Una conferencia por internet sobre ciberdelitos organizada este miércoles por el Centro de Estudios Cardenal Cisneros y que ha contado con la participación de mandos de la Guardia Civil y de la Policía Nacional se ha visto interrumpida a causa de un posible hackeo con el que se ha proyectado en la pantalla imágenes de pornografía infantil.
|
etiquetas: hackear , conferencia , policía , pornografía , infantil , cisneros
citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-t
- Que su cifrado es de risa: dice ser AES256 pero realmente es AES128. Con suficientes datos cifrados interceptados, puedes descrifrar toda la conversación
- Su seguridad en control de acceso es de chiste. Ahora te obligan a ponerle password, hasta hace poco, era como llamar a lo tonto a números de teléfono.
- No tiene las garantías de encriptación entre los participantes que dice. La clave de cifrado de la conferencia en la que entres, se genera desde un servidor en China y se le distribuye a los participantes. La comunicación se realiza por TLS1.2, pero si aceptas el warning, puedes capturar el tráfico y verla en plano. No debería de ser posible aceptar el warning en cuestión, y los servidores chinos de Zoom saben qué password de…...
Que asco de gente por sus prácticas
Lo único que puedes hacer es castigar con dureza a los que atrapes.
Pobres de nosotros si estos nos tienen que proteger de algo.
#19 Que sea privativo/software libre y que puedas o no controlar quien escucha qué son dos discusiones distintas, y si usa cifrado extremo a extremo, el heho de que alojes el servidor en su infrastructura es irrelevante.
Desde hace dos semanas que se está demonizando zoom por un solo problema de seguridad, que se parcheó en su día, cuando skype los ha tenido a decenas.
Si quisiera romperlo con una Uzi ya no podria hacerlo aunque quisiera porque yo ni tengo una ni sé dónde conseguirla.
Pues esto lo mismo, el material utilizado es de delincuente, no de gamberro.
citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-t
- Que su cifrado es de risa: dice ser AES256 pero realmente es AES128. Con suficientes datos cifrados interceptados, puedes descrifrar toda la conversación
- Su seguridad en control de acceso es de chiste. Ahora te obligan a ponerle password, hasta hace poco, era como llamar a lo tonto a números de teléfono.
- No tiene las garantías de encriptación entre los participantes que dice. La clave de cifrado de la conferencia en la que entres, se genera desde un servidor en China y se le distribuye a los participantes. La comunicación se realiza por TLS1.2, pero si aceptas el warning, puedes capturar el tráfico y verla en plano. No debería de ser posible aceptar el warning en cuestión, y los servidores chinos de Zoom saben qué password de cifrado tiene cada sala
- Les han pillado con las manos en el carrito de los helados, vendiendo datos personales de los usuarios de Zoom a empresas tan finas con el tratamiento de datos personales como Facebook
- Evaden impuestos de EEUU (de per se, bajos) a través de sus filiales en China.
- Han implementado todo tipo de medidas para saltarse la seguridad o la confirmación de acceso a cámara y similares en los dispositivos donde instalas zoom. En ese sentido, es como un virus/malware. Si esas medidas existen, es para protegerte unos mínimos. Si se dedican a programar vulnerabilidades para saltárselas.... ya me dirás qué más podrían estar haciéndote a parte de vender tus datos a Facebook.
- Hay un error a la venta en la Dark Web que por sólo medio milloncete, te permite ejecutar remotamente cosas en las máquinas de los otros participantes de una conferencia sin que se enteren.
¿ Seguimos?
PD: sí, soy parte interesada, he montado los Jitsi que está usando un porrón de ayuntamientos de Catalunya para sus plenos y reuniones, entre ellos el Ayto. de Barcelona, pero precisamente los desplegué por los problemas de privacidad de Zoom, los de usabilidad y estabilidad de WebEx y las limitaciones de las interfícies de Microsoft Teams y Google Hangouts para la realización de plenos telemáticos con garantías de confidencialidad y auditabilidad.
Nos han pasado una ISO-27002, "el alma de" el Esquema Nacional de Seguridad (la ley de seguridad IT que obliga a las administraciones públicas a su cumplimiento), y la hemos pasado en todos los puntos o barriendo o empatando con el mejor de todas las anteriores soluciones mencionadas.
Ergo... qué mierdas hacen montando esa conferencia con Zoom???? de chiste.
CC #13
Más que un "hackeo", parece un troleo con mucha mala leche.
A años luz de la porquería de comentario que te iba a hacer.
Por lo que únicamente voy a añadir que además de lo dicho: usar software libre/abierto autoalojado te da independencia de proveedores extranjeros y aleja los datos sensibles de servidores de fuera de la UE. Ya por ese motivo desecharia el uso de Zoom y similares extranjeros.
Y en muchos casos los delincuentes son informados por esas mismas fuerzas policiales para que se pongan a cubierto y vallan a por quienes denuncian?
Vamos acabas antes pegandoles un tiro e igual sales vivo. Igual, la certeza no la tengo. Primero averigua en que planeta y pais vives y despues asesora...
