On 12/22/2010 10:27 PM, Camaleón wrote:
Bueno... una VPN con cortafuegos de por medio no es el escenario que imagino para llevar a cabo cualquier infiltración, más bien algún entorno no controlado u hostil como un servidor web que use certificados ssl o un host accesible mediante ssh, por ejemplo.
Pero es que el backdoor está en el OCF, componente principal de IPSec y software criptográfico. El problema no está ni con ssh ni con openssl incluso. Por eso te hablo de las VPNs IPSec: han auditado ese código y no el de openssl o ssh porque no és ese el que tiene el problema ... Es más si el problema lo tuviese el ssh, ahí si que no me creo que existiese un backdoor desde hace 10 años. Un bug, puede, un backdoor no me lo creo.
Naturalmente, si no despliegas monitorización en tus entornos de firewalling, un simple backdoor puede hacerte mucho daño. Pero sigo creyendo que si monitorizas IP destino e IP origen y tienes control sobre tus certificados, el backdoor (sea cual sea) es detectable. Pensemos que era el año 2000, en esa época la mayoría de "bichitos" lo que hacían respecto a IPSec era causar un DoS.
No creo que el FBI utilice puertas traseras para ejecutar ataques de denegación de servicio sino para obtener datos. Y es que es precisamente en esa época cuando a las agencias de seguridad estadounidenses les debió de entra el tembleque al abolirse la ley de exportación del cifrado fuerte.
Correcto, pero repito: era el año 2000. Los vectores actuales de ataque actuales distan muchísimo de los que habia entonces. Y de lo que se habla en la lista tech de openbsd implica al 100% a túneles IPSec de forma prioritaria ... Lo que se ha debatido es la extracción de datos a través de IPSec, nada más.
Y para que veais que esto no solo le ocurre a OpenBSD os comentaré que siempre ha corrido el rumor de que utilizando firewalls CheckPoint, tu información iba a parar a entornos gubernamentales israelíes y/o estadounidenses... y CheckPoint es el fabricante number one de firewalls (según medios especializados), y no por eso ha dejado de venderlos.
Bueno, y con Windows y la famosa NSA ¿no?
Si, peor hay una diferencia. ¿Que "enano mental tecnológico" pone un firewall Windows si tiene datos críticos a proteger (en el año 2000 y ahora, porque lo de windows no es de ahora, igual que CheckPoint))??. Es más, si tú no permites acceso directo a un Windows hacia Internet, ni NSA, ni nada que valga. Pero que un firewall comercial o GNU lo haga es mucho más crítico, ¿no crees?
¿Te avisan tus cortafuegos y sistemas IPS de que los clientes windows están enviando información a tus espaldas?>>:-)
Mis IPS me avisan que se está enviado información a donde no se debe, sí. Mis firewalls cortan el acceso directo de una estación de trabajo hacia Internet. Para eso están ...
El caso es que le han dado la suficiente validez al argumento como para hacerlo público. Y la historia nos demuestra que las auditorías fallan. Si estuvieran seguros al 100% lo habrían negado de forma tajante desde el principio.
Le han dado validez, principalmente porque el señor que envia el correo a Theo deRaadt estuvo involucrado en el desarrollo del OCF de forma oficial.
Es que da qué pensar... aunque creo que ha hecho en bien en publicar ese mensaje y no callarlo, le da credibilidad al propio Theo y al proyecto.
Pero también puede darte que pensar de forma inversa. Quiero decir: debido a que OpenBSD utiliza criptografía fuerte, es más utiliza algoritmos que por ejemplo en España están prohibidos y en Argentina no, ¿no será que se pretende "asustar" a los enemigos de lo ajeno y a paises no amigos?. Un dato: el HQ de OpenBSD está en Canadá y es por algo, no es pura casualidad ... Esto lo puedes pensar también a la vista de ese correo, ¿no?. Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org