Eli
312meneos

Windows Vista incluye en SP1 el sospechoso generador aleatorio de números de la NSA

«Microsoft ha incluído el Generador de números aleatorio Dual_EC-DRBG en Windows Vista, como parte del SP1. Sí, es el mismo RNG del que se sospecha que tiene una puerta trasera de la NSA. No viene activado por defecto y mi consejo es que nunca se habilite. Jamás.» Lo dice Bruce Schneier y si lo dice este tío (meneame.net/story/frases-bruce-schneier-freak-criptografia-plan-chuck-s) digo yo que algo sabe del tema, ¿no?

 48 comentarios en: tecnología, seguridad karma: 732
etiquetas: seguridad, vista, rng, nsa, espionaje, backdoor, sp1
votos negativos: 0  usuarios: 176  anónimos: 136  
  1. #1   Que fuerte. Que huevos que tienen.

    ¿Que opinan de esto los fans de windows?
    votos: 1, karma: 23
    por DZPM el 18-12-2007 00:23DZPM
  2. #2   #1 los fans de Windows no opinan, tragan.
    votos: 41, karma: 307
    por jotape el 18-12-2007 00:25jotape
  3. #3   En windows todo es sospechoso...como no tienes ni zorra de como funciona nada...
    votos: 15, karma: 123
    por Goma el 18-12-2007 00:26Goma
  4. #4   y decían que el wga era spyware xD
    votos: 4, karma: 44
    por arieloq el 18-12-2007 00:29arieloq
  5. #5   No se, pero incluir un generador de números aleatorios sospechoso de tener una puerta trasera es... eso mismo, sospechoso...

    Total, todos sabemos lo contraria que es al gente de microsoft a las puertas traseras y similares metodos de intrusión...
    votos: 0, karma: 6
    por K-M el 18-12-2007 00:30K-M
  6. #6   » ver comentario
    por --4337-- el 18-12-2007 00:32
  7. #7   #6, exacto: el código de Linux ha sido auditado miles y miles de veces por centenares de miles de expertos, fanáticos de la seguridad.

    En casos como el del cifrado, el firewall no hace nada. El bug del RNG hace que se pueda "romper" el cifrado, con muchos menos intentos: para eso no hace falta ninguna conexión.
    votos: 24, karma: 162
    por DZPM el 18-12-2007 00:34DZPM
  8. #8   Pues yo tengo puesto el Windows Vista y me lo voy a quitar y poner el XP.
    votos: 6, karma: -21
    por juengasa el 18-12-2007 00:35juengasa
  9. #9   #6 Se llaman auditorías y existen. Lo de este generador de números es una chapuza que el mismo Schneier ya comentó en su día. Es una chapuza, que nadie diga que es seguro que todo usuario de linux ha revisado el código, eso es una falacia que se cae sola. Tampoco yo redacto ni reviso las leyes, pero sin embargo me gusta elegir a mis legisladores (masoquista que soy, visto lo visto) y si no me dejaran votar seguro que protestaría. Pues aquí igual, yo no puedo verificar el código, pero me gusta saber que alguien puede hacerlo y si ve algo sucio lo dirá. Y seguramente a un usuario de Windows también le gustaría, pero eso no es posible. Y sólo peleamos para que se entienda eso: en Windows auditar el software no es posible.
    votos: 14, karma: 141
    por versvs el 18-12-2007 00:38versvs
  10. #10   Microsoft. ¿Qué dispositivo quieres que deje de funcionar con el nuevo Service Pack hoy?
    votos: 4, karma: 43
    por nembutal el 18-12-2007 00:38nembutal
  11. #11   no compredeis que la gente no sabemos traginar con el ordenador......

    bastante hacemos con meter las cositas desde algun disco :S
    votos: 4, karma: 45
    por jaz1 el 18-12-2007 01:26jaz1
  12. #12   1. no esta habilitado por defecto
    2. si los programadores de aplicaciones para windows no lo usan, no importa que este ahi

    cuando microsoft lo use por defecto en sus librerias de criptografia podeis decir lo que querais, pero esta noticia es FUD

