https://gist.github.com/iosecure/357e724811fe04167332ef54e736670d
On 03/08/2017 03:29 PM, vdo wrote:
> On 08/03/17 14:18, doppel wrote:
>> Hola,
>>
>> Hello CIA (please, use a translator),
>>
>> como supongo que la mayoría sabréis, Wikileaks puso ayer a disposición
>> del público unos 8.000 documentos clasificados de la CIA [1], los cuales
>> contienen múltiples exploits aprovechados por la agencia para penetrar
>> en diferentes tipos de dispositivos (incluidos coches autónomos!). En su
>> nota de prensa, Wikileaks ha afirmado lo siguiente: "The CIA had
>> created, in effect, its "own NSA" with even less accountability and
>> without publicly answering the question as to whether such a massive
>> budgetary spend on duplicating the capacities of a rival agency could be
>> justified".
>>
>> En declaraciones a TechCrunch [2], Apple ha declarado que en iOS 10 se
>> parcheó una parte significativa de los exploits revelados, conque el 80%
>> de usuarios que dicen desde Apple que tienen descargada la última
>> versión del SO, están (oficialmente) "protegidos". Y creo que esto abre
>> diferentes "capas" de discusión (que me gustaría plantear aquí):
>>
>> 1) Las actualizaciones de seguridad "voluntarias" hacen que una parte de
>> los usuarios (el 20%) quede completamente desprotegido. Nuevamente, la
>> seguridad, si no es por defecto (solamente "opcional") conduce a
>> situaciones como esta, en la que el gran público queda desprovisto de
>> toda defensa.
>
> Esto, o lo contrario. Actulizaciones automáticas pueden utilizarse para
> introducir vulnerabilidades o backdoors sin conocimiento.
> El problema del código cerrado, lo que instalas es cuestión de fe.
>
>> 2) Obsolescencia programada: Apple solamente permite actualizar a la
>> última versión de iOS en un número limitado de dispositivos (creo que a
>> partir del iPhone 5). Así que un buen número de personas que no tengan
>> los nuevos modelos quedarán nuevamente expuestas (deduzco que ese "80%
>> de actualizados" del que hablan desde Apple es solamente del número de
>> dispositivos que, aún pudiéndose actualizar, no lo han hecho -- no del
>> total de dispositivos móviles de Apple).
>>
>> 3) Posible incompatibilidad entre 1) y 3) -- ¿quizás el hardware de
>> determinados dispositivos no "tira" lo suficiente como para poder
>> instalar las nuevas actualizaciones? Esto es un problema (creo)
>> inherente a los smartphones o, como mínimo, que los lastra notablemente
>> (ya que nos encontramos atrapados en un paradigma en el que aparecen
>> teléfonos cada vez más potentes, que no pueden ser seguidos por las
>> versiones "anticuadas" [3~ años]). No veo una solución fácil.
>>
>> 4) Por lo que dicen, desde TechCrunch también han preguntado por los
>> exploits de la CIA para Android, pero Google no ha ni contestado. Parece
>> realmente que Google "pasa" completamente de molestarse en crear un SO
>> para smartphones mínimamente decente. Lo mínimo sería "fingir" una
>> preocupación (como hace Apple). Pero ni por esas. Parece que los
>> usuarios de Android sean usuarios "de segunda".
>
> En general, parece que muchos expertos (incluido Snowden) confían mas en
> la seguridad de los dispositivos Apple que los Android. Como muestra el
> cifrado de los datos, el cual es bastante más débil en el caso de Android.
> Sin embargo, mi intuición es que la solución pasaría por un "Android sin
> Google" que fuera 'hardened', open source y no fuera mantenido por una
> corporación en particular (pero que tampoco sea un 'tipi' de 4 geeks,
> como Replicant)
> Véase el caso del kernel de Linux, por ejemplo. No es el paradigma de la
> seguridad pero hay cierta trazabilidad y posibilidad de auditar el
> código independientemente.
>
> Algo parecido a copperheadOS, para todo tipo de dispositivos, quizà?
> Lineage?
>
> Soñar es gratis y, de momento, privado ;)
>
>
>> --
>>
>> [1]: https://wikileaks.org/ciav7p1/
>> [2]:
>> https://techcrunch.com/2017/03/07/apple-says-most-vulnerabilities-in-wikileaks-docs-are-already-patched/
>> _______________________________________________
>> list_criptica mailing list
>> list_criptica@???
>> Lista de correo de debate de Criptica
>>
> _______________________________________________
> list_criptica mailing list
> list_criptica@???
> Lista de correo de debate de Criptica
>