El Wed, 22 Dec 2010 20:42:52 +0100, carlopmart escribió:
On 12/22/2010 08:21 PM, Camaleón wrote:
Hombre, ya que haces una puerta trasera, mejor hacerla bien ¿no? No debe ser muy complicado camuflar el tráfico y hacerlo pasar como legal para no hacer saltar las alarmas. Además, no tiene por qué haber tráfico de origen/destino, no se sabe qué tipo de backdoor podría ser ni de qué forma actúa... pero lo que parece claro es que tratándose del FBI y del código al que se hace referencia (ipsec) no se trataría de un simple malware que genera tráfico inusual o que lo puedes ver con un sencillo escaneo de puertos, vamos... digo yo.
Yo no digo que el backdoor no haya sido implantado y que esté muy bien camuflado. Pero me sigue soprendiendo que nadie en 10 años haya detectado nada. Ahora te pongo un ejemplo real de túneles IPSec y porqué se me hace extraño que el backdoor haya pasado así como así.
a) Tunel Ipsec entre dos firewalls: en este caso, como administrador tienes controlado por completo la ip origen y la ip destino por narices. No puedes desplegar VPNs IPSec firewall-a-firewall con IPs dinámicas, porque de entrada estás fijando en la propia configuración del túnel esas IPs. Por lo tanto, si tu tienes configurado un túnel IPsec que fluctúa de la IP 1.1.1.1 a la 2.2.2.2 y viceversa, si ves aparecer una IP 3.3.3.3, deberías preguntarte que está pasando.
b) Túnel IPsec entre firewall y roadwarriors (clientes VPNs): aquí es donde sí puede actuar el backdoor, pero deben cumplirse otras premisas. La primera es que debes utilizar "sharedkeys" (vamos un password). ¿Porqué?. El backdoor puede tener configurada una sharedkey hardcoded, de tal forma que si cualquier cliente IPSec conecta con el firewall utilizando esa sharedkey, obtendrá acceso. Si por el contrario, en tus túneles IPSec hacia roadwarriors usas certificados, el invento del backdoor desaparece, si lo has configurado correctamente, esto es: usas una CA externa y no la propia de OpenBSD que genera por defecto. Si usas la CA por defecto de OpenBSD, vuelves a estar vendido con el backdoor, por el mismo motivo que he comentado con la sharedkey, pero esta vez a nivel de certificado.
Bueno... una VPN con cortafuegos de por medio no es el escenario que imagino para llevar a cabo cualquier infiltración, más bien algún entorno no controlado u hostil como un servidor web que use certificados ssl o un host accesible mediante ssh, por ejemplo.
Naturalmente, si no despliegas monitorización en tus entornos de firewalling, un simple backdoor puede hacerte mucho daño. Pero sigo creyendo que si monitorizas IP destino e IP origen y tienes control sobre tus certificados, el backdoor (sea cual sea) es detectable. Pensemos que era el año 2000, en esa época la mayoría de "bichitos" lo que hacían respecto a IPSec era causar un DoS.
No creo que el FBI utilice puertas traseras para ejecutar ataques de denegación de servicio sino para obtener datos. Y es que es precisamente en esa época cuando a las agencias de seguridad estadounidenses les debió de entra el tembleque al abolirse la ley de exportación del cifrado fuerte.
Y para que veais que esto no solo le ocurre a OpenBSD os comentaré que siempre ha corrido el rumor de que utilizando firewalls CheckPoint, tu información iba a parar a entornos gubernamentales israelíes y/o estadounidenses... y CheckPoint es el fabricante number one de firewalls (según medios especializados), y no por eso ha dejado de venderlos.
Bueno, y con Windows y la famosa NSA ¿no? ¿Te avisan tus cortafuegos y sistemas IPS de que los clientes windows están enviando información a tus espaldas? >>:-)
El caso es que le han dado la suficiente validez al argumento como para hacerlo público. Y la historia nos demuestra que las auditorías fallan. Si estuvieran seguros al 100% lo habrían negado de forma tajante desde el principio.
Le han dado validez, principalmente porque el señor que envia el correo a Theo deRaadt estuvo involucrado en el desarrollo del OCF de forma oficial.
Es que da qué pensar... aunque creo que ha hecho en bien en publicar ese mensaje y no callarlo, le da credibilidad al propio Theo y al proyecto.
Por supuesto que no podemos estar seguros al 100%, pero ¿hay algo seguro en esta vida al 100%?
Ni si quiera estamos seguros de saber qué es eso del 100% (¿"todo" con respecto a qué? ¿qué es el "todo"?) :-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org