tag:blogger.com,1999:blog-5399811056563385935.post202509119877920476..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: Círculos privadosYago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger12125tag:blogger.com,1999:blog-5399811056563385935.post-23038891142375697102011-04-05T00:18:52.556+02:002011-04-05T00:18:52.556+02:00Los problemas con este tipo de soluciones son siem...Los problemas con este tipo de soluciones son siempre los mismos.<br><br>Si has estado usando remailers, conocerás perfectamente el caso de anon.penet.fi... que no ha sido el único, pero sí uno de los más famosos e importantes.<br><br>Como siempre comentamos en seguridad, la cadena es tan fuerte como el eslabón más... no sé qué palabra usar... ¿el eslabón más judas? :)<br><br>Teniendo en cuenta que una vez dentro del "círculo" puedes hacer de forwarder o router (que se lo cuenten a Manning :)) ) pues...<br><br>El error es pretender que con tecnología vas a tener garantías de control sobre personas y vas a tener contención absoluta sobre los "leaks" de información.<br><br>Desde mi punto de vista hay que aprender de los expertos en "cazar espías" :)<br><br>Por ejemplo, es de conocimiento general que las grandes bases de datos de contactos incorporan erratas intencionadas; conociendo qué información con qué erratas ha sido propagada, sabes quién ha sido la fuente de propagación. Y no es muy técnica esta medida...<br><br>Por otro lado, tor, freenet, bouncing, ... ¿de verdad crees que por emplear ese tipo de mecanismos de ofuscación va a ser imposible rastrear el origen de una comunicación?<br><br>Hay tantos métodos indirectos de rastreo que estoy absolutamente convencido que, las agencias que se dedican a ello, tienen la típica herramienta de botón gordo...<br><br>Vamos, ya se hablaba de ello con Echelon hace quince años... seguro que "algo" habrá evolucionado todo el sistema... (sin querer parecer conspiranoico)<br><br>Y no quiero que se interprete el comentario como un "no lo hagas". Claro que soy usuario de redes con SSL, he usado y uso tor/privoxy, he usado bouncers y he usado remailers... pero no se me ocurriría poner garantías sobre todas esas piezas si de verdad me importara la información o el secreto que manejo.Román Ramírezhttp://www.rootedcon.esnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-86775448523872378862011-04-05T00:18:52.322+02:002011-04-05T00:18:52.322+02:00Según leo, habla de cuadernos OTP enviados por un ...Según leo, habla de cuadernos OTP enviados por un canal "seguro" como son direcciones postales. Supongo que es la capa de información/descifrado que falta. <br><br>Yo por mi parte conozco dicho caso, y como dices no ha sido el unico, pero no dudo de que hable de remailers variados y/o no tan publicos.<br><br>Supongo que forwarders habria al igual que los hay en la vida real, de eso no puedes huir.. pero como bien dices hay leaks que te permiten ir cerrando camino hasta dar con la semilla.<br><br>Lamentablemente se siguen usando los mismos tipos de cifrados que hace 40 años cuando la computacion era.. nula?, con las inversiones de DARPA nada más que en analizar estos tipos de cifrados.. vectores existiran. <br><br>Como dices, la tecnologia no lo es todo, el ejemplo mas claro es Fabián Escalante que protegio la vida de Fidel Castro en más de 638 intentos de asesinatos planificados con unos recursos bastante escasos comparandolos con los de la CIA de aquella epoca.<br><br>Tambien se hace en documentación interna de ciertas compañias, se añaden huellas digitales o incluso erratas en texto. <br><br>Con Tor paso exactamente eso.. con los nodos fraudulentos que se usaban para sniffar comunicaciones. Tambien hay tecnicas para sacar a alguien de la red Tor con ciertas peticiones, no dudo que en otro tipo de Redes alternativas existan dichas tecnicas. Ademas.. una red creada por los Marines..<br><br>Creo que todo dependera de la informacion que se maneje. Por ejemplo Wikileaks suele usar esteganografia, gpg, remailers.. Y como no.. envios por correo ordinario.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-63413410294121683212011-04-05T00:18:51.560+02:002011-04-05T00:18:51.560+02:00@Newlog :)@Newlog :)SiDnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-50449656625621712562010-09-29T15:40:36.375+02:002010-09-29T15:40:36.375+02:00@Newlog :)@Newlog :)SiDnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-31407260722905359132010-09-29T15:01:09.781+02:002010-09-29T15:01:09.781+02:00Buenas,
Cuando me refiero a sacar es obtener inf...Buenas, <br /><br />Cuando me refiero a sacar es obtener información del usuario real que esta detras de la red Tor. Hay varios POC/Docs sobre Tor unmasking. <br /><br />www.fortconsult.net/images/pdf/tpr_100506.pdf <br /><br /><br />web.mit.edu/tabbott/www/papers/tor.pdf<br /><br />fscked.org/talks/TorFlow-HotPETS-final.pdf<br />..Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-86775546333701007142010-09-29T14:29:33.434+02:002010-09-29T14:29:33.434+02:00Buenas,..
