Lo que está claro es que necesitamos más software y hardware libre.

Jamás creí que vería algo así, en portada y sin ningún comentario.

EDIT: Casi sin ningún comentario #1

Lo curioso es que existan backdoors universales, que esten en posesion de Gemalto o la NSA para mi es lo de menos.

#2 Estábamos ocupados quemando los móviles.

Me ha venido esto a la cabeza al ver la noticia.
www.youtube.com/watch?v=m_TFheZvG6k

#3 no es un backdoor universal, las actuales comunicaciones moviles se basan en que la SIM se pueda comunicar con la torre que le da servicio de forma segura (cifrada).

La forma de garantizar esa seguridad es con la implementacion de un algoritmo abierto donde toda la seguridad recaiga en una clave secreta. Si te roban esa clave, no tienes nada que hacer, es como si te quejaras de que han entrado en tu gmail por que te han visto por encima del hombro como escribías la contraseña.

Lo que deberia haber habido es un protocolo mas seguro a la hora de distribuir las claves. Eso o que nos quitemos la SIM de enmedio (que parece que es a lo que va a evolucionar el mercado) y delegemos a una autoridad superior la clave para las comunicaciones en la capa 1(nivel fisico).

Lo que creo que pone de relieve esta noticia es que el actual modelo de autenticación en comunicaciones móviles basado en la tarjeta SIM se está quedando innecesariamente obsoleto y se debería de evolucionar hacia otras alternativas a la hora de autenticarte frente a la red móvil.

Pero claro, eso plantearía de nuevo el dilema de, quién es un agente de autoridad? igual se podría evolucionar hacia un modelo como el de HTTPS, pero entonces surgiría la duda de como autenticarse frente a él y creo que dejarlo en manos de compañias privadas como las cuentas de google/apple/windows es lo más sensato (si no te fías de uno siempre te puedes pasar a otro).

Todo esto teniendo en cuenta que la NSA no venga otra vez por detrás y le saque las claves al agente de autoridad

Como conclusión el modelo que lo sustituya deberá ser barato, compatible y fácil de implementar. Pero tranquilos, que mientras se usen programas con cifrado propio (telegram, whatsapp-al fin!-, https, etc) no deberían ver las guarradas que mandas

En serio, algo huele a chamusquina en el artículo:

"Los documentos de la NSA revelan que, en 2009, la agencia ya robaba entre 12 y 22 millones de códigos por segundo."

Eso hace 16 millones de códigos por segundo de media, 960 millones en un minuto, 57.000 millones en una hora, 1.382.400.000.000 en un día. Si empezaron en 2009 a estas alturas, simplemente manteniendo el mismo ritmo, tendrían 2.522.880.000.000.000 códigos.

Y, por si cabe duda, sacado de la wikipedia: "Each SIM holds a unique Ki assigned to it by the operator during the personalization process. The Ki is also stored in a database (termed authentication center or AuC) on the carrier's network"

Así que, ¿cuantas SIM hay en el mundo?. Los números del artículo suenan a noticia barata.

#10 no te extrañe q los numeros esten confundidos en la noticia, pero la noticia en si es no es si roban 2 o 3millones por minuto, las magnitudes a ese nivel ya dan un poco igual, sino q lo han echo a nivel global.

la gente en EEUU paga demasiado dinero en impuestos y eso hace que el estado se gaste mucho dinero en "tonterías" como esta

#6 hasta donde yo sé, los algoritmos de encritpacion presentes en las SIM de 3G y 4G no son públicos. Por ello, no han podido ser verificados por entidades públicas independientes. Hace tiempo que se considera una muy mala idea guardarse la documentación sobre un protocolo criptográfico.

Hardware y software libre YA.

Y como pregunta retórica... Esto si lo hace un hacker va a la carcel.... aqui va a ir alguien por ello?

#13 No estoy seguro en el caso de las SIMs, pero en el caso de las tarjetas de crédito sí son públicos. La seguridad está en la clave, no en el algoritmo.

#14 Lee a #6. Que el software libre me parece muy bien, pero aquí no viene a cuento y esto hubiese pasado igual.

#1 Pues lo llevamos claro. El otro día que si los discos duros llevaban firmware con puerta trasera, los móviles tienen tantas puertas traseras que más que un aparato electrónico parece un colador, las CPUs tienen puertas traseras, los modems tienen puertas traseras, los centros de datos e ISPs espían por ley para los gobiernos y todo dios espía en internet para recopilar datos que vender a las multis para que nos metan más publicidad...

Tanto temer que cualquier día llegue Skynet y al final el apocalipsis va a ser un puto descanso de tanto gran hermano, y no me refiero a esa mierda de telecirco.

#14 Si, tú como levantes mucho la voz .

#2 los meneantes están ocupados "trabajando"

Puedes emparanollarte con toda clase de medidas de seguridad si al final resulta que ya viene violado de fábrica.

#16 No estoy de acuerdo, creo que el SL es la piedra angular sobre la que edificar la libertad y la seguridad. Podría vulnerarse pero tambien tendriamos la herramientas de defensa adecuadas y el control sobre ellas.

#21 En este caso concreto, no.

Si se usan claves para criptografía, y alguien consigue estas claves, el sistema deja de ser seguro. Y, en eso, poco importa si el software es libre o no.

Coge cualquier sistema de seguridad por software libre que puedas encontrar, y protege allí lo que quieras, luego dame tu contraseña/clave y ya me dirás como puedes esperar que el sistema te proteja.

Para #4 y #6. Si en lugar de smartphones los llamáramos tontófonos no serian tan populares.

El concepto actual de 'smartphone' es tan parecido al de las videoconsolas que ni unos ni otros son bienvenidos en casa.

Para #1. Ramén!

Para #14. Existen individuos y entidades que sin duda viven por encima de cualquier ley y ordén establecido.

#6 ¿Y no crees que eso se hubiera podido solucionar si en vez de confiar en procedimientos oscuros se hubiera invertido más en hardware libre que no hiciera necesario ese proceso que ha sido hackeado?

Porque yo lo tengo claro.

No se si me cabrea más lo que hace la NSA/GCHQ pasándose por el forro los DD.HH o los que justifican estas acciones, incluídos los Mr "no tengo nada que esconder y me da igual". Con la excusa del terrorismo.

Salu2

#22 Pero la capa del teléfono/SIM es la que esta rota. Si añades una capa cifrada mediante un método robusto la cuestión mejora. Por poner un ejemplo: Telegram, si está cifrado entre nodos poco importa la eficacia del SIM en ese aspecto. Ahí es donde entra el SL. No es lo mismo usar Gmail en llano que con proteccion adicional con GPG, por decir algo. De acuerdo con #21.

#22 Todos los sistemas son vulnerables, la cuestión es mantener el control sobre como protegerse. Hay es donde encontramos diferencias entre el software privativo y el SL.

#25 Me pasa igual pero me cabrea mucho mas los que las justifican. Tremenda miopía la de algunos y ceguera la de muchos.

#13 Las redes 3G usan el cifrado por bloques KASUMI. en.wikipedia.org/wiki/KASUMI

Vamos a ver, Facebook compró Whatsapp a 19 euros por usuario (la cuota anual de whatsapp cuesta 0.89€)... ¿acaso creéis que han comprado otra cosa que las agendas de todo el mundo? Ya tenían acceso a nuestras SIM indirectamente!! FB participa activamente dando datos de usuarios a la NSA desde hace años.

Lo grave es que no hayan utilizado técnicas similares para espiar a los terroristas y traficantes de armas que se ocultan en los bancos suizos, de islas caiman, de bermudas y de otros paraísos fiscales de la opacidad.

Como las cuentas tipo de la Red Sea Trading Company en Gran Cayman.
www.meneame.net/c/16343804

www.meneame.net/c/16343827