EDICIóN GENERAL

El móvil del dueño de Amazon y Washington Post Jeff Bezos habría sido hackeado por el príncipe de Arabia Saudi [ENG]

#35 piensa mal y acertarás. Repito, todas las empresas tecnológicas de EEUU están obligadas a dar acceso a sus datos a las agencias de seguridad. Noticia de hoy:

www.meneame.net/story/planes-apple-cambian-ya-no-pasan-encriptar-compl

Otro ejemplo; el iPhone de San Bernardino "hackeado" por una empresa israelí totalmente desconocida. No es más que una excusa para no decir que usaron una de sus múltiples puertas traseras, lo cual les haría perder todo lo ganado con el marketing de "privacidad".
#38 Si vamos por frases hechas, tambien puedes decir que "Nunca atribuyas a la maldad lo que puede ser explicado por la estupidez", asi que vamos a intentar buscar otras explicaciones.

Trabajo en temas de seguridad. En mi carrera profesional he creado fallos de seguridad, he encontrado fallos de seguridad y he parcheado fallos de seguridad. Y cuando he introducido alguno, no ha sido porque la NSA me obligara de alguna forma. Y cuando he encontrado o parcheado alguno, la impresion que me he llevado no es "esto es todo un plan de la NSA para añadir puertas traseras".

Pensemos en que permite este fallo. Debido a este problema, un atacante puede impersonar a un sitio que utilice HTTPS con un certificado basado en ECC. Es un ataque extremadamente serio, pero a la vez, no tiene ningun sentido para la NSA pedir a Microsoft que introduzca esto. Por multiples razones:
- Este ataque solo permite saltarse ECDSA, pero no certificados basados en RSA. No tendria sentido tener que introducir dos puertas traseras en vez de una valida para ambos.
- Puestos a sospechar, ¿no es mucho mas facil pensar que la NSA puede tener acceso a la clave privada de alguna CA y por tanto generar certificados a todas luces autenticos, en lugar de tener que basarse en un sistema como este?

Lo que quiero decir es que si trabajara para la NSA y me pidieran introducir una puerta trasera en CAPI2, hay muchas otras opciones que consideraria antes que esta. Por simpleza, por sutileza y por eficacia.

menéame