who/ken/trust.html
Viene a decir, que aunque tengas el código fuente, y lo repases de arriba a abajo , no puedes estar seguro de qué hace el ejecutable final si no tienes también controlado el compilador.
Difícl, sí, casi imposible, pero miedito...
Tras acceder a la red de Symantec y husmear por allí, YamaTough avisó a la empresa de que había encontrado algunas puertas traseras de acceso a los mencionados programas que al parecer permitirían a los Gobiernos (¡ah, malvados!) acceder sigilosamente a los ordenadores de individuos y empresas para espiarles.
#8Depende como te lo mires, antes si tenias PcAnywere te podia atacar el gobierno, ahora todo el mundo.Aunque hagas lo que hagas nunca sera bueno
No exactamente. Antes si tenías PCAnywere te podía atacar todo el mundo y no lo sabías. Ahora ya lo sabes.
Si éste hacker había conseguido conocer cómo eran esas puertas traseras y cómo utilizarlas eso significa que potencialmente cualquiera podía haberlo hecho.
La seguridad no se obtiene pensando que a lo mejor quizá con suerte nadie sepa que un programa es inseguro, sino haciendo públicas sus debilidades para que sean solucionadas lo antes posible y para que cualquiera pueda conocer el riesgo al que está sometido.
Lo que no hizo nada bien el hacker fue pretender cobrar cierta cantidad de dinero con la condición de no hacer públicos esos hechos. Eso sí era deleznable ya que estaba poniendo precio a la seguridad del resto de personas afectadas por este problema. Únicamente habría sido lícito si aparte del dinero también hubiera puesto como condición que cerraran esas puertas traseras, lo cual no lo indica la noticia pero bien podría ser que se hubiera omitido esa información.
#12 No estoy del todo de acuerdo. 50.000 creo que es un precio razonable para una auditoría como la que les hizo el hacker ¿Cuánto tiempo y dinero les hubiera costado descubrir todas esas puertas? A nada que se hubieran puesto unos pocos programadores, casi por el mismo precio, me parece a mí.
Claro, que después de todo, en la de La Jungla 4.0 (mierdaca de película) yo estaba bastante de acuerdo con el terrorista (salvo en lo de cargarse a los hackers, que lo encontré un fallo tonto e innecesario... pero si no lo hace no sería el malo): les hace una auditoría y les quiere cobrar lo correspondiente.
Este hacker no les hizo una auditoría de seguridad, este hacker descubrió los trapos sucios que escondían bajo el código compilado. Y con esos trapos sucios quiso sacar dinero a cambio de no mostrarlos al gran público, eso lo convierte en una persona sin ningún tipo de ética y que no merece ningún respeto en ese aspecto.
Si hubiera sido un hacker que mereciera ese nombre hubiera exigido a esa empresa que cerrara esos agujeros que habían puesto de forma deliberada (ahí que aparte pidiera dinero me daría igual) o bien habría hecho lo que finalmente ha hecho éste, publicarlo y asegurarse que deja en evidencia aquellos que dejan en pelota picada a sus clientes.
#22 Totalmente de acuerdo contigo.. Lo único que queda por saber (y que nunca se sabrá) es qué hubiera hecho el hacker si le hubiesen dado el dinero.. publicarlo igualmente y quedarse el dinero para seguir dando guerra y así lograr ser el más cabrón de los buenos, o quedarse el dinero para él y ser un hijo de putapesetero.
#12 Me preocupa más que haya un backdoor en Norton Antivirus que en Pc Anywhere.
Un uso típico podría ser una firma que puesta en un troyano spyware permitiera pasar desapercibido para Norton.
#8 mentira. Antes te atacaba el gobierno cuando pensabas que ÇNADIE podia hacerlo. Ahora pasará una de dos: o sigues igual, pero sabes que no estás del todo seguro, o ellos cambian/tu cambias, y estarás nuevamente seguro, pero seguro de verdad, y no en manos de alguien que permite la entrada al gobierno a lugares donde el gobierno no tiene potestad para entrar: tu intimidad.
#9 Todos los SO tiene backdoors y con una petición al juez pertinente la compañía tiene que dar acceso a la agencia que lo pida, al menos en los Estados Juntitos.
#16 Backdoor hecho adrede no tienen, pero si sigues algún boletín de seguridad informática, verás que se pueden atacar porque frecuentemente se descubren exploits y demás que pueden llegar permitir ejecutar cualquier código, con lo que eso represente. Hace no mucho vi una noticia de una vulnerabilidad en Debian, que llevaba varios años activa y no había sido detectada ni corregida.