    #3: seras tu que no tienes ni zorra, porque hay cantidad de documentacion y un huevo de gente que revisa todos los parches de microsoft para asi saber que cambios de codigo se han hecho y que bugs se han arreglado (para luego explotarlos, normalmente, pero hay de todo)
    votos: 20, karma: -68
    por sickboy el 18-12-2007 04:21sickboy
  13. #13   #10 Más bien ¿Por dónde quieres que te la metan hoy? xD

    #11 Si no sabes, debes confiar. Si no sabes elegir en quién confiar, o prefieres no elegir, alguien elegirá por ti para joderte.

    #12 Programadores tan tontos como para querer usarlo... pues que lo metan por su propia cuenta, no hace falta llenar el sistema operativo con chapuzas. Aunque claro, esa no es la mentalidad que hace actualizar Windows para incluir un bug determinado para que funcione un CD de chorradas de Disney.

    Cuando Windows lo empiece a usar, a lo mejor esperan que ya no nos acordemos de que lo metieron.
    votos: 5, karma: 49
    por JarFil el 18-12-2007 04:30JarFil
  14. #14   Ya decia yo que Sam Fisher tardaba demasiado poco en hackear los teclados.
    votos: 1, karma: 22
    por tilt el 18-12-2007 07:24tilt
  15. #15   Claramente es un sinsentido, normal que haya sospechas. Ese generador tiene peor rendimiento en cualquier aspecto, y encima es sospechoso de tener puertas traseras. ¿Para qué incluirlo? Si todavía tuviese mejor rendimiento... ¡pero es que no! Los otros son más rápidos y encima tienen la confianza de la gente.

    En fin...
    votos: 3, karma: 37
    por xenNews el 18-12-2007 08:30xenNews
  16. #16   no se ni porque se denuncian estas cosas. Todo usuario del ventanas ya sabe que su ordenador es vulnerable y puede ser facilmente espiado. Pagan para eso.
    votos: 0, karma: 13
    por Hugolp el 18-12-2007 08:37Hugolp
  17. #17   National Security Agency (NSA) mas que nada por aclarar, ya que hay gente como yo que no tenía ni idea de que significaba.
    votos: 1, karma: 18
    por valar_morghulis el 18-12-2007 08:40valar_morghulis
  18. #18   #12 Sí, es genial tener el PC lleno de cosas que comprometen tu privacidad y tu seguridad y no poder decidir si las quieres dentro o no. Usar Windows es lo más.
    votos: 6, karma: 67
    por tuseeketh el 18-12-2007 08:45tuseeketh
  19. #19   #12 "un huevo de gente que revisa todos los parches de microsoft para asi saber que cambios de codigo se han hecho y que bugs se han arreglado"

