¿y si la persona que la vigila trabaja en el proveedor de VPN?
Es uno de los tantos argumentos que dí: "[...]pero sepa que su proveedor de VPN sí tendrá el pleno conocimiento de qué sitios usted visita."
Es probable que instalen un sniffer directamente a nivel del modem (CPE) ??
- Iniciador del tema juanitapregunta
- Fecha de inicio
Es uno de los tantos argumentos que dí: "[...]pero sepa que su proveedor de VPN sí tendrá el pleno conocimiento de qué sitios usted visita."
Juanita gracias por existir, tus post son mejores que el de humor gráfico.
Pero TLS con alguien con accceso a nivel de ISP es inviolable ?? Porque alguien en el ISP vendria siendo como un MitM de papayita , no ??
Entiendo la solucion y el doble dilo de los VPN respecto a lo que decis , pero creo que es prefereible.
He tenido problemas con la implementacion del VPN bajo linux, y he estado usando un servicio que se monta como extension en chromium (Windscribe ) ; tengo entendido que estas extensiones bajo browser no funcionan como VPN sino como un proxy a nive solo de browser .
En este caso de estas extensiones , acerca de la persona con acceso al ISP , brindaria la misma protecciones que nombras en cuanto a la VPN ??? ( obviamente si todo lo que se transmita se hace via browser )
TLS ha demostrado ser un protocolo totalmente vulnerado.
El que hable seriamente de TLS como un protocolo que admite confianza es porque poco sabe de seguridad informática.
Ese proyecto en particular ha tenido toda una cantidad de problemas que van desde:
- Peleas con empresas por el uso indebido de ese protocolo.
- Disidencias en el equipo de desarrolladores.
- Graves vulnerabilidades encontradas años después.
- Nacimiento de otros proyectos en protesta con el proyecto principal por no acatar recomendaciones de seguridad.
Aquí pueden encontrar toda una serie de noticias de hace años con diferentes "escándalos" alrededor de TLS
https://www.meneame.net/search?q=tls
Yo tengo una historia con TLS, tiempos aquellos.
La pregunta siempre ha sido interesante y un amplio debate.
Aquí un abre bocas:
https://www.teamupturn.com/reports/2016/what-isps-can-see
Ahora, respecto al uso de VNP pues ya la cosa empieza a complicarse un poco
aquí otro abre bocas interesante
https://gizmodo.com/5990192/vpns-what-they-do-how-they-work-and-why-youre-dumb-for-not-using-one
https://www.cnet.com/news/vpn-protect-online-privacy-its-complicated/
https://www.quora.com/Is-using-a-VP...sing-a-VPN-If-it-can-be-done-how-does-it-work
Es que depende de muchas cosas.
Porque, al fin y al cabo, depende también del comportamiento del usuario. Hay diferentes manera de interactuar con la VPN y dependiendo de eso también depende el grado de vulnerabilidad.
También depende mucho de que VPN use usted.
Al final, todos estos debates terminan generalmente en lo mismo y es en alguien proponiendo:
1. O el uso de un sistema bien extraño como un SO que no tenga base unix y sea un proyecto medio raro con sistemas muy básicos.
2. O el uso de una distro de linux realmente hecha para ese objetivo, de las cuales omito nombres porque dicen que es contraproducente hablar publicamente del tema por cosas que pasaron en el pasado en reddit).
El que hable seriamente de TLS como un protocolo que admite confianza es porque poco sabe de seguridad informática.
Ese proyecto en particular ha tenido toda una cantidad de problemas que van desde:
- Peleas con empresas por el uso indebido de ese protocolo.
- Disidencias en el equipo de desarrolladores.
- Graves vulnerabilidades encontradas años después.
- Nacimiento de otros proyectos en protesta con el proyecto principal por no acatar recomendaciones de seguridad.
Aquí pueden encontrar toda una serie de noticias de hace años con diferentes "escándalos" alrededor de TLS
https://www.meneame.net/search?q=tls
Yo tengo una historia con TLS, tiempos aquellos.
Recuerdo en mis tiempos en los que cursaba el último año de derecho cuando me dió por programar una especie de Spider que curiosamente interraccionaba con ciertos servidores del estado (en stackoverflow me pegaron mera regañada por eso en esa epoca diciendome que eso era totalmente indebido), y pues resulta que parte de la interracción tenía que ver precisamente con un mecanismo de seguridad de esos servidores que usaba esos certificados.
Al final, intentando dar con una solución, me di cuenta que los diferentes Builds de las versiones de windows XP de la epoca tenían diferencias con ese protocolo (algunas tenían mas limitaciones que otras) y decidí descargarme un build de Tailandia y con ayuda de Stunnel https://www.stunnel.org/index.html pude crear una especie de hackeo rompiendo la transmisión del certificado en la mitad del proceso, cambiandolo, reencriptandolo y enviandolo nuevamente al servidor.