#21 Backdoor se define como bug de seguridad dejado expresamente abierto para el control remoto del software. Evidentemente el software libre tiene bugs de seguridad (como todo el software que existe y existirá), pero no dejados adrede.
#24#25 Yo creo que #21 más que definir lo que es cada cosa, lo que quiere decir y sobre todo si habla del fallo en Debian, es que eso de que "Más que nada porque es imposible que lo haya y nadie se haya enterado. " sólo es un mito. Si hay bugs que pasan desapercibidos durante años, cuanto más desapercibida pasará una puerta trasera intencionada y hecha expresamente para pasar desapercibida.
Para mi lo de mil ojos que vigilan es un "yo no sé/no me apetece mirar el código pero seguro que otros sí" y otros opinan lo mismo, no no saben o no miran porque creen que tú lo estás haciendo.
A eso debemos sumarle la dificultad de leer el código y sobre todo de interpretar e interrelacionar millones de líneas porque una puerta trasera no es tan fácil de encontrar.
#16#49 Si entendéis de compiladores y programación, os recomiendo que leáis esto: http://cm.bell-labs.com/who/ken/trust.html
Viene a decir, que aunque tengas el código fuente, y lo repases de arriba a abajo , no puedes estar seguro de qué hace el ejecutable final si no tienes también controlado el compilador.
Difícl, sí, casi imposible, pero miedito...
#51 Pero puedes usar compiladores libres y abiertos. Los que escribió R. Stallman no tienen instrucciones para el servicio de ninguna corporación ni gobierno que te vigile
#51
Dios, tras haberlo leído me siento como después de haber visto un truco de magia.
Que me falten meses para ser ingeniero informático y me siga sorprendiendo por cosas así no sé si dice algo bueno o malo de mí
#52 Reléelo: si uno de esos compiladores libres ha sido compilado con un compilador (valga la triple redundancia) que contenía bugs, ya sean accidentales o intencionados, los sucesivos compiladores generados a partir de éste contendrán ese bug.
Lo sorprendente es que dicho bug estaría "oculto": analizando el código fuente del programa y el código fuente del compilador seríamos incapaces de detectarlo porque de hecho no está allí.
#53, #51 a ver, a ver, os estáis liando un poco demasiado.
Un compilador, compila código a binario. Efectivamente, el compilador necesita ser compilado.
Por un lado, existen compiladores que se autocompilan, y por otro, existen compiladores directamente escritos en assembly. Para todo ello, existe software libre.
first you write an assembler in machine code
then use the assembler to write a BETTER assembler
then use the assembler to write a compiler
then use the compiler to write a BETTER compiler
then you write a python interpreter
the you code in python
#55 La mayoría de compiladores de C están escritos en C, con partes muy puntuales escritas en ensamblador. Eso quiere decir que esos compiladores han tenido que ser compilados con otro compilador anterior y así sucesivamente. Al fin y al cabo GCC está compilado con GCC, ¿no?
then use the compiler to write a BETTER compiler
Si introduces en el código de uno de esos compiladores intermedios código malicioso diseñado para reproducirse en todos los programas compilados con él y luego en el siguiente compilador lo eliminas, todos los programas compilados con los sucesivos compiladores acarrearán ese código malicioso y la única forma de encontrarlo sería analizando el código binario o estudiando todos los compiladores anteriores.
Sí, ¿no? (Puede que esté equivocado, pero me gustaría saber dónde )
P.D: Completamente de acuerdo contigo en lo de Python
#57 Es falso por la simple razón que el compilador no se limita a copiar partes de su propio código en el programa, lo genera de nuevo a partir de reglas. Y para generar ese código de nuevo no necesariamente se utiliza el código con el bug. Por lo tanto la recursión queda rota para la mayoría de los casos.
P.D. Si no entiendes lo bueno de Python, tu te lo pierdes.
#23 Vale, no lo llames backdoor. Llámalo exploit que permite generar un backdoor y que se repiten en muchas versiones de los núcleos/release de SO hasta que es demasiado evidente. Sub7 se ha podido utilizar con el mismo exploit, con habilidades lammer, desde 1999 hasta 2004 creo recordar.
Los ataques informáticos a las centrales nucleares de Irán, la red ECHELON, la petición del director del FBI de que todo software publicado tiene que tener un backdoor. Ya.