    Me pregunto cómo podrán averiguar los cambios de código puesto que Windows es privativo....
    votos: 9, karma: 97
    por CRoKaN el 18-12-2007 08:57CRoKaN
  20. #20   Aquí toma un nuevo sentido la palabra pseudoaleatoria
    votos: 6, karma: 68
    por sauco82 el 18-12-2007 09:50sauco82
  21. #21   Vaya con Microsoft, después del "gran" producto ahora con estas :((
    votos: 0, karma: 8
    por dcarrero el 18-12-2007 10:06dcarrero
  22. #22   #18 sabes la de aplicacioncillas que te vienen en un linux que no sabes ni que estan cuando instalas el base??. Para mantener la seguridad es verdad que lo mejor es tener un compilador de C en la máquina para todo usuario...... ¿que no hay spyware en linux? buff
    votos: 8, karma: -77
    por administrandosistemas el 18-12-2007 10:14administrandosistemas
  23. #23   Y digo yo, todos los usuarios que usais Linux ¿como podeis estar 100% seguros que no hay ningún sistema que te espie el ordenador? Hay gente que ha revisado el código y está limpio, ¿y si esa gente que lo ha hecho(el código entero) estan untados? ¿y si es esa misma gente la que ha puesto la puerta trasera?. Puestos a conspirar hagamos conspiraciones. No creo que haya mucha gente(por no decir nadie) que haya comprobado linia por linia todo elódigo de Linux. No se cuantas linias tendrá pero ahora estoy en un proyecto de universidad que esta chulo pero tampoco es nada del otro mundo y ya tiene 4 millones de linia programadas(no todas por mi). Si una aplicación más o menos simple ya tiene este n...  » ver todo el comentario
    votos: 7, karma: -66
    por giropau el 18-12-2007 10:19giropau
  24. #24   Hombre, realmente no creo que sea necesario mirarnos todas las lineas de código de lo que se instala en Linux, la disponibilidad del código fuente es una espada de Damocles, es posible que nadie se mire el código fuente de un programa, excepto el que lo hace, pero, y si un día a alguien le da por mirarlo y ve que hay puertas traseras o código malicioso???, la reputación de ese programador se esfumaría y la gente dejaría de usar ese programa.
    Con Windows esa posibilidad no existe, te tragas lo que te ponen y a callar, y si hay puertas traseras apechugas con ellas ya que no tienes ni siquiera la posibilidad de dejar de usar ese programa.
    votos: 4, karma: 27
    por canelo el 18-12-2007 10:27canelo
  25. #25   #23 Hablando de conspiraciones, a ver si te mirás lo de las LINIAS de investigación.

    y por cierto, ¿porque la noticia no tiene titular?
    votos: 1, karma: 21
    por elgusano el 18-12-2007 10:34elgusano
  26. #26   A mi me hace gracia que un experto tenga que decir que cuidado con habilitar no sé qué función de Windows Vista cuando éste es inherentemente inseguro. Es como preocuparse de que la cerradura de la puerta sea blindada teniendo las paredes llenas de agujeros.
    votos: 2, karma: 39
    por MiGUi el 18-12-2007 11:26MiGUi
  27. #27   #12 tiene razon, el otro dia me compre una bomba nuclear pa tenerla en casa, pero tranquilos, esta desactivada, y nadie la usa, asi que no pasa naaaaaaada....
    votos: 0, karma: 6
    por txalin el 18-12-2007 11:31txalin
  28. #28   #19: revisando el codigo compilado, que en realidad es mas o menos lo mismo que disponer del codigo cuando te acostumbras
    votos: 0, karma: 5
    por sickboy el 18-12-2007 11:52sickboy
  29. #29   #23 claro, como no tenemos nada que ocultar, pues lo dejamos todo abierto. ¡Menuda filosofía!

    ¿A ti te gusta que te graben en todo lo que haces, al estilo de gran hermano? Según tu filosofía no te debería importar, porque no hay nada que ocultar
    votos: 2, karma: 32
    por CRoKaN el 18-12-2007 11:53CRoKaN
  30. #30   bueno y digo yo, si el codigo de de windows no se puede auditar, ¿como ha conseguido saber ste hombre que tiene una puerta trasera?
    votos: 0, karma: 5
    por DamianJMiller el 18-12-2007 12:06DamianJMiller
  31. #31   #23, aprende a escribir, de la pena que da lo que has escrito has perdido cualquier credibilidad. Además, el argumento es cojonudo, como no tienes nada que esconder te la pela que HurgUen en tu ordenador... Cada paquete del código de sistemas como Debian puedes estar seguro de que está revisado por varias personas, se lleva un control de versiones bastante estricto. Linux (el kernel) tiene más de 6 millones de línEas.

    #28, ésta es cojonuda, ¿el código compilado? ¿Tienen cien mil monos mirando binario todo el día?
    votos: 2, karma: 33
    por amuchamu el 18-12-2007 12:08amuchamu
  32. #32   #22 Lástima que todas esas aplicacioncillas sean LIBRES y tenga la seguridad de que han sido auditada una y mil veces :D Además, puedo eliminar todas y cada una de ellas. Incluso puedo hacerme mi propia distro con sólo las aplicaciones que quiero.