Al final pude hacer todo el spider y obtener información de esos servidores del gobierno en esa epoca (información publica y para nada sensible) y eso lo hice yo: un joven literalmente cursando el ultimo año de derecho riendose en la cara del protocolo TLS ni me imagino la gente que realmente sabia del tema lo que hacían con eso.
Posteriormente se empezaron a descubrir toda una cantidad de vulnerabilidades de TLS y para sorpresa mía: descubrieron una vulnerabildad del tipo Man in the Middle: https://it.slashdot.org/story/09/11...iddle-Vulnerability-For-SSL-and-TLS?art_pos=1 que era la vulnerabilidad que yo hackeaba en esa época con mucha recursividad y eso que era, repito, una persona de una profesión radicalmente distinta a eso (lo cual habla muy mal de la seguridad de ese protocolo si un pato abogado podía romperlo).
Al final, los de ese servidor se dieron cuenta de mi presencia e hicieron un captcha gráfico que después también rompí inventandome un algoritmo a punta de la librería GD pero eso es otra historia...
Al final, intentando dar con una solución, me di cuenta que los diferentes Builds de las versiones de windows XP de la epoca tenían diferencias con ese protocolo (algunas tenían mas limitaciones que otras) y decidí descargarme un build de Tailandia y con ayuda de Stunnel https://www.stunnel.org/index.html pude crear una especie de hackeo rompiendo la transmisión del certificado en la mitad del proceso, cambiandolo, reencriptandolo y enviandolo nuevamente al servidor.
Al final pude hacer todo el spider y obtener información de esos servidores del gobierno en esa epoca (información publica y para nada sensible) y eso lo hice yo: un joven literalmente cursando el ultimo año de derecho riendose en la cara del protocolo TLS ni me imagino la gente que realmente sabia del tema lo que hacían con eso.
Posteriormente se empezaron a descubrir toda una cantidad de vulnerabilidades de TLS y para sorpresa mía: descubrieron una vulnerabildad del tipo Man in the Middle: https://it.slashdot.org/story/09/11...iddle-Vulnerability-For-SSL-and-TLS?art_pos=1 que era la vulnerabilidad que yo hackeaba en esa época con mucha recursividad y eso que era, repito, una persona de una profesión radicalmente distinta a eso (lo cual habla muy mal de la seguridad de ese protocolo si un pato abogado podía romperlo).
Al final, los de ese servidor se dieron cuenta de mi presencia e hicieron un captcha gráfico que después también rompí inventandome un algoritmo a punta de la librería GD pero eso es otra historia...
La pregunta siempre ha sido interesante y un amplio debate.
Aquí un abre bocas:
https://www.teamupturn.com/reports/2016/what-isps-can-see
Ahora, respecto al uso de VNP pues ya la cosa empieza a complicarse un poco
aquí otro abre bocas interesante
https://gizmodo.com/5990192/vpns-what-they-do-how-they-work-and-why-youre-dumb-for-not-using-one
https://www.cnet.com/news/vpn-protect-online-privacy-its-complicated/
https://www.quora.com/Is-using-a-VP...sing-a-VPN-If-it-can-be-done-how-does-it-work
Es que depende de muchas cosas.
Porque, al fin y al cabo, depende también del comportamiento del usuario. Hay diferentes manera de interactuar con la VPN y dependiendo de eso también depende el grado de vulnerabilidad.
También depende mucho de que VPN use usted.
Al final, todos estos debates terminan generalmente en lo mismo y es en alguien proponiendo:
1. O el uso de un sistema bien extraño como un SO que no tenga base unix y sea un proyecto medio raro con sistemas muy básicos.
2. O el uso de una distro de linux realmente hecha para ese objetivo, de las cuales omito nombres porque dicen que es contraproducente hablar publicamente del tema por cosas que pasaron en el pasado en reddit).
Última edición:
@Skankhunt42, linda historia de sus tiempos de Windows XP cuando TLS 1.0 apenas estaba en su infancia y XP ni siquiera lo usaba por defecto. En estos momentos vamos por TLS 1.2 el cual es sumamente seguro (siempre y cuando se use un buen cifrado) y ya 1.3 está en draft.
¿Puede una comunicación entre dos dispositivos que usen TLS 1.2 y una suite de cifrado TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ser vulnerada? Tal vez, pero tendría que ser a fuerza bruta, así que no podría ser en tiempo real, es decir, tocaría capturar la conversación y luego tratar de romper el cifrado contenido en la captura, y la cantidad de años/cpu que costaría sería bastante grande, en el orden de los cientos de miles de dólares si se acude a comprar computación distribuida (Amazon EC2 por ejemplo).