#38 ¿TODO? Mejor no veas mi directorio de ports en FreeBSD. Si tal cosa pasara en el Unix de berkeley ,el FBI al día siguiente lo comen a ataques por venganza.
Con los Unix deerivados de BSD no se juega, hay gente detrás con suficiente fuerza para tumbar al FBI de pleno.
#14Todos los SO tiene backdoors y con una petición al juez pertinente la compañía tiene que dar acceso a la agencia que lo pida, al menos en los Estados Juntitos.
En este portátil que estoy usando ahora, tengo dos OS instalados: Slackware Linux y FreeBSD. No uso ningún tipo de software cerrado, así que tengo el código fuente del sistema y de las aplicaciones. Ninguno de los OS es la última versión ni mucho menos y ya no recuerdo cuando recibí los últimos avisos para reinstalar una nueva versión de algún paquete (por lo general eran bind9 y samba). Así que no, estos os no tienen puertas traseras si las tuviesen te aseguro que en los últimos años alguien que entienda el código mejor que yo, ya la habría descubierto.
Por tanto, pongo en tu conocimiento que un OS de código abierto (y muy libre) puede ser y de hecho es, revisado por muchos programadores y algunos hackers. Por otra parte muchos usuarios hacemos pruebas y test intentando romper la seguridad con herramientas muy buenas. Comprobamos la integridad de los paquetes haciendo registros en el momento de la instalación. No es posible que uno de los archivos que yo tengo "medidos y contados" aumente o disminuya de tamaño sin que me suene el beep.
Esa frase que has dicho ya la he oído cientos de veces desde que usaba (y trabajaba) con un OS llamado Unixware (que probablemente no te suene de nada) y con otros como Solaris y AS/400. Eso sobre 1989 y nunca he visto un sistema tipo UNIX con la seguridad seriamente comprometida; intentos de intrusión y escalado de privilegios, miles... conseguidos: 0 Y por supuesto ese software al que llamáis "virus" y este de la noticia que por lo visto es un "antivirus" no se que pinta tiene
Eso si, si te hace feliz pensar que todos los OS son tan sensibles e inseguros como crees. Se feliz. Hay mucha gente que cree que los blancos son superiores a los negros, los heterosexuales a los homosexuales, los cristianos a los musulmanes... algunos por ese tipo de creencias sin base científica y racional alguna, acabaron cometiendo verdaderas barbaridades en el siglo pasado.
#49 Si hubieras leído la cadena de comentarios sabrías que rectifiqué ya que creía que el backdoor implementado por el error del CVS no llegó a publicarse en ninguna versión del kernel.
#1 Es algo que se sabía de hace tiempo, recuerdo que en mis años universitarios (allá por 2003 o así) me interesó el tema de la red ECHELON, http://www.bibliotecapleyades.net/ciencia/echelon02.htm y cito: "..se ha sabido que el FBI (para variar) está desarrollando un nuevo troyano, llamado Magic Lintern (Linterna Mágica). Esto no sería nada nuevo si no fuese porque el propio FBI está presionando a las empresas desarrolladoras de software antivirus y antitroyanos para obligarles a que sus respectivos productos no detecten dicho troyano.
En teoría hasta ahora ninguna de estas empresas ha dado el visto bueno, aunque hay rumores de que tanto Symantec (productos Norton) como Network Associates (productos McAfee) han claudicado a las presiones el Gobierno Estadounidense. Sin embargo, su postura oficial es que sus productos no van a permitir el paso del troyano. Básicamente circulan esos rumores porque son empresas estadounidenses y porque son punteras mundialmente."
Y eso hace casi 10 años, a saber qué otras empresas andan poniendo hoy en día el culo en pompa para el FBI...
Y no es una magufada: http://es.wikipedia.org/wiki/ECHELON
#1 Bastante poco interesante, estas empresas ya avisaron de esto hace algunos días #11, y dijeron que sólo afeta a versiones antiguas de los programas, y partes no esenciales. ¿50.000 € por algo clave para la seguridad? Calderilla.
A ver, tras leer la cadena de emails de #40:
- No es un hacker, es un grupo bastante organizado que vive de esto.
- Le han dado la oportunidad a la empresa de comprarlo. Cómo dicen en los mails, no pueden garantizar de ninguna manera lo que pasará con el código, pero en todo ese tiempo de negociación, se han mantenido en silencio. Además, si siempre lo publicasen, ninguna otra empresa les pagará por que sabrían que se lo publicarían de todas todas.
