Re: [Lista Criptica] Wikileaks revela exploits de la CIA

Delete this message

Reply to this message
Author: vdo
Date:  
To: list_criptica
New-Topics: Re: [Lista Criptica] Wikileaks revela exploits de la CIA
Subject: Re: [Lista Criptica] Wikileaks revela exploits de la CIA
On 08/03/17 14:18, doppel wrote:
> Hola,
>
> Hello CIA (please, use a translator),
>
> como supongo que la mayoría sabréis, Wikileaks puso ayer a disposición
> del público unos 8.000 documentos clasificados de la CIA [1], los cuales
> contienen múltiples exploits aprovechados por la agencia para penetrar
> en diferentes tipos de dispositivos (incluidos coches autónomos!). En su
> nota de prensa, Wikileaks ha afirmado lo siguiente: "The CIA had
> created, in effect, its "own NSA" with even less accountability and
> without publicly answering the question as to whether such a massive
> budgetary spend on duplicating the capacities of a rival agency could be
> justified".
>
> En declaraciones a TechCrunch [2], Apple ha declarado que en iOS 10 se
> parcheó una parte significativa de los exploits revelados, conque el 80%
> de usuarios que dicen desde Apple que tienen descargada la última
> versión del SO, están (oficialmente) "protegidos". Y creo que esto abre
> diferentes "capas" de discusión (que me gustaría plantear aquí):
>
> 1) Las actualizaciones de seguridad "voluntarias" hacen que una parte de
> los usuarios (el 20%) quede completamente desprotegido. Nuevamente, la
> seguridad, si no es por defecto (solamente "opcional") conduce a
> situaciones como esta, en la que el gran público queda desprovisto de
> toda defensa.


Esto, o lo contrario. Actulizaciones automáticas pueden utilizarse para
introducir vulnerabilidades o backdoors sin conocimiento.
El problema del código cerrado, lo que instalas es cuestión de fe.

> 2) Obsolescencia programada: Apple solamente permite actualizar a la
> última versión de iOS en un número limitado de dispositivos (creo que a
> partir del iPhone 5). Así que un buen número de personas que no tengan
> los nuevos modelos quedarán nuevamente expuestas (deduzco que ese "80%
> de actualizados" del que hablan desde Apple es solamente del número de
> dispositivos que, aún pudiéndose actualizar, no lo han hecho -- no del
> total de dispositivos móviles de Apple).
>
> 3) Posible incompatibilidad entre 1) y 3) -- ¿quizás el hardware de
> determinados dispositivos no "tira" lo suficiente como para poder
> instalar las nuevas actualizaciones? Esto es un problema (creo)
> inherente a los smartphones o, como mínimo, que los lastra notablemente
> (ya que nos encontramos atrapados en un paradigma en el que aparecen
> teléfonos cada vez más potentes, que no pueden ser seguidos por las
> versiones "anticuadas" [3~ años]). No veo una solución fácil.
>
> 4) Por lo que dicen, desde TechCrunch también han preguntado por los
> exploits de la CIA para Android, pero Google no ha ni contestado. Parece
> realmente que Google "pasa" completamente de molestarse en crear un SO
> para smartphones mínimamente decente. Lo mínimo sería "fingir" una
> preocupación (como hace Apple). Pero ni por esas. Parece que los
> usuarios de Android sean usuarios "de segunda".


En general, parece que muchos expertos (incluido Snowden) confían mas en
la seguridad de los dispositivos Apple que los Android. Como muestra el
cifrado de los datos, el cual es bastante más débil en el caso de Android.
Sin embargo, mi intuición es que la solución pasaría por un "Android sin
Google" que fuera 'hardened', open source y no fuera mantenido por una
corporación en particular (pero que tampoco sea un 'tipi' de 4 geeks,
como Replicant)
Véase el caso del kernel de Linux, por ejemplo. No es el paradigma de la
seguridad pero hay cierta trazabilidad y posibilidad de auditar el
código independientemente.

Algo parecido a copperheadOS, para todo tipo de dispositivos, quizà?
Lineage?

Soñar es gratis y, de momento, privado ;)


> --
>
> [1]: https://wikileaks.org/ciav7p1/
> [2]:
> https://techcrunch.com/2017/03/07/apple-says-most-vulnerabilities-in-wikileaks-docs-are-already-patched/
> _______________________________________________
> list_criptica mailing list
> list_criptica@???
> Lista de correo de debate de Criptica
>