Ahora, un presupuesto de cientos de miles de dólares no es algo descabellado, el gobierno de una nación medianamente grande podría costear eso sin problemas... ¿pero a un gobierno qué le va a importar lo que un juan de los palotes como usted o como yo busque en internet? Por eso hablo de paranoia, si usted no es un blanco con un perfil lo suficientemente alto para ser el objetivo de un ataque de este tipo, no tiene por qué preocuparse por un ataque de este tipo. Así de simple. Eso sí, mucho pesar con la Agente Especial Juanita P. que tiene que andar mirando por encima del hombro a toda hora porque sus novios espías piratas informáticos dobles agentes rusos y/o chinos que trabajan en su ISP la tienen monitoreada a toda hora, tan feo eso :dead:
1. Que su ISP le haga un MitM es ilegal.
2. Si le hicieran un MitM, su navegador inmediatamente pegaría el grito al cielo y le mostraría un aviso bien feo en el que le dice que hay error de certificado en la comunicación y, al menos en el caso de Google Chrome, ni siquiera le dejaría omitir el error de certificado.
3. La única forma de que un ataque MitM no produzca un error de certificado es que alguien con privilegios de administrador instalé un certificado de raíz fraudulento en su computador, pero... seamos serios, si alguien puede hacer eso en su computador quiere decir que pueden hacer lo que se les dé la hh.pp gana en su computador así que ni siquiera habría necesidad de capturar su trafico desde el proveedor en ese caso.
¿Pero qué es lo que tanto hace usted de mal en la Internet que le atormenta que vean? Si tanto le tiene miedo a que la ISP vea su tráfico pues todo bien, use VPN, pero ya sabe que simplemente está desplazando su punto de salida a Internet al proveedor de VPN. Si le tiene tanta desconfianza a su proveedor de Internet, ¿por qué no le tiene la misma desconfianza a un proveedor de VPN? ¿Cuándo tecno-canonizaron a los proveedores de VPN que no me he enterado?
Agente Juanita, si está tan interesada la mejor forma de usar VPN, monte la VPN a nivel de sistema operativo bajo un protocolo como IKEv2, y asegúrese que su proveedor de VPN lo soporte claro está.
De por Dios, no le den cuerda, la culpa es de todos ustedes que son sus enablers.
----
Soy sincero con todos ustedes, estas discusiones deberían ser buenas pero hay gente que les da un muy mal enfoque. ¿Quieren estar verdaderamente seguros? Sigan estas simples instrucciones de higiene informática:
https://decentsecurity.com/#/securing-your-computer/
Yo les agrego algunas más (de pronto una que otra repetida del enlace):
1. Siempre mantengan el sistema operativo actualizado
2. Siempre mantengan el navegador actualizado
3. Usen la menor cantidad de extensiones de navegador posibles, y las que de verdad usen, manténganlas deshabilitadas mientras no las usen.
4. Utilicen un bloqueador de avisos (recomiendo uBlock Origin) y desinstalen/deshabiliten plugins como Java y Flash.
5. NO REUSEN CONTRASEÑAS. NO LO HAGAN. Usen una contraseña diferente para cada servicio. Guarden sus contraseñas en una bóveda personal de contraseñas como KeePass, o en una en la nube como LastPass o 1Password, en este último caso asegúrense siempre de activar una opción de autenticación multifactor.
6. Siempre activen autenticación multifactor en todos los servicios que así se lo permitan (como Gmail o Outlook, por ejemplo).
7. Dejen de usar software pirata. En en serio. Es facilito coger un virus o un rootkit de un instalador de software pirata.
8. Jamás le hagan caso a ningún correo que les pida confirmar sus credenciales de acceso a cualquier servicio, especialmente a bancos. Estos correos se denominan "phishing", y pillárselos es simplemente cuestión de aplicar sentido común y no dejar que estos apelen a nuestro miedo o desesperación. Siempre que accedan a servicios de banca, háganlo accediendo directamente al sitio web de su respectivo banco.
9. ¿Ya revisaron el enlace que les puse? ¿Siguieron todas mis recomendaciones anteriores? Listo, ahora sí les permito que piensen en usar VPN.
¿Puede una comunicación entre dos dispositivos que usen TLS 1.2 y una suite de cifrado TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ser vulnerada? Tal vez, pero tendría que ser a fuerza bruta, así que no podría ser en tiempo real, es decir, tocaría capturar la conversación y luego tratar de romper el cifrado contenido en la captura, y la cantidad de años/cpu que costaría sería bastante grande, en el orden de los cientos de miles de dólares si se acude a comprar computación distribuida (Amazon EC2 por ejemplo).