    Casi te sale bien la jugada por eso, inténtalo de nuevo.
    votos: 4, karma: 50
    por tuseeketh el 18-12-2007 12:44tuseeketh
  33. #33   #30 Bueno te voy a dar la respuesta corta a tu pregunta, la larga y la intermedia (totalmente subjetiva, resumida y personal), espero ayudarte con estas.

    La corta: No necesito masticar chinchetas para saber que me va a doler, si son de metal y son puntiagudas lo demás es de lógica.

    La larga:
    enespanol.com.ar/2007/11/15/%C2%BFla-nsa-puso-una-puerta-trasera-en-el/
    www.kriptopolis.org/cryptome-sube-la-apuesta
    Te recomiendo que busques mas información si te interesa realmente el tema y así te formes tu propia opinión.

    La intermedia: MS-Windows incluye un generador de números aleatorios que sirve para crear "llaves" en...  » ver todo el comentario
    votos: 3, karma: 33
    por Baloo el 18-12-2007 13:11Baloo
  34. #34   #23 Erm... la noticia habla de un generador de números aleatorios, pieza clave para el buen funcionamiento de cualquier algoritmo criptográfico y el buen ocultamiento de la información. A la NSA le da risa el ocultamiento de la información, prefiere que sea visible para ella misma, conociendo la parte aleatoria de un cifrado, puede conseguir el contenido original.

    Da igual las puertas traseras que tengan los programas de un sistema, para mantenerlo muy seguro basta con controlar el acceso al mismo y mantener encriptada la información sensible, por tanto los únicos programas que se necesitan ser revisados, son aquellos que permiten comunicar al equipo con el exterior y los que trabajan con lo que se inserta por el dispositivo de entrada.

    Son bastantes, pero no significa revisar todo el SO
    votos: 1, karma: 19
    por sauco82 el 18-12-2007 13:16sauco82
  35. #35   es.wikipedia.org/wiki/NSA
    votos: 1, karma: 16
    por aort el 18-12-2007 13:39aort
  36. #36   #30 Yo me sigo haciendo cruces de que se use este sistema operativo para tratar mis datos personales en las administraciones públicas.
    votos: 0, karma: 7
    por tuseeketh el 18-12-2007 13:41tuseeketh
  37. #37   #31: es bastante facil auditar codigo compilado, mas o menos lo mismo que si fuese codigo ofuscado o simplemente feo
    votos: 2, karma: -11
    por sickboy el 18-12-2007 13:43sickboy
  38. #38   #25 –> Hablando de conspiraciones, a ver si te MIRÁS lo de las LINIAS de investigación.
    votos: 0, karma: 6
    por hannibalito el 18-12-2007 13:51hannibalito
  39. #39   #37, por favor, explícame de qué hablas cuando dices "código compilado", porque de verdad que por más que lo intento no sé a qué te refieres.
    votos: 3, karma: 34
    por amuchamu el 18-12-2007 14:17amuchamu
  40. #40   Y esto qué supone, que la cia o el fbi puede espiar o hackear todo equipo guindous vista?
    votos: 0, karma: 5
    por Ectolin el 18-12-2007 14:51Ectolin
  41. #41   #22 Te reto, dame una dirección web, una sola dirección te pido, en la que simplemente entrando sin mas, y sin requerir mas esfuerzo por mi parte, consigas copiar a mi disco una aplicación y ejecutar algo. Aunque sea abrir el CD, que era lo primero que permitia el Bo, por ejemplo.