P.D: #40 Te votaría poditivo si pudiera.
A mi me parece bien. Un rob de guante blanco que además podía haber acabado mucho mejor para la empresa.
#40 el cachondeo que se traían con los adjuntos no es normal, parece una batallita de oficina, en vez de enviarlos el hacker debería haber pegado el path del archivo y su hash, seguramente fuese una treta para obligarle a enviar mas correos y asi tener mas posibilidades de pillarle.
Estas cosas se están dando con tanta frecuencia, y en un momento tan concreto... que parece mas bien un ataque de falsa bandera con el objetivo de poder clasificar a anonymous/lulzsec y afines como terroristas.
Os pagaremos un total de 50.000 dólares americanos. De todas formas, necesitamos tener la seguridad de que no publicaréis el código después del pago. Para ello, os pagaremos 2.500 dólares mensuales durante los tres primeros meses. Los pagos empiezan la semana que viene. Después de los tres meses, deberéis convencernos de que el código ha sido destruido, antes de que paguemos el resto.
Despues de leer las dos noticias, Me parece que fue symantec la que contacto para que no saliese el código.
#63 Estás en lo cierto Symantec intentó sobornar a los que les robaron el código para que no los publicaran. Bueno, en realidad sería el FBI el que "intentaba" que picaran... pero no hubo intento de extorsión.
Pedir el dinero por callarse estuvo feo, muy feo... Pero olé por la parte de descubrir las puertas traseras para los gobiernos y ponerlas en conocimiento de todo el mundo. Aunque el muy jodio vendía su integridad por 50.000$
Si resolver un problema tan importante de seguridad sólo cuesta 50.000 dólares, y pretenden llamarlo chantaje, yo me pregunto como se puede llamar a lo que hace esta misma empresa ofertando seguridad, algo de lo que carece. ¿Estafa?
Aquí la peña se cree que un backdoor en linux vendría marcado enter comentarios...
/*
Start backdoor
*/
El fallo de la generación de llaves en el openssl de debian era practicamente indetectable, el código lo miraban miles de personas, sólo una se dio cuenta.
Comentarios
Pues la cosa se puede poner interesante:
...
Tras acceder a la red de Symantec y husmear por allí, YamaTough avisó a la empresa de que había encontrado algunas puertas traseras de acceso a los mencionados programas que al parecer permitirían a los Gobiernos (¡ah, malvados!) acceder sigilosamente a los ordenadores de individuos y empresas para espiarles.
...
#1 Oh! sorpresa!
#2 creo que todos nos imaginamos esto. En manos del FBI mal, muy mal, pero ahora en manos de cualquiera, miedito!
#1 Pues entonces hizo bien.
#3 Depende como te lo mires, antes si tenias PcAnywere te podia atacar el gobierno, ahora todo el mundo.Aunque hagas lo que hagas nunca sera bueno
#8 Depende como te lo mires, antes si tenias PcAnywere te podia atacar el gobierno, ahora todo el mundo.Aunque hagas lo que hagas nunca sera bueno
No exactamente. Antes si tenías PCAnywere te podía atacar todo el mundo y no lo sabías. Ahora ya lo sabes.
Si éste hacker había conseguido conocer cómo eran esas puertas traseras y cómo utilizarlas eso significa que potencialmente cualquiera podía haberlo hecho.
La seguridad no se obtiene pensando que a lo mejor quizá con suerte nadie sepa que un programa es inseguro, sino haciendo públicas sus debilidades para que sean solucionadas lo antes posible y para que cualquiera pueda conocer el riesgo al que está sometido.
Lo que no hizo nada bien el hacker fue pretender cobrar cierta cantidad de dinero con la condición de no hacer públicos esos hechos. Eso sí era deleznable ya que estaba poniendo precio a la seguridad del resto de personas afectadas por este problema. Únicamente habría sido lícito si aparte del dinero también hubiera puesto como condición que cerraran esas puertas traseras, lo cual no lo indica la noticia pero bien podría ser que se hubiera omitido esa información.
#12 No estoy del todo de acuerdo. 50.000 creo que es un precio razonable para una auditoría como la que les hizo el hacker ¿Cuánto tiempo y dinero les hubiera costado descubrir todas esas puertas? A nada que se hubieran puesto unos pocos programadores, casi por el mismo precio, me parece a mí.