Ahora, un presupuesto de cientos de miles de dólares no es algo descabellado, el gobierno de una nación medianamente grande podría costear eso sin problemas... ¿pero a un gobierno qué le va a importar lo que un juan de los palotes como usted o como yo busque en internet? Por eso hablo de paranoia, si usted no es un blanco con un perfil lo suficientemente alto para ser el objetivo de un ataque de este tipo, no tiene por qué preocuparse por un ataque de este tipo. Así de simple. Eso sí, mucho pesar con la Agente Especial Juanita P. que tiene que andar mirando por encima del hombro a toda hora porque sus novios espías piratas informáticos dobles agentes rusos y/o chinos que trabajan en su ISP la tienen monitoreada a toda hora, tan feo eso :dead:
1. Que su ISP le haga un MitM es ilegal.
2. Si le hicieran un MitM, su navegador inmediatamente pegaría el grito al cielo y le mostraría un aviso bien feo en el que le dice que hay error de certificado en la comunicación y, al menos en el caso de Google Chrome, ni siquiera le dejaría omitir el error de certificado.
3. La única forma de que un ataque MitM no produzca un error de certificado es que alguien con privilegios de administrador instalé un certificado de raíz fraudulento en su computador, pero... seamos serios, si alguien puede hacer eso en su computador quiere decir que pueden hacer lo que se les dé la hh.pp gana en su computador así que ni siquiera habría necesidad de capturar su trafico desde el proveedor en ese caso.
¿Pero qué es lo que tanto hace usted de mal en la Internet que le atormenta que vean? Si tanto le tiene miedo a que la ISP vea su tráfico pues todo bien, use VPN, pero ya sabe que simplemente está desplazando su punto de salida a Internet al proveedor de VPN. Si le tiene tanta desconfianza a su proveedor de Internet, ¿por qué no le tiene la misma desconfianza a un proveedor de VPN? ¿Cuándo tecno-canonizaron a los proveedores de VPN que no me he enterado?
Agente Juanita, si está tan interesada la mejor forma de usar VPN, monte la VPN a nivel de sistema operativo bajo un protocolo como IKEv2, y asegúrese que su proveedor de VPN lo soporte claro está.
De por Dios, no le den cuerda, la culpa es de todos ustedes que son sus enablers.
----
Soy sincero con todos ustedes, estas discusiones deberían ser buenas pero hay gente que les da un muy mal enfoque. ¿Quieren estar verdaderamente seguros? Sigan estas simples instrucciones de higiene informática:
https://decentsecurity.com/#/securing-your-computer/
Yo les agrego algunas más (de pronto una que otra repetida del enlace):
1. Siempre mantengan el sistema operativo actualizado
2. Siempre mantengan el navegador actualizado
3. Usen la menor cantidad de extensiones de navegador posibles, y las que de verdad usen, manténganlas deshabilitadas mientras no las usen.
4. Utilicen un bloqueador de avisos (recomiendo uBlock Origin) y desinstalen/deshabiliten plugins como Java y Flash.
5. NO REUSEN CONTRASEÑAS. NO LO HAGAN. Usen una contraseña diferente para cada servicio. Guarden sus contraseñas en una bóveda personal de contraseñas como KeePass, o en una en la nube como LastPass o 1Password, en este último caso asegúrense siempre de activar una opción de autenticación multifactor.
6. Siempre activen autenticación multifactor en todos los servicios que así se lo permitan (como Gmail o Outlook, por ejemplo).
7. Dejen de usar software pirata. En en serio. Es facilito coger un virus o un rootkit de un instalador de software pirata.
8. Jamás le hagan caso a ningún correo que les pida confirmar sus credenciales de acceso a cualquier servicio, especialmente a bancos. Estos correos se denominan "phishing", y pillárselos es simplemente cuestión de aplicar sentido común y no dejar que estos apelen a nuestro miedo o desesperación. Siempre que accedan a servicios de banca, háganlo accediendo directamente al sitio web de su respectivo banco.
9. ¿Ya revisaron el enlace que les puse? ¿Siguieron todas mis recomendaciones anteriores? Listo, ahora sí les permito que piensen en usar VPN.
Última edición:
No entiendo esa agresividad tan contra juanitapregunta. Quizás porque estuve alejado de laneros mucho tiempo, no se de donde viene tanto hater contra ella. XD y equis De.
1. Por cierto, mi historia no era para decir que hoy en día existe exactamente la misma vulnerabilidad, sino para comentar que el proyecto ha tenido muchos problemas conocidos durante años.
2. Cada usuario con preocupaciones de seguridad, por muy bajo nivel que sea como usuario, contribuye a una mayor seguridad a nivel general. Ninguna preocupación es poco importante.
Por cierto, sus recomendaciones son demasiado básicas. Le añadiría muchas otras cosas pero, again, por lo que pasó en reddit hace un tiempo, me abstengo de mencionar ciertos sistemas que son los que alguien realmente preocupado por su seguridad informática debería usar a diario.
