On 12/22/2010 08:21 PM, Camaleón wrote:
El Wed, 22 Dec 2010 19:57:07 +0100, carlopmart escribió:
On 12/22/2010 07:47 PM, Camaleón wrote:
Parece que no es tan sencillo (lo comentaban en las listas de openbsd, nada más salir la nota de Theo):
http://marc.info/?l=openbsd-tech&m=129239597623617&w=2 http://marc.info/?l=openbsd-tech&m=129241079106944&w=2
No es sencillo el controlar el flujo de datos generados por la claves. Yo te comento el comprobar el tráfico origen y destino, no los key data.
Hombre, ya que haces una puerta trasera, mejor hacerla bien ¿no? No debe ser muy complicado camuflar el tráfico y hacerlo pasar como legal para no hacer saltar las alarmas. Además, no tiene por qué haber tráfico de origen/destino, no se sabe qué tipo de backdoor podría ser ni de qué forma actúa... pero lo que parece claro es que tratándose del FBI y del código al que se hace referencia (ipsec) no se trataría de un simple malware que genera tráfico inusual o que lo puedes ver con un sencillo escaneo de puertos, vamos... digo yo.
Yo no digo que el backdoor no haya sido implantado y que esté muy bien camuflado. Pero me sigue soprendiendo que nadie en 10 años haya detectado nada. Ahora te pongo un ejemplo real de túneles IPSec y porqué se me hace extraño que el backdoor haya pasado así como así. a) Tunel Ipsec entre dos firewalls: en este caso, como administrador tienes controlado por completo la ip origen y la ip destino por narices. No puedes desplegar VPNs IPSec firewall-a-firewall con IPs dinámicas, porque de entrada estás fijando en la propia configuración del túnel esas IPs. Por lo tanto, si tu tienes configurado un túnel IPsec que fluctúa de la IP 1.1.1.1 a la 2.2.2.2 y viceversa, si ves aparecer una IP 3.3.3.3, deberías preguntarte que está pasando. b) Túnel IPsec entre firewall y roadwarriors (clientes VPNs): aquí es donde sí puede actuar el backdoor, pero deben cumplirse otras premisas. La primera es que debes utilizar "sharedkeys" (vamos un password). ¿Porqué?. El backdoor puede tener configurada una sharedkey hardcoded, de tal forma que si cualquier cliente IPSec conecta con el firewall utilizando esa sharedkey, obtendrá acceso. Si por el contrario, en tus túneles IPSec hacia roadwarriors usas certificados, el invento del backdoor desaparece, si lo has configurado correctamente, esto es: usas una CA externa y no la propia de OpenBSD que genera por defecto. Si usas la CA por defecto de OpenBSD, vuelves a estar vendido con el backdoor, por el mismo motivo que he comentado con la sharedkey, pero esta vez a nivel de certificado. Naturalmente, si no despliegas monitorización en tus entornos de firewalling, un simple backdoor puede hacerte mucho daño. Pero sigo creyendo que si monitorizas IP destino e IP origen y tienes control sobre tus certificados, el backdoor (sea cual sea) es detectable. Pensemos que era el año 2000, en esa época la mayoría de "bichitos" lo que hacían respecto a IPSec era causar un DoS. Y para que veais que esto no solo le ocurre a OpenBSD os comentaré que siempre ha corrido el rumor de que utilizando firewalls CheckPoint, tu información iba a parar a entornos gubernamentales israelíes y/o estadounidenses... y CheckPoint es el fabricante number one de firewalls (según medios especializados), y no por eso ha dejado de venderlos.
Si es raro desde el punto de vista que el código de OpenBSD "suele" estar auditado y el volumen de desarrolladores no es tan alto como en linux y además se sabe quienes son, amén de que no puedes ir haciendo cambios a las "bravas" en el código, el mismo Theo pone unos filtros muy exigentes. Naturalmente si eso ha ocurrido, los filtros han fallado.
El caso es que le han dado la suficiente validez al argumento como para hacerlo público. Y la historia nos demuestra que las auditorías fallan. Si estuvieran seguros al 100% lo habrían negado de forma tajante desde el principio.
Saludos,
Le han dado validez, principalmente porque el señor que envia el correo a Theo deRaadt estuvo involucrado en el desarrollo del OCF de forma oficial. Por supuesto que no podemos estar seguros al 100%, pero ¿hay algo seguro en esta vida al 100%? Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org