Claro, que después de todo, en la de La Jungla 4.0 (mierdaca de película) yo estaba bastante de acuerdo con el terrorista (salvo en lo de cargarse a los hackers, que lo encontré un fallo tonto e innecesario... pero si no lo hace no sería el malo): les hace una auditoría y les quiere cobrar lo correspondiente.
#13 ¿Descubrir esas puertas?
¡Si las pusieron ellos!
Este hacker no les hizo una auditoría de seguridad, este hacker descubrió los trapos sucios que escondían bajo el código compilado. Y con esos trapos sucios quiso sacar dinero a cambio de no mostrarlos al gran público, eso lo convierte en una persona sin ningún tipo de ética y que no merece ningún respeto en ese aspecto.
Si hubiera sido un hacker que mereciera ese nombre hubiera exigido a esa empresa que cerrara esos agujeros que habían puesto de forma deliberada (ahí que aparte pidiera dinero me daría igual) o bien habría hecho lo que finalmente ha hecho éste, publicarlo y asegurarse que deja en evidencia aquellos que dejan en pelota picada a sus clientes.
#22 Totalmente de acuerdo contigo.. Lo único que queda por saber (y que nunca se sabrá) es qué hubiera hecho el hacker si le hubiesen dado el dinero.. publicarlo igualmente y quedarse el dinero para seguir dando guerra y así lograr ser el más cabrón de los buenos, o quedarse el dinero para él y ser un
hijo de putapesetero.#12 Me preocupa más que haya un backdoor en Norton Antivirus que en Pc Anywhere.
Un uso típico podría ser una firma que puesta en un troyano spyware permitiera pasar desapercibido para Norton.
#8 mentira. Antes te atacaba el gobierno cuando pensabas que ÇNADIE podia hacerlo. Ahora pasará una de dos: o sigues igual, pero sabes que no estás del todo seguro, o ellos cambian/tu cambias, y estarás nuevamente seguro, pero seguro de verdad, y no en manos de alguien que permite la entrada al gobierno a lugares donde el gobierno no tiene potestad para entrar: tu intimidad.
#3 Lógica alucinante.
#1 Acaso tenías alguna duda de la colaboración de Microsoft (y de las empresas que viven exclusivamente de MS) con los gobiernos ??
#9 Todos los SO tiene backdoors y con una petición al juez pertinente la compañía tiene que dar acceso a la agencia que lo pida, al menos en los Estados Juntitos.
#14 Error. GNU/Linux no tiene ningún backdoor, ni siquiera en EEUU. Más que nada porque es imposible que lo haya y nadie se haya enterado.
#16 Cierto. El error de CVS no se llegó a publicar en ninguna distrución del Kernel. Dejémoslo en SO corporativos.
#74 Ya he dicho en #18 que le tengo puesta una gomilla, hay pocas posibilidades de que se caiga.
#16 Backdoor hecho adrede no tienen, pero si sigues algún boletín de seguridad informática, verás que se pueden atacar porque frecuentemente se descubren exploits y demás que pueden llegar permitir ejecutar cualquier código, con lo que eso represente. Hace no mucho vi una noticia de una vulnerabilidad en Debian, que llevaba varios años activa y no había sido detectada ni corregida.
#21 Backdoor se define como bug de seguridad dejado expresamente abierto para el control remoto del software. Evidentemente el software libre tiene bugs de seguridad (como todo el software que existe y existirá), pero no dejados adrede.
#24 Bug se define como un error o fallo no intencionado de programación. Si es intencionado no es un bug.
#25 Vamos que lo de Urdangarín no cuela como bug.
#25 Cierto.
#24 #25 Yo creo que #21 más que definir lo que es cada cosa, lo que quiere decir y sobre todo si habla del fallo en Debian, es que eso de que "Más que nada porque es imposible que lo haya y nadie se haya enterado. " sólo es un mito. Si hay bugs que pasan desapercibidos durante años, cuanto más desapercibida pasará una puerta trasera intencionada y hecha expresamente para pasar desapercibida.
Para mi lo de mil ojos que vigilan es un "yo no sé/no me apetece mirar el código pero seguro que otros sí" y otros opinan lo mismo, no no saben o no miran porque creen que tú lo estás haciendo.
A eso debemos sumarle la dificultad de leer el código y sobre todo de interpretar e interrelacionar millones de líneas porque una puerta trasera no es tan fácil de encontrar.
#16 #49 Si entendéis de compiladores y programación, os recomiendo que leáis esto:
http://cm.bell-labs.com/who/ken/trust.html
Viene a decir, que aunque tengas el código fuente, y lo repases de arriba a abajo , no puedes estar seguro de qué hace el ejecutable final si no tienes también controlado el compilador.