1. Por cierto, mi historia no era para decir que hoy en día existe exactamente la misma vulnerabilidad, sino para comentar que el proyecto ha tenido muchos problemas conocidos durante años.
2. Cada usuario con preocupaciones de seguridad, por muy bajo nivel que sea como usuario, contribuye a una mayor seguridad a nivel general. Ninguna preocupación es poco importante.
Por cierto, sus recomendaciones son demasiado básicas. Le añadiría muchas otras cosas pero, again, por lo que pasó en reddit hace un tiempo, me abstengo de mencionar ciertos sistemas que son los que alguien realmente preocupado por su seguridad informática debería usar a diario.
Serankua es que lo de la persona con acceso al ISP local no es retorico, es literal . Yo se que hay VPN's que son honeypots , y otros de pago que podrian ser un trix mas confaibles, pero en cualquier caso es mucho mejor que un desconocido de una VPN en ucrania chismosee, a alguien conocido localmente en el ISP .
Si, yo estaba montando la VPN bajo OS bajo openvpn pero la que estaba usando dejo de funcionar , y estaba probando con windscribe que tambien es bajo OS , pero cuando intento instalar el cliente en la consola me sale un error que los de soporte no me han soluccionado .
Asi que en este momento solo estoy bajo la extension de windscribe para crhomium .
La pregunta es , crees que solo con esa extension (que creo que funciona como un proxy) se deja ciego al ISP como pasa con la VPN ??
Algun servicio recomendado bajo IKEv2 ???
Gracciass,.,.
No quisiera darle cuerda, pero bueno. Trabajemos bajo la suposición de que su ex que trabaja con su proveedor de internet es este muñeco:
De ser así, y suponiendo que el hombre no le haya dejado un rootkit plantado en su computador (es decir, suponiendo que su computador no tiene nada de nada), las dos opciones más seguras son las siguientes:
1. VPN a nivel de sistema operativo
2. VPN a nivel de router
(Lo del protocolo a usar es lo de menos, yo recomendaría IKEv2 en el mejor de los casos, pero OpenVPN también debería ser más que suficiente para su necesidad)
Le recomiendo opte por la segunda opción (VPN a nivel de router) que me parece que es la más sencilla para usted, cifraría toooodo en tráfico que pase a través de su router y no tiene que hacer absolutamente nada en su computador. Ya explicarle como poner a correr VPN en su router no lo voy a hacer, pero siendo que tal parece ya le está pagando a un proveedor de VPN, puede consultar con el soporte técnico de ellos. Posiblemente también le toque comprar un nuevo enrutador casero si no tiene uno que tenga la funcionalidad de VPN.
Pero igual preferiría optar por una de las opciones que expliqué arriba, porque son las que personalmente he usado.
¡Pero es que ese es mi punto! ¡Esos son cuidados básicos que cualquiera debería seguir, y funcionan para la mayoría de la población! ¡Y lastimosamente la mayoría de la población ni los sigue!
Si algún abogado-hacker como en su caso necesita de mayor protección, estoy más que seguro que tienen la manera de conseguirla, y no precisamente lo harán preguntando por estos lares.
Es por las negritas. Me causa hasta físico dolor leer un texto completo así en negrita (me rechina en el cerebro), dificulta la lectura, me pone de mal humor y en peor de los casos (si se junta con algunas de las cosas que juanita escribe, por ejemplo) hasta me saca de casillas. Y eso sin contar con que son un completo atentado a la netiqueta.
Última edición:
¡Pero es que ese es mi punto! ¡Esos son cuidados básicos que cualquiera debería seguir, y funcionan para la mayoría de la población! ¡Y lastimosamente la mayoría de la población ni los sigue!
Si algún abogado-hacker como en su caso necesita de mayor protección, estoy más que seguro que tienen la manera de conseguirla, y no precisamente lo harán preguntando por estos lares.
Claro, yo no estoy preguntando nada por aquí. Laneros no es material de referencia serio de nada, es un conjunto de bobos haters de alguna cosa en especifico (en su caso nacional, en mi caso prácticamente todos ustedes) que se reúnen de vez en cuando a profesar su diatriba (por eso me gusta darles cuerda para reirme un rato). Por cierto, lo de la profesión es anecdótico, lamentablemente, el conocimiento en nuestro país es bastante deficiente y estamos rodeados de ingenieros de sistemas que no saben ni programar en html.
Pd: Expliqueme el cuento de juanita ome, yo si quiero saber de donde viene tanto hate hacia ella, fue novia de alguno o varios de ustedes hace años y de ahi viene la cosa? muy bacana esa novela.
Lea mi última entrada nuevamente, acabo de agregar mi respuesta
Gracias por responder. Yo creo que usted se moriría leyendo una sentencia de la Sección Tercera del Consejo de estado ó intentando leer un código mío en mi monitor con la mata de highlighters que instalé vía package control.