Estaría bien que dierais más informació...Buenas,..<br /><br />Estaría bien que dierais más información sobre las técnicas existentes para expulsar a alguien de la red TOR, suena interesante.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-84388155667499618082010-09-29T10:28:22.791+02:002010-09-29T10:28:22.791+02:00De ahí mis primeras tres líneas del comentario, qu...De ahí mis primeras tres líneas del comentario, que veo que has obviado... <br />Ya sé que no se puede asegurar que algo es 100% seguro. <br />De ahí las últimas cuatro líneas de mi comentario...Newlognoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-29516224450615303962010-09-28T18:24:15.758+02:002010-09-28T18:24:15.758+02:00Si quieres estar seguro de que no te leen... no es...Si quieres estar seguro de que no te leen... no escribas.<br /><br />La historia nos demuestra que es más fácil atacar que defender... y muchos de los que leen este blog pueden dar fe de ello.<br /><br />Asegurar en un 100% que una comunicación es segura, es tan arriesgado como asegurar que "el desembarco es en Calais".<br /><br />Todos hemos oído la frase "si alguien lo hace, otr@ lo rompe"... <br /><br />...o como le dijo el elefante a la hormiga "dame tiempo y disfruta"<br /><br />A día de hoy para la mayoría de la gente, todo canal es seguro hasta que "algo" quiere que deje de serlo.<br /><br />Saludines varios.SiDnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-50086163852231283692010-09-28T17:37:50.722+02:002010-09-28T17:37:50.722+02:00Queda alguna vía de comunicación segura?
Sí, sí,...Queda alguna vía de comunicación segura? <br /><br />Sí, sí, sí, sí... Que si búnker, que si ordenador sin conexión a internet, etc.<br /><br />Pero vosotros, si tuvieras que montar un sistema de comunicación el máximo de fiable, qué haríais? Có-có-cómo lo haríais?<br />Alguna opción que no se haya comentado?Newloghttp://www.overflowedminds.netnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-40791261134783496362010-09-28T13:00:10.058+02:002010-09-28T13:00:10.058+02:00¿Y qué ha sido de freenet? En teoría surgió como u...¿Y qué ha sido de freenet? En teoría surgió como una forma de red absolutamente anónima y no trazable, pero no he vuelto ha oir gran cosa sobre el proyecto desde hace años.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-76327449099444490272010-09-28T11:48:10.632+02:002010-09-28T11:48:10.632+02:00Según leo, habla de cuadernos OTP enviados por un ...Según leo, habla de cuadernos OTP enviados por un canal "seguro" como son direcciones postales. Supongo que es la capa de información/descifrado que falta. <br /><br />Yo por mi parte conozco dicho caso, y como dices no ha sido el unico, pero no dudo de que hable de remailers variados y/o no tan publicos.<br /><br />Supongo que forwarders habria al igual que los hay en la vida real, de eso no puedes huir.. pero como bien dices hay leaks que te permiten ir cerrando camino hasta dar con la semilla.<br /><br />Lamentablemente se siguen usando los mismos tipos de cifrados que hace 40 años cuando la computacion era.. nula?, con las inversiones de DARPA nada más que en analizar estos tipos de cifrados.. vectores existiran. <br /><br />Como dices, la tecnologia no lo es todo, el ejemplo mas claro es Fabián Escalante que protegio la vida de Fidel Castro en más de 638 intentos de asesinatos planificados con unos recursos bastante escasos comparandolos con los de la CIA de aquella epoca.<br /><br />Tambien se hace en documentación interna de ciertas compañias, se añaden huellas digitales o incluso erratas en texto. <br /><br />Con Tor paso exactamente eso.. con los nodos fraudulentos que se usaban para sniffar comunicaciones. Tambien hay tecnicas para sacar a alguien de la red Tor con ciertas peticiones, no dudo que en otro tipo de Redes alternativas existan dichas tecnicas. Ademas.. una red creada por los Marines..<br /><br />Creo que todo dependera de la informacion que se maneje. Por ejemplo Wikileaks suele usar esteganografia, gpg, remailers.. Y como no.. envios por correo ordinario.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-22172124677085323252010-09-28T09:38:51.822+02:002010-09-28T09:38:51.822+02:00Los problemas con este tipo de soluciones son siem...Los problemas con este tipo de soluciones son siempre los mismos.<br /><br />Si has estado usando remailers, conocerás perfectamente el caso de anon.penet.fi... que no ha sido el único, pero sí uno de los más famosos e importantes.<br /><br />Como siempre comentamos en seguridad, la cadena es tan fuerte como el eslabón más... no sé qué palabra usar... ¿el eslabón más judas? :)<br /><br />Teniendo en cuenta que una vez dentro del "círculo" puedes hacer de forwarder o router (que se lo cuenten a Manning :)) ) pues...<br /><br />El error es pretender que con tecnología vas a tener garantías de control sobre personas y vas a tener contención absoluta sobre los "leaks" de información.<br /><br />Desde mi punto de vista hay que aprender de los expertos en "cazar espías" :)<br /><br />Por ejemplo, es de conocimiento general que las grandes bases de datos de contactos incorporan erratas intencionadas; conociendo qué información con qué erratas ha sido propagada, sabes quién ha sido la fuente de propagación. Y no es muy técnica esta medida...<br /><br />Por otro lado, tor, freenet, bouncing, ... ¿de verdad crees que por emplear ese tipo de mecanismos de ofuscación va a ser imposible rastrear el origen de una comunicación?<br /><br />Hay tantos métodos indirectos de rastreo que estoy absolutamente convencido que, las agencias que se dedican a ello, tienen la típica herramienta de botón gordo...<br /><br />Vamos, ya se hablaba de ello con Echelon hace quince años... seguro que "algo" habrá evolucionado todo el sistema... (sin querer parecer conspiranoico)<br /><br />Y no quiero que se interprete el comentario como un "no lo hagas". Claro que soy usuario de redes con SSL, he usado y uso tor/privoxy, he usado bouncers y he usado remailers... pero no se me ocurriría poner garantías sobre todas esas piezas si de verdad me importara la información o el secreto que manejo.Román Ramírezhttp://www.rootedcon.esnoreply@blogger.com