[CuritibaLivre] Olha só porque eu não uso Windows
Christian Lyra
lyra em pop-pr.rnp.br
Quarta Setembro 11 08:09:34 BRT 2013
Caros,
> No caso específico da NSA, a noticia é que desde 2000 eles vem
>> trabalhando nos bastidores para introduzir algumas "falhas" em sistemas
>> operacionais, softwares de criptografia e até mesmo hardware. Isso não quer
>> dizer que a sua máquina já vem invadida ou coisa do genero, isso seria
>> óbvio demais e chamaria atenção.
>>
>
> Eu desconheço essas notícias sobre falha planejada, se alguém puder mandar
> alguma fonte, eu ficaria imensamente agradecido.
>
Tem várias fontes, e de jornais grandes. Um colega me apontou algumas, mas
uma busca rápida no google ("NSA snowden ssl") trouxe algumas outras:
http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security
http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html?pagewanted=all&_r=0
http://swampland.time.com/2013/09/05/five-revelations-from-snowdens-newest-leak/
> Mas o que aconteceria se por exemplo o gerador de números aleatórios do
>> seu S.O. ou mesmo do processador for "previsivel"? Dai trafego encriptado
>> da sua máquina capturado em algum roteador (mesmo lá fora) + o poder
>> computacional da NSA e pronto... ja era sua criptografia.
>>
>
> Gerar número aleatório não é tarefa de processador, é de *software*rodando por cima do sistema operacional, e sempre é usada alguma função
> matemática pra isso, conheço algumas dessas funções (andei fazendo umas
> pesquisas sobre isso, tempos atrás) e nenhuma delas parecia suscetível a
> sabotagem externa (não efetuada pelo próprio software), mesmo as menos
> eficientes.
> Se você se interessou, dê uma olhada na fonte da função *rand()* do *C*,
> mesmo as versões mais antigas (de 2002) eram seguras. Essas funções, as
> mais simples delas, usam uma semente, um inteiro que indica os segundos
> desde uma certa data, e executam contas simples com essa semente. É
> impossível sabotar cálculos com base na finalidade deles, uma vez que o
> próprio sistema operacional e o *hardware* não sabem para quê as contas
> servirão.
>
> Agora, ser previsível também depende de outros fatores, vide a piada do
> WPS[1] (WI-FI Protected Setup).
>
>
Atente para o fato de eu ter começado com um "por exemplo", então não digo
que eles estejam de fato fazendo isso, mas que poderia ser um vetor de
ataque. E o exemplo foi motivado por um fato real ocorrido entre 2006 e
2008. Vcs lembram do problema com o OPENVPN?
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-0166
_______________________________________________
> curitibalivre mailing list
> curitibalivre em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/curitibalivre
>
>
--
Christian Lyra
PoP-PR/RNP
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.softwarelivre.org/pipermail/curitibalivre/attachments/20130911/622f04f1/attachment.html>
More information about the curitibalivre
mailing list