En un caso "hipotético" en el cual el modem trabaje bajo Linux (hay muchos en el mercado) y tenga un fallo de seguridad que permita el acceso a nivel root podría darse la posibilidad de instalen, capturen y reenvíen el tráfico del puerto LAN a otra ip, pero lo que este cifrado (TLS, etc.) no se podrá leer.
No, no es relativo a eso.
Es relativo a agencias como esa metiendose a un hilo de reddit del pasado en donde hablaban de varios so, incluyendo uno particular que traduce colas en inglés.
El hecho es que al final se terminaron dando cuenta que si se mencionaban ciertas cosas en particular la gente era añadida a ciertas listas de seguimiento de esas agencias. De hecho, se dice que, por ejemplo, alguien desde un país como estos con ciertos so inmediatamente activan red flags por medio de ciertos algoritmos de seguimiento que si no estoy mal usan toda una cantidad de datos, inclusive en la misma akamai.
Al final, el tema término con que mucha gente empezó a tener mas cuidado y ciertos usuarios confirmándolo. ya luego otros personajes mas conocidos hablaron de eso.
Yo di con ese tema cierto día hace tiempo que tenía curiosidad de saber como funcionaban los nodos de tor y toda esa vuelta y la cantidad de discusiones que se armaban en torno a que tor en si no era un protocolo seguro (por la cantidad de nodos falsos que instalaban para coger incautos), al final el tema evolucionó en esas distros especiales y en esas agencias metidas en reddit y leyendo todo lo que la gente ponía al respecto.
Por cierto: ese tema de las distros en si también es de debate en ciertos círculos por lo que ha pasado en el pasado (valga la redundancia) de repositorios que han sido hackeados y gente que se baja distros súper confiados que son seguras de fábrica y resulta que las bajaron de sitios que estaban comprometidos.
Algunos de mis pensamientos "jurídicos" sobre el tema de la seguridad a un nivel mas general:
Es relativo a agencias como esa metiendose a un hilo de reddit del pasado en donde hablaban de varios so, incluyendo uno particular que traduce colas en inglés.
El hecho es que al final se terminaron dando cuenta que si se mencionaban ciertas cosas en particular la gente era añadida a ciertas listas de seguimiento de esas agencias. De hecho, se dice que, por ejemplo, alguien desde un país como estos con ciertos so inmediatamente activan red flags por medio de ciertos algoritmos de seguimiento que si no estoy mal usan toda una cantidad de datos, inclusive en la misma akamai.
Al final, el tema término con que mucha gente empezó a tener mas cuidado y ciertos usuarios confirmándolo. ya luego otros personajes mas conocidos hablaron de eso.
Yo di con ese tema cierto día hace tiempo que tenía curiosidad de saber como funcionaban los nodos de tor y toda esa vuelta y la cantidad de discusiones que se armaban en torno a que tor en si no era un protocolo seguro (por la cantidad de nodos falsos que instalaban para coger incautos), al final el tema evolucionó en esas distros especiales y en esas agencias metidas en reddit y leyendo todo lo que la gente ponía al respecto.
Por cierto: ese tema de las distros en si también es de debate en ciertos círculos por lo que ha pasado en el pasado (valga la redundancia) de repositorios que han sido hackeados y gente que se baja distros súper confiados que son seguras de fábrica y resulta que las bajaron de sitios que estaban comprometidos.
Algunos de mis pensamientos "jurídicos
" sobre el tema de la seguridad a un nivel mas general:Al final, si uno escarba y escarba se terminará dando cuenta que prácticamente nada es seguro y si alguien es súper obsesionado con la seguridad pues le toca volverse loco porque no hay forma de estar 100% seguro.
Y mas al final de esa discusión, si uno escarba hasta un nivel de profundidad mas profundo de lo profundo se terminará dando cuenta que todo se termina reduciendo a la siguiente pregunta:
¿Se puede crear un número aleatorio 100% confiable de que es aleatorio?
https://math.stackexchange.com/ques...enerate-truly-random-numbers-using-a-computer
https://phys.org/news/2016-05-method-random-cybersecurity.html
Y la respuesta será: No. porque los números aleatorios que conocemos son en realidad Pseudoaleatorios. Por consiguiente ningún sistema es 100% confiable en este momento.
Desde mi punto de vista (bueno mas bien lo que he leído) la creación de números aleatorios real parte de sistema fisicos a sistemas digitales (por decirlo así), en esta vertiente existen dos ramas de investigación.
1. La que intenta copiar la aleatoriedad de ciertas estructuras fisicas como ciertos átomos y ciertas iteracciones entre partículas (supongo que analizando cosas como el decaímiento de ciertos atomos pesados).