    #40 en tres palabras: nadie lo sabe. Nadie excepto ellos, claro. Pero tu deja tiempo, que ya veras como alguien acabara haciendo publica la manera...
    votos: 2, karma: 26
    por LaInsistencia el 18-12-2007 15:08LaInsistencia
  42. #42   #22 ¿Trabajas para Microsoft o es
    votos: 0, karma: 7
    por Annihilator el 18-12-2007 15:43Annihilator
  43. #43   #39: ejecutables en general, yo solo conozco el funcionamiento de los PE, pero vamos me imagino que para otros tipos debe ser mas o menos igual de facil

    o acaso te piensas que un programa compilado funciona por arte de magia?
    votos: 4, karma: 8
    por sickboy el 18-12-2007 16:32sickboy
  44. #44   #43 Asi que tu auditas ceros y unos, no? Y como va? Cero=malo Uno=bueno? xD xD xD
    votos: 2, karma: 9
    por txalin el 18-12-2007 17:17txalin
  45. #45   #43, no me pienso que funcionan por arte de magia, pienso que son instrucciones codificadas en binario, que entienden los procesadores y ejecutan una a una. No sé por qué dices eso, pero en fin. Al menos eso me han enseñado: código fuente -> código máquina -> binario codificado.

    Entonces, dices que es posible "revisar el código compilado", es decir, los binarios, sin decompilarlos ni nada. ¿Y eso cómo se hace? Simple curiosidad, que me tienes flipando, yo nunca me pondría a mirar los binarios de un programa, sólo voy a vivir, siendo optimista, unos 80-90 años.
    votos: 2, karma: 11
    por amuchamu el 18-12-2007 18:18amuchamu
  46. #46   #44, #45:
    las instrucciones en binario se pueden traducir directamente a codigo ensamblador, si te acostumbras a leer ensamblador compilado (que no es lo mismo que el ensamblador que se programa, xq los compiladores de ensamblador suelen facilitarte mucho el trabajo) acabas reconociendo los patrones de codigo
    asi puedes reconocer facilmente una estructura de control, una clase, el tipo de llamada a funcion que se esta utilizando (dependiendo de como se pasen los parametros a la funcion), etc...

    normalmente se auditan pequeños trozos de codigo, en concreto con las actualizaciones de windows se hace un diff del binario original y el binario despues de la actualizacion y se analiza solo el...  » ver todo el comentario
    votos: 0, karma: 5
    por sickboy el 18-12-2007 20:03sickboy
  47. #47   #45 Hay programas que te extraen el codigo fuente (en ensamblador) a partir del ejecutable, y algunos llegan a hacer una aproximacion al codigo fuente original sabiendo en que lenguaje y con que compilador se hizo. Chapucera, casi ininteligible y mas bien de poca utilidad, pero ahi estan.

    Pero de todas formas, ese no es el metodo mas habitual. Lo tipico es usar un debugger para ver las llamadas a funciones del api (es mucho mas facil entender un programa si le ves "vivo"), o utilizar algun tipo de utilidad para ver que ficheros intenta abrir/leer, que envia y recibe por red, de que librerias depende...

    Un punto de apoyo, para el que quiera rebuscar un poco mas: en.wikipedia.org/wiki/Black_box_testing
    votos: 0, karma: 6
    por LaInsistencia el 19-12-2007 22:43LaInsistencia
  48. #48   #46: no tienes ni idea, no hacen una aproximacion al codigo fuente, es una traduccion directa (aunque algunos programas de pago como IDA tb te crean un diagrama de flujo separando las funciones e intentan predecir algunas cosas, otros mas cutres simplemente traducen byte a byte)

    no hay nada que interpretar ni adivinar, es solo mirar el ejecutable e ir pasando a instrucciones de asm del palo de:
    EB <byte> -> jmp short eip+byte
    E9 <dword> -> jmp dword

    etc...
    claro que hay cosas que resultan ambiguas por el funcionamiento de los compiladores, pero por lo general se entiende bastante bien (siempre que sepas asm y conozcas bien la arquitectura y el SO bajo el que corren el ejecutable)

    usar un debugger en realidad es lo mismo solo que permiten leer y modificar la memoria de un proceso en ejecucion, en realidad los desensambladores guays incluyen un debugger pero los profesionales solemos usar mas de 1 herramienta, para que sea mas sencillo
    votos: 0, karma: 5
    por sickboy el 20-12-2007 02:28sickboy
comentarios cerrados

menéame