Mira... "La Cardenal Cisneros había facilitado en redes sociales el enlace para seguir la conferencia 'Ciberseguridad y privacidad en la Red'
La noticia no aporta datos. Si la conferencia tenía expuesto el link (y normalmente hasta la clave) desde tiempo antes ya les has dicho dónde estarás y cómo entrar. Si está mal configurada, dejando que compartan archivos o chat, permitiendo compartir pantalla a alguien que no sea el anfitrión o el coanfitrión, si no se usa la sala de espera y se deja entrar indiscriminadamente sin control... estás dando una fiesta multitudinaria y alguien se pondrá a hacer el idiota.
Súmale que el auge tan repentino que ha tenido ha hecho proliferar los instaladores no oficiales con malware y que los usuarios muchas veces tiran una búsqueda y pulsan en el anuncio en lugar del resultado real y tienes la tragedia casi servida.
No, Zoom no es un mal programa, y se han puesto mucho las pilas. Es que permitía demasiada libertad por defecto. Bien configurado no va mal y es razonablemente seguro.
Si vas a realizar transmisión de video, según el dispositivo, pasar a 256 es contraproducente porque baja la calidad, al requerir más potencia de cómputo para el encriptado.
Edit: y te flipas mucho. Todas las polid del mundo usan windows 6 software privativo. Lo que dices es en un mundo ideal...que tristemente no existe.
Lee el artículo, no teoriza, lo han hecho gracias a known-plain-text attack que no se puede evitar por la naturaleza del encapsulado del vídeo/audio.
Punto pelota.
¿A que sería gracioso que el presidente de EEUU de turno de la orden de que todos los ordenadores fuera de EEUU con Windows o Mac fuera activado el backdoor que se incluyó en una actualización de seguridad de hace meses y los dejara zombies?
Lo mismo paso con el GPS que por eso todos los países/bloques serios tienen alternativas propias (Glonass, Beidu o en UE Galileo) no vaya a ser que el día de mañana el sistema que controle tus misiles pase de una tolerancia de +/- 1 m a +/- 60 m.
La triste realidad es que los políticos son analfabetos digitales... Y hace ya tiempo que se tendría que haber migrado de forma paulatina a una infraestructura independiente y con software o propio cerrado o libre. Por lo menos los núcleos estatales estratégicos del pais. Y de hecho, de forma tímida ya se está exigiendo legalmente desde Europa que los datos sensibles descansen en servidores en tierra de la unión.
¿Luego me dices que no tienes la certeza pero que averigüe en qué planeta vivo? Desde luego, no en el de las películas americanas, pero lo que dices es una contradicción...
Tampoco estoy asesorando a nadie.
Para poder ponerles pornografía infantil primero hay que tenerla. Y para eso o la produces tú mismo o la consigues de quien la tenga. Es decir, hay que tener relación con quienes la tienen o robársela.
De en que pais vivo lo se hace mucho.
Por ejemplo, a estos tambien les han perseguido muy bien: www.meneame.net/story/paralisis-justicia-obliga-dejar-libre-red-prosti
Y si, eran unos que se llamaban anonymous. Pero como cualquiera se puede llamar anonymous y no es una organización como tal, sino muchos colectivos cada uno de su padre y de su madre pues ni tienen cúpula, ni tienen jerarquía ni nada.
y por que muchisima gente no para de decir que las cosas usadas por la administracion tendrian que ser open source.
Obviamente, es mejor hacer daño de forma quirúrgica y que parezca que no proviene de ningún estado a hacer una orden que supone directamente una guerra total.
La explicación es que son hackers (que también "reivindican"), no es una denuncia encubierta porque la policía no investiga algún caso del cual alguien tiene conocimiento.
A fin de cuentas es como lavarse las manos o los dientes. Mucha gente sabe cuales son las mejores prácticas de higiene y no las emplea, aunque recomienda su uso. En fin, no suele ser mi problema si la wifi de mis anfitriones es una puñetera mierda o el balance de blancos en su proyector es una puñetera basura (o a mi no me gusta). No voy a llevarme un proyector, un punto de acceso wifi y metros y metros de cable de red para dar una charla.
Edit: parece que la RAE lo aceptó en 2014: linube.com/blog/encriptar-cifrar/
Por otro lado AES está roto desde 2005 al menos, consiguiendo romperlo en 65 ms. Añadir más bits a la cadena de cifrado hace que el tiempo se multiplique.
Aquí el problema que me parece más gordo es que según #36 están mintiendo y diciendo que usan un algoritmo más seguro del que realmente usan.
Puedes hacer la gamberrada y tener buen gusto
www.youtube.com/watch?v=ywL-NhLQUP4
Y como son hackers lo hacen así. Chico a mi me encaja todo.
www.meneame.net/story/asi-jitsi-meet-aplicacion-videollamadas-codigo-a
Lo que no se es si cobrarás o tendrás una vida así de triste.
Lo típico de los fascistas disfrazados de tolerantes.
Otro al bote.
Espero que los Cuerpos de Seguridad del Estado tengan algo de cabeza para no usar sistemas así para este tipo de cosas... que luego pasa lo que pasa.
En la mayoría de empresas serias tienes un listado autorizado de tecnologías que puedes utilizar y que no para dar videoconferencias. Donde yo trabajo por ejemplo no se permite ni usar el Whatsapp ni el Telegram para hablar de cosas del trabajo. Sólo permiten Microsoft Teams (que es la herramienta corporativa) o Signal.
Hace poco vi una noticia sobre testimonios que se estaban dando en juicios usando Zoom y me quedé flipado...