En esa vía hay un gran avance, precisamente de este año:
https://spectrum.ieee.org/nanoclast...ises-better-security-for-flexible-electronics
2. La que parte de la existencia de la famosa computación cuántica: partiendo de la base de que los estados cuanticos son, en esencia, indeterminables. Dígamos que en ese sentido están muchas empresas pero particularmente D-Wave Systems intentando resolver el problema.
https://umdphysics.umd.edu/research...tum-random-numbers-to-the-d-wave-devices.html
Al final, si uno se vuelve profundo se termina dando cuenta de que aún estamos en la época de los sistemas deterministas y, por consiguiente, tenemos una falsa sensación de seguridad, y la conclusión se vuelve similar a la del otro lanero: todo se termina reduciendo a la capacidad de computo y el dinero que alguien tenga para romper un sistema.
Por ejemplo: también en su momento existieron discusiones sobre el tiempo en exponencial que se necesitaba romper un AES 256 y hace años el tiempo era de miles de años pero hoy en día a medida que hay nuevos super computadores e incluso esos computadores de procesamiento por Q-BITS pues el tiempo se reduce dramáticamente. Volviendo cualquier sistema actual super vulnerable. De ahí la importancia de dar con un sistema 100% aleatorio. Eso cambiará el mundo si es que se llega a dar.
pd: iba a cerrar mis pestañas y vi que alguien mencionaba esto por ahí, al final si fue verdad mi suposición sobre los átomos pesados.
http://www.fourmilab.ch/hotbits/
Y mas al final de esa discusión, si uno escarba hasta un nivel de profundidad mas profundo de lo profundo se terminará dando cuenta que todo se termina reduciendo a la siguiente pregunta:
¿Se puede crear un número aleatorio 100% confiable de que es aleatorio?
https://math.stackexchange.com/ques...enerate-truly-random-numbers-using-a-computer
https://phys.org/news/2016-05-method-random-cybersecurity.html
Y la respuesta será: No. porque los números aleatorios que conocemos son en realidad Pseudoaleatorios. Por consiguiente ningún sistema es 100% confiable en este momento.
Desde mi punto de vista (bueno mas bien lo que he leído) la creación de números aleatorios real parte de sistema fisicos a sistemas digitales (por decirlo así), en esta vertiente existen dos ramas de investigación.
1. La que intenta copiar la aleatoriedad de ciertas estructuras fisicas como ciertos átomos y ciertas iteracciones entre partículas (supongo que analizando cosas como el decaímiento de ciertos atomos pesados).
En esa vía hay un gran avance, precisamente de este año:
https://spectrum.ieee.org/nanoclast...ises-better-security-for-flexible-electronics
2. La que parte de la existencia de la famosa computación cuántica: partiendo de la base de que los estados cuanticos son, en esencia, indeterminables. Dígamos que en ese sentido están muchas empresas pero particularmente D-Wave Systems intentando resolver el problema.
https://umdphysics.umd.edu/research...tum-random-numbers-to-the-d-wave-devices.html
Al final, si uno se vuelve profundo se termina dando cuenta de que aún estamos en la época de los sistemas deterministas y, por consiguiente, tenemos una falsa sensación de seguridad, y la conclusión se vuelve similar a la del otro lanero: todo se termina reduciendo a la capacidad de computo y el dinero que alguien tenga para romper un sistema.
Por ejemplo: también en su momento existieron discusiones sobre el tiempo en exponencial que se necesitaba romper un AES 256 y hace años el tiempo era de miles de años pero hoy en día a medida que hay nuevos super computadores e incluso esos computadores de procesamiento por Q-BITS pues el tiempo se reduce dramáticamente. Volviendo cualquier sistema actual super vulnerable. De ahí la importancia de dar con un sistema 100% aleatorio. Eso cambiará el mundo si es que se llega a dar.
pd: iba a cerrar mis pestañas y vi que alguien mencionaba esto por ahí, al final si fue verdad mi suposición sobre los átomos pesados.
http://www.fourmilab.ch/hotbits/
Última edición:
No, no es relativo a eso.
Es relativo a agencias como esa metiendose a un hilo de reddit del pasado en donde hablaban de varios so, incluyendo uno particular que traduce colas en inglés.
El hecho es que al final se terminaron dando cuenta que si se mencionaban ciertas cosas en particular la gente era añadida a ciertas listas de seguimiento de esas agencias. De hecho, se dice que, por ejemplo, alguien desde un país como estos con ciertos so inmediatamente activan red flags por medio de ciertos algoritmos de seguimiento que si no estoy mal usan toda una cantidad de datos, inclusive en la misma akamai.
Al final, el tema término con que mucha gente empezó a tener mas cuidado y ciertos usuarios confirmándolo. ya luego otros personajes mas conocidos hablaron de eso.
