Re: [Lista Criptica] Android mes vulnerable

Delete this message

Reply to this message
Autor: Dhole
Data:  
A: Criptica - Llista de debat
Assumpte: Re: [Lista Criptica] Android mes vulnerable
On 16-08-10 20:02:38, mapm wrote:
>
>
> On 08/10/2016 07:43 PM, vdo wrote:
> > Esto me recuerda esta joya de KXCD, para quien no la conozca:
> > https://xkcd.com/538/
>
> hahaha és molt bo!
>
> Sobre el tema de la seguretat, és interessant l'origen de la paraula
> "segur":
>
> http://etymonline.com/index.php?term=secure&allowed_in_frame=0
>
> El que interpreto d'aquesta etimologia és que el concepte de seguretat
> i d'automatització van de la mà, "free from care". Crec que el més
> important és la seguretat per defecte, sense que te n'adonis. A part,
> l'encapsulació d'informació sensible és necessària per evitar
> l'enginyeria social.


Molt interessant el debat que ha sorgit! Certament, el factor humà és
crític en la seguretat de les nostres dades i els nostres dispositius.
Cada cop més anem veient que no existeixen eines que garanteixin la
seguretat al 100%, com comenta doppel, sinó que fan que un atac sigui
cada cop més difícil i car. I també veiem per un altre cantó que no es
tracta només d'usar les millors eines, també necessitem usar-les bé i
comprendre els punts dèbils dels sistemes, que sovint es tradueixen en
comportaments socials.

D'altra banda, volia afegir a la notícia aquesta dels forats de
seguretat d'Android, que un factor molt important a l'hora de valorar la
seguretat en la pràctica és quant temps triga l'usuari a poder
instal·lar l'actualització de seguretat des de que s'ha publicat
aquesta. En aquest cas, en el mon del software lliure acostuma a ser
molt ràpid, i a mi això em dona molta confiança (amb el matís que dono
després). Per exemple, els navegadors web, al ser un software tant
complexe hi ha un nombre significatiu de forats de seguretats. Però les
actualitzacions de seguretat estan disponibles ràpidament després
d'haver estat publicades. Per altre cantó, penseu en els routers de
casa vostra que us presta el vostre proveidor d'internet. Segurament
van amb GNU/Linux, però la versió que duen del kernel i els paquests
userland a saber de quan son. En aquest aspecte, volia fer la reflexió
que ja no es només software lliure el què importa, sinó el control que
tenim sobre els dispositius per instal·lar-hi les actualitzacions de
seguretat tant aviat com sigui possible. Malhauradament en el cas
d'Android aquesta situació no té gaire bona pinta: si tenim un mobil
sense rootejar hem d'esperar a que el fabricant prepari la
actualització i la faci disponible (i en mobils àntics ja potser ni ho
fa), i si el tenim rootejat, degut a la gran fragmentació de hardware
haurem d'esperar que cyanogenmod (o algun grup dedicat) adapti la versió
d'android pertinent al nostre model de mobil.

> Per cert, la llista no fa servir pgp no?


No tenim gpg habilitat per la llista, però és que aquesta llista és
oberta i pública, així que tampoc guanyariem res ficant-hi PGP. La
llista és oberta perquè no controlem al detall qui es registra (jo
personalment penso que fer-ho ens donaria una falsa il·lusió), i per
tant, hem d'assumir que tothom la pot llegir.

--
Dhole