Difícl, sí, casi imposible, pero miedito...
#51 Pero puedes usar compiladores libres y abiertos. Los que escribió R. Stallman no tienen instrucciones para el servicio de ninguna corporación ni gobierno que te vigile
#51
Dios, tras haberlo leído me siento como después de haber visto un truco de magia.
Que me falten meses para ser ingeniero informático y me siga sorprendiendo por cosas así no sé si dice algo bueno o malo de mí
#52 Reléelo: si uno de esos compiladores libres ha sido compilado con un compilador (valga la triple redundancia) que contenía bugs, ya sean accidentales o intencionados, los sucesivos compiladores generados a partir de éste contendrán ese bug.
Lo sorprendente es que dicho bug estaría "oculto": analizando el código fuente del programa y el código fuente del compilador seríamos incapaces de detectarlo porque de hecho no está allí.
#53, #51 a ver, a ver, os estáis liando un poco demasiado.
Un compilador, compila código a binario. Efectivamente, el compilador necesita ser compilado.
Por un lado, existen compiladores que se autocompilan, y por otro, existen compiladores directamente escritos en assembly. Para todo ello, existe software libre.
first you write an assembler in machine code
then use the assembler to write a BETTER assembler
then use the assembler to write a compiler
then use the compiler to write a BETTER compiler
then you write a python interpreter
the you code in python
#55 La mayoría de compiladores de C están escritos en C, con partes muy puntuales escritas en ensamblador. Eso quiere decir que esos compiladores han tenido que ser compilados con otro compilador anterior y así sucesivamente. Al fin y al cabo GCC está compilado con GCC, ¿no?
then use the compiler to write a BETTER compiler
Si introduces en el código de uno de esos compiladores intermedios código malicioso diseñado para reproducirse en todos los programas compilados con él y luego en el siguiente compilador lo eliminas, todos los programas compilados con los sucesivos compiladores acarrearán ese código malicioso y la única forma de encontrarlo sería analizando el código binario o estudiando todos los compiladores anteriores.
Sí, ¿no? (Puede que esté equivocado, pero me gustaría saber dónde )
P.D: Completamente de acuerdo contigo en lo de Python
#57 Es falso por la simple razón que el compilador no se limita a copiar partes de su propio código en el programa, lo genera de nuevo a partir de reglas. Y para generar ese código de nuevo no necesariamente se utiliza el código con el bug. Por lo tanto la recursión queda rota para la mayoría de los casos.
P.D. Si no entiendes lo bueno de Python, tu te lo pierdes.
#62 Se me ha olvidado referenciarte en #70
#14 Hola, eso que dice es falso. Los ordenadores no deben tener un backdoors y Windows tampoco debe tenerlo. De hecho, es ilegal.
#23 Vale, no lo llames backdoor. Llámalo exploit que permite generar un backdoor y que se repiten en muchas versiones de los núcleos/release de SO hasta que es demasiado evidente. Sub7 se ha podido utilizar con el mismo exploit, con habilidades lammer, desde 1999 hasta 2004 creo recordar.
#14 Se te ha caido el gorro de aluminio.
#36 No, tranquilo. Le tengo puesto una gomilla.
Los ataques informáticos a las centrales nucleares de Irán, la red ECHELON, la petición del director del FBI de que todo software publicado tiene que tener un backdoor. Ya.
#38 ¿TODO? Mejor no veas mi directorio de ports en FreeBSD. Si tal cosa pasara en el Unix de berkeley ,el FBI al día siguiente lo comen a ataques por venganza.
Con los Unix deerivados de BSD no se juega, hay gente detrás con suficiente fuerza para tumbar al FBI de pleno.
#14 Todos los SO tiene backdoors y con una petición al juez pertinente la compañía tiene que dar acceso a la agencia que lo pida, al menos en los Estados Juntitos.
En este portátil que estoy usando ahora, tengo dos OS instalados: Slackware Linux y FreeBSD. No uso ningún tipo de software cerrado, así que tengo el código fuente del sistema y de las aplicaciones. Ninguno de los OS es la última versión ni mucho menos y ya no recuerdo cuando recibí los últimos avisos para reinstalar una nueva versión de algún paquete (por lo general eran bind9 y samba). Así que no, estos os no tienen puertas traseras si las tuviesen te aseguro que en los últimos años alguien que entienda el código mejor que yo, ya la habría descubierto.
Por tanto, pongo en tu conocimiento que un OS de código abierto (y muy libre) puede ser y de hecho es, revisado por muchos programadores y algunos hackers. Por otra parte muchos usuarios hacemos pruebas y test intentando romper la seguridad con herramientas muy buenas. Comprobamos la integridad de los paquetes haciendo registros en el momento de la instalación. No es posible que uno de los archivos que yo tengo "medidos y contados" aumente o disminuya de tamaño sin que me suene el beep.
Esa frase que has dicho ya la he oído cientos de veces desde que usaba (y trabajaba) con un OS llamado Unixware (que probablemente no te suene de nada) y con otros como Solaris y AS/400. Eso sobre 1989 y nunca he visto un sistema tipo UNIX con la seguridad seriamente comprometida; intentos de intrusión y escalado de privilegios, miles... conseguidos: 0 Y por supuesto ese software al que llamáis "virus" y este de la noticia que por lo visto es un "antivirus" no se que pinta tiene
Eso si, si te hace feliz pensar que todos los OS son tan sensibles e inseguros como crees. Se feliz. Hay mucha gente que cree que los blancos son superiores a los negros, los heterosexuales a los homosexuales, los cristianos a los musulmanes... algunos por ese tipo de creencias sin base científica y racional alguna, acabaron cometiendo verdaderas barbaridades en el siglo pasado.
Pero a ti seguro que no te va a pasar...
#49 Si hubieras leído la cadena de comentarios sabrías que rectifiqué ya que creía que el backdoor implementado por el error del CVS no llegó a publicarse en ninguna versión del kernel.
#68 #49 ...del CVS llegó a publicarse...
#14 disculpe señor, se le ha caído el gorrito de aluminio para protegerse de los lectores de mentes y ataques extraterrestres.
#1 Es algo que se sabía de hace tiempo, recuerdo que en mis años universitarios (allá por 2003 o así) me interesó el tema de la red ECHELON, http://www.bibliotecapleyades.net/ciencia/echelon02.htm y cito:
"..se ha sabido que el FBI (para variar) está desarrollando un nuevo troyano, llamado Magic Lintern (Linterna Mágica). Esto no sería nada nuevo si no fuese porque el propio FBI está presionando a las empresas desarrolladoras de software antivirus y antitroyanos para obligarles a que sus respectivos productos no detecten dicho troyano.
En teoría hasta ahora ninguna de estas empresas ha dado el visto bueno, aunque hay rumores de que tanto Symantec (productos Norton) como Network Associates (productos McAfee) han claudicado a las presiones el Gobierno Estadounidense. Sin embargo, su postura oficial es que sus productos no van a permitir el paso del troyano. Básicamente circulan esos rumores porque son empresas estadounidenses y porque son punteras mundialmente."
Y eso hace casi 10 años, a saber qué otras empresas andan poniendo hoy en día el culo en pompa para el FBI...
Y no es una magufada: http://es.wikipedia.org/wiki/ECHELON
#1 Stallman tiene razón, siempre la tuvo y siempre la tendrá. El software libre es una necesidad básica.
#1 Bastante poco interesante, estas empresas ya avisaron de esto hace algunos días #11, y dijeron que sólo afeta a versiones antiguas de los programas, y partes no esenciales. ¿50.000 € por algo clave para la seguridad? Calderilla.
Yalopongoyo http://pastebin.com/GJEKf1T9
A ver, tras leer la cadena de emails de #40:
- No es un hacker, es un grupo bastante organizado que vive de esto.
- Le han dado la oportunidad a la empresa de comprarlo. Cómo dicen en los mails, no pueden garantizar de ninguna manera lo que pasará con el código, pero en todo ese tiempo de negociación, se han mantenido en silencio. Además, si siempre lo publicasen, ninguna otra empresa les pagará por que sabrían que se lo publicarían de todas todas.
P.D: #40 Te votaría poditivo si pudiera.
A mi me parece bien. Un rob de guante blanco que además podía haber acabado mucho mejor para la empresa.
#40 Haberte explicado mejor, he pasado por encima sin enterarme hasta que #44 lo ha dicho (le he votado positivo por ti)
#40 el cachondeo que se traían con los adjuntos no es normal, parece una batallita de oficina, en vez de enviarlos el hacker debería haber pegado el path del archivo y su hash, seguramente fuese una treta para obligarle a enviar mas correos y asi tener mas posibilidades de pillarle.
Estas cosas se están dando con tanta frecuencia, y en un momento tan concreto... que parece mas bien un ataque de falsa bandera con el objetivo de poder clasificar a anonymous/lulzsec y afines como terroristas.
Los virus mas peligrosos son estos programas de mierda conocidos como "antivirus".
Relacionada:
Symantec alerta tras el robo del código fuente: «los usuarios deben desactivar pcAnywhere»
Symantec alerta tras el robo del código fuente: «l...
alt1040.comToda la discusión viene a raíz de este artículo de Ken Thompson: http://cm.bell-labs.com/who/ken/trust.html
Deberías echarle un ojo
P.D. Si no entiendes lo bueno de Python, tu te lo pierdes.
¿De dónde te sacas eso? ¡Pero si Python es mi lenguaje de cabecera!
#70
Gracias por el paper, lo pondré en el altar junto al resto de los textos sagrados.
#72 No sé si estás de coña o no...
#75 Si y no. No es que tenga un altar para los padres de Unix/C pero poco me falta.
Que horror el Norton, no creo que nadie quiera copiar ese codigo fuente
a ver si ahora que el codigo es publico, la comunidad se anima y les arregla semejante verguenza de antivirus, por caridad, o algo.
es más creible que la propia symantec le ofreciera 50.000€ para ver si picaba y asi el FBI podía rastrear al hacker.
50000? Amaters...
No ha puesto nadie el pastebin con los correos filtrados?
Y luego que si soy un paranoico. Y una mierda. El software libre es tu amigo.
Se filtra el código de pcAnywhere: Negociaciones, extorsión y recompensas en una historia de película
Se filtra el código de pcAnywhere: Negociaciones, ...
bitelia.comOs pagaremos un total de 50.000 dólares americanos. De todas formas, necesitamos tener la seguridad de que no publicaréis el código después del pago. Para ello, os pagaremos 2.500 dólares mensuales durante los tres primeros meses. Los pagos empiezan la semana que viene. Después de los tres meses, deberéis convencernos de que el código ha sido destruido, antes de que paguemos el resto.
Despues de leer las dos noticias, Me parece que fue symantec la que contacto para que no saliese el código.
#63 Estás en lo cierto Symantec intentó sobornar a los que les robaron el código para que no los publicaran. Bueno, en realidad sería el FBI el que "intentaba" que picaran... pero no hubo intento de extorsión.
Pedir el dinero por callarse estuvo feo, muy feo... Pero olé por la parte de descubrir las puertas traseras para los gobiernos y ponerlas en conocimiento de todo el mundo. Aunque el muy jodio vendía su integridad por 50.000$
Yo aquí no veo a ningún hacker.
Es una buena empresa de seguridad si es el propio antivirus quien te instala puertas traseras
"Y todo porque no quisieron pagar $50.000 a un hacker"
Más bien será "y todo porque no quisieron pagar 50000 a un hacker que mañana podría pedir otros 1000000000, o publicar el código de todas formas".
#41 La calidad del artículo del blog es penosa, el escritor intenta dar una imagen de enrollado, pero la caga.
De lo que me alegro es de que lo haya publicado y se haya sabido. Ya estoy deseando tener los fuentes descargados para verlo con mis propios ojos.
Un buena jugada habría sido sacarles los 50.000 o más y luego publicarlo igualmente....que se jodan.
estos son hackers como los de antes
¿Y dónde dice lo del backdoor aparte de aquí? Porque no lo veo por ningún lado en las noticias enlazadas ni buscando en Google.
Yo sustitruiría el "...permitirían a los Gobiernos..." por "...permiten a los Gobiernos...".
Lo que es sorprendente es que alguien use Norton...
Best seller
Si resolver un problema tan importante de seguridad sólo cuesta 50.000 dólares, y pretenden llamarlo chantaje, yo me pregunto como se puede llamar a lo que hace esta misma empresa ofertando seguridad, algo de lo que carece. ¿Estafa?
Este tio no solo no ha conseguido nada, si no que les ha ahorrado varios millones a los Symantec. Ahora saben lo que tienen que arreglar.
Suena la sirena de la buambulancia
Aquí la peña se cree que un backdoor en linux vendría marcado enter comentarios...
/*
Start backdoor
*/
El fallo de la generación de llaves en el openssl de debian era practicamente indetectable, el código lo miraban miles de personas, sólo una se dio cuenta.
Seguro que Urdangarín tiene algo que ver.