Yo di con ese tema cierto día hace tiempo que tenía curiosidad de saber como funcionaban los nodos de tor y toda esa vuelta y la cantidad de discusiones que se armaban en torno a que tor en si no era un protocolo seguro (por la cantidad de nodos falsos que instalaban para coger incautos), al final el tema evolucionó en esas distros especiales y en esas agencias metidas en reddit y leyendo todo lo que la gente ponía al respecto.
Por cierto: ese tema de las distros en si también es de debate en ciertos círculos por lo que ha pasado en el pasado (valga la redundancia) de repositorios que han sido hackeados y gente que se baja distros súper confiados que son seguras de fábrica y resulta que las bajaron de sitios que estaban comprometidos.
Algunos de mis pensamientos "jurídicos
Al final, si uno escarba y escarba se terminará dando cuenta que prácticamente nada es seguro y si alguien es súper obsesionado con la seguridad pues le toca volverse loco porque no hay forma de estar 100% seguro.
Y mas al final de esa discusión, si uno escarba hasta un nivel de profundidad mas profundo de lo profundo se terminará dando cuenta que todo se termina reduciendo a la siguiente pregunta:
¿Se puede crear un número aleatorio 100% confiable de que es aleatorio?
https://math.stackexchange.com/ques...enerate-truly-random-numbers-using-a-computer
https://phys.org/news/2016-05-method-random-cybersecurity.html
Y la respuesta será: No. porque los números aleatorios que conocemos son en realidad Pseudoaleatorios. Por consiguiente ningún sistema es 100% confiable en este momento.
Desde mi punto de vista (bueno mas bien lo que he leído) la creación de números aleatorios real parte de sistema fisicos a sistemas digitales (por decirlo así), en esta vertiente existen dos ramas de investigación.
1. La que intenta copiar la aleatoriedad de ciertas estructuras fisicas como ciertos átomos y ciertas iteracciones entre partículas (supongo que analizando cosas como el decaímiento de ciertos atomos pesados).
En esa vía hay un gran avance, precisamente de este año:
https://spectrum.ieee.org/nanoclast...ises-better-security-for-flexible-electronics
2. La que parte de la existencia de la famosa computación cuántica: partiendo de la base de que los estados cuanticos son, en esencia, indeterminables. Dígamos que en ese sentido están muchas empresas pero particularmente D-Wave Systems intentando resolver el problema.
https://umdphysics.umd.edu/research...tum-random-numbers-to-the-d-wave-devices.html
Al final, si uno se vuelve profundo se termina dando cuenta de que aún estamos en la época de los sistemas deterministas y, por consiguiente, tenemos una falsa sensación de seguridad, y la conclusión se vuelve similar a la del otro lanero: todo se termina reduciendo a la capacidad de computo y el dinero que alguien tenga para romper un sistema.
Por ejemplo: también en su momento existieron discusiones sobre el tiempo en exponencial que se necesitaba romper un AES 256 y hace años el tiempo era de miles de años pero hoy en día a medida que hay nuevos super computadores e incluso esos computadores de procesamiento por Q-BITS pues el tiempo se reduce dramáticamente. Volviendo cualquier sistema actual super vulnerable. De ahí la importancia de dar con un sistema 100% aleatorio. Eso cambiará el mundo si es que se llega a dar.
pd: iba a cerrar mis pestañas y vi que alguien mencionaba esto por ahí, al final si fue verdad mi suposición sobre los átomos pesados.
http://www.fourmilab.ch/hotbits/
Si yo se cuales OS especiales son , pero me pareccen que actualmente son demasiados honeypots, al menos para loguearse en algo importante . Es como ir a cazar a una zona donde solo hay cazadores , se me hace que se terminan cazando entre si .
Lo de la epoca del determinismo es cierto , pero es una cuestion de probablidades, del menor mal, de teorias facticas . Es mas probable que la info se comprometa si no se usan todas las recomendaciones mencionadas mas otras no mencionadas, a que si se usa un sistema de un cafe internet sin seguridad al que cualquiera le mete la mano.
Doña juana si su nivel de preocupación no la deja navegar tranquila descargue un live cd de tails linux que ya viene preconfigurado para usar comunicaciones cifradas y bajo la red tor
No, que miedo tor para loguearse en algo , con medio ucrania interceptando datos ...
Por ahora seguire con el proxy a nivel de browser y lueglo lograr montar una VPN a nivel de router o OS en ram.
A no ser que alguien nos cuente que a nivel de browser no deja ciego a ISP ...
Pues ucrania estaria interceptando lo mismo que el ISP o sea hashes y hashes sin significado alguno, si la prioridad aquí es cifrar las comunicaciones tor es la mejor opción
Última edición:
Los últimos temas
-
Cambio Cambio Pantalla Prime Video por Una de Netflix- Iniciado por Dvalencia
- Respuestas: 3
-
-
-
-
