[off] EUA quebrando ssl/tls?

[Diego Oliveira Farias]

Professor, não assisti ao fantástico mas estão falando que os EUA estavam tendo acesso ao conteúdo de mensagens criptografadas do governo brasileiro. Isso procede? Como eles estão fazendo isso?

[Regis CM]

https://www.schneier.com/blog/archives/2013/09/the_nsas_crypto_1.html

Em 11 de setembro de 2013 13:40, Diego Oliveira Farias <diegof...@gmail.com> escreveu:

Professor, não assisti ao fantástico mas estão falando que os EUA estavam tendo acesso ao conteúdo de mensagens criptografadas do governo brasileiro. Isso procede? Como eles estão fazendo isso?

--
--
"Ninguém deve nada a ninguém. Você deve a si próprio." (Rocky Balboa)
 
Você recebeu esta mensagem porque está inscrito no Grupo "prof_gleyson"
nos Grupos do Google.
Para postar neste grupo, envie um e-mail para
prof_g...@googlegroups.com
Para cancelar a sua inscrição neste grupo, envie um e-mail para
prof_gleyson...@googlegroups.com
Para ver mais opções, visite este grupo em
http://groups.google.com.br/group/prof_gleyson?hl=pt-BR?hl=pt-BR
 
---
Você está recebendo esta mensagem porque se inscreveu no grupo "prof_gleyson" dos Grupos do Google.
Para cancelar a inscrição neste grupo e parar de receber seus e-mails, envie um e-mail para prof_gleyson...@googlegroups.com.
Para obter mais opções, acesse https://groups.google.com/groups/opt_out.

--
Att.,

Régis
http://regiscm.com

[Samuel Alves]

Foi o próprio Schneier quem escreveu isso?

[Regis CM]

Acredito que sim. É o blog dele...

[Regis CM]

Há outros posts sobre o assunto...

http://blog.cryptographyengineering.com/2013/09/on-nsa.html

[Samuel Alves]

Caraca, o que ele quiser com "Perhaps the NSA has some new mathematics that breaks one or more of the popular encryption algorithms: AES, Twofish, Serpent, triple-DES, Serpent"  ??????????

No nosso modo de dizer aqui, seria chamar AES de "meio fulero"

[Thiago Arreguy]

Muito massa o artigo!

Lembro do Gleyson comentar algo que a NSA está uns 10 anos a frente do resto do mundo em termos de criptografia, logo acredito que seja possível sim =)

Att.Thiago Arreguy

Em 11 de setembro de 2013 13:50, Regis CM <rec...@gmail.com> escreveu:

[Regis CM]

Até agora não se sabe da extensão do que foi desviado de documentos pelo Snowden, que era um funcionário de uma terceirizada,  ou seja, de "baixa patente" no sistema. Não surgiu ainda um "documento" que foi realmente quebrado...

A NSA tem informantes no mundo todo. Veja este poste do Agente da PF, Sandro Araújo: http://sandro-anjodanoite.blogspot.com.br/2013/07/espionagem-no-brasil.html

[Urlan]

http://mashable.com/2013/09/11/fbi-microsoft-bitlocker-backdoor/

Tensa esta aqui: "If you want to keep your data out of the U.S. government's hands, Microsoft is not your friend".

E eu aqui estudando Microsoft SharePoint para o BACEN.

[Diego Oliveira Farias]

muito bom o artigo. Muito esclarecedor.

Rsss to rindo muito agora com esse "detalhe" do BACEN!!! O edital é praticamente sobre quase todos os produtos das empresas americana (microsoft, imb, cisco etc..):

I worry a lot more about poorly designed cryptographic products, software bugs, bad passwords, companies that collaborate with the NSA to leak all or part of the keys, and insecure computers and networks. Those are where the real vulnerabilities are, and where the NSA spends the bulk of its efforts.


depois dilma fica chateada quando descobre domingo à noite que foi espionada kkkk

professor, dá sua opnião aqui!!

[luiz roberto rodrigues]

Curso de Redes , confirmado?

--

--
"Ninguém deve nada a ninguém. Você deve a si próprio." (Rocky Balboa)
 
Você recebeu esta mensagem porque está inscrito no Grupo "prof_gleyson"
nos Grupos do Google.
Para postar neste grupo, envie um e-mail para
prof_g...@googlegroups.com
Para cancelar a sua inscrição neste grupo, envie um e-mail para
prof_gleyson...@googlegroups.com
Para ver mais opções, visite este grupo em
http://groups.google.com.br/group/prof_gleyson?hl=pt-BR?hl=pt-BR
 
---
Você está recebendo esta mensagem porque se inscreveu no grupo "prof_gleyson" dos Grupos do Google.
Para cancelar a inscrição neste grupo e parar de receber seus e-mails, envie um e-mail para prof_gleyson...@googlegroups.com.
Para obter mais opções, acesse https://groups.google.com/groups/opt_out.

--

LPI-CERTIFIED

[José Tiago Rolim]

acho que o Gleyson já deve estar bem por dentro desse negocio, será
que ele pode emitir algum comentário em relação a isso?

2013/9/12 luiz roberto rodrigues <luiz.beto...@gmail.com>:

[Gleyson Azevedo]

Prezados amigos, sei que essa polêmica está atiçando a curiosidade de muitos. Vou fazer apenas algumas conjecturas a respeito do tema e lançar outras questões para estimular ainda mais a curiosidade de vocês.

Sobre a quebra do SSL/TLS, quem frequentou alguma turma comigo desde 2011 até hoje e puxar pela memória deve se lembrar que venho comentando e reiterando a insegurança das versões do TLS anteriores à 1.1. Na verdade, desde 2004 uma vulnerabilidade que poderia afetar implementações práticas inadequadas do modo de operação CBC é conhecida. Vou tentar especificar isso um pouco melhor.

Há duas maneiras básicas para se usar o CBC em um protocolo como o SSL ou o TLS, onde os arquivos ou mensagens trocadas entre um cliente e um servidor se comportam como um fluxo de bytes:

1) pode-se tratar cada mensagem como se fosse independente, gerar randomicante um novo vetor de inicialização (IV) e criptografar a mensagem seguinte até o fim do fluxo;

2) pode-se tratar as mensagens como se fossem concatenadas em um único objeto grande e apenas manter o estado CBC entre elas, ou seja, o IV para a próxima mensagem é o último bloco cifrado da mensagem anterior.

O SSLv3 e o TLS 1.0, por exemplo, empregam a segunda abordagem, que é reconhecidamente insegura. 

Em setembro de 2011 foi apresentada por Juliano Rizzo e Thai Duong uma ferramenta chamada BEAST (Browser Exploit Against SSL/TLS) num congresso em Buenos Aires. Ela representava uma prova de conceito sobre a exploração da vulnerabilidade acima citada. Segue abaixo um link contendo um vídeo demonstrativo dela em ação. 

http://vnhacker.blogspot.com.br/2011/09/beast.html

A partir daí, deu-se início a uma correria frenética dos administradores de redes para reconfigurarem seus servidores Web. A ideia era que eles utilizassem o RC4-128 ao invés de qualquer cifra de bloco, haja vista que o problema não residia em que algoritmo de bloco seria escolhido pelo SSL/TLS, mas no próprio modo de operação. A despeito de boa parte das conexões seguras hoje fazerem uso de versões posteriores ao TLS 1.0, boa parte ainda usa o RC4, fugindo talvez de qualquer nova surpresa como a anterior.

Toda essa discussão serve para dizer o seguinte: seria essa a única vulnerabilidade do SSL/TLS? Como o Thiago Arreguy bem destacou, há tempos comento em sala que as Criptoanálise Linear e Diferencial, publicadas em artigos acadêmicos no início da década de 1990, já eram conhecidas dos americanos quando da homologação do DES em 1977, ou seja, mais do que uma década antes do restante do mundo.

Fato é que isso tudo pode ser apenas a pontinha de um imenso iceberg. Antes da prova da PF, cheguei a comentar em sala que se eu fizesse uma questão discursiva para aquela prova, iria colocar uma captura contendo em hexadecimal um covert channel nas identificações dos pacotes, dentro de seus cabeçalhos. Deixando de lado toda a paranoia de uma possível questão assim, o que impede que isso já esteja ocorrendo com equipamentos que não são de fabricação nacional?

Aliás, ontem mesmo li um artigo que me chamou a atenção para uma suspeita interessantíssima. A Apple acabou de lançar um IPhone com identificação biométrica. Como discuti numa das questões do simulado para a PF que organizamos pelo Dominando TI, esse tipo de informação deveria ter proteção contra replicação de modo similar ao que ocorre com as senhas. O que a Apple usa para essa proteção? Mais que isso: o que a impediria de, por trás dessa estratégia aparentemente genial, repassar para a NSA um imenso banco de identificações biométricas dos usuários do IPhone?

Enfim...

Diante de tudo isso, só o que posso lhes dizer é que cada dia mais Segurança da Informação passará a fazer ainda mais parte do cotidiano da vida das pessoas. Aliás, alguém duvida de que ela venha a ser ainda mais cobrada em provas objetivas e como tema de discursivas? 

Voltemos aos estudos. :)

Grande abraço a todos,

Gleyson Azevedo

 

http://twitter.com/gleysonazevedo

[Aikau]

Esse eh o nosso "Security Guru" !

Show, Gleyson !

Sent from my iPhone

[Leonardo Nunes]

Excelente!! 

Tema muito relevante para que nos interessemos ainda mais pela disciplina de Segurança da Informação.

Atenciosamente,

Leonardo Nunes

[Carlos]

Professor Gleyson,

Esse tema é realmente bastante interessante. Contudo não estou completamente convencido de um "problema" abordado.

Talvez esteja faltando algo em minha linha de raciocinio, mas a preocupação para com o fato de a Apple repassar para a NSA o banco de dados de informações biométricas não me parece relevante para quem já tirou o visto dos EUA. 

Por que a Apple passar a digital de um único dedo para a NSA seria pior do que tirar um visto americano onde temos que informar diretamente ao governo dos EUA as digitais de todos os dedos?

Carlos

2013/9/13 Gleyson Azevedo <professo...@gmail.com>

[Gleyson Azevedo]

Carlos, eu enxergo essa questão de um outro ponto de vista.

Não sei qual procedimento é utilizado para a armazenagem da informação biométrica coletada no visto. Independentemente disso, mesmo que essa informação fosse diretamente enviada para a NSA ou outra agência de inteligência qualquer, ainda assim o que se teria são as informações referentes somente àqueles usuários, que não são necessariamente o mesmo público que faz uso do smartphone da Apple. Usando uma linguagem baseada em diagramas de Venn, no mínimo, o conjunto complementar do primeiro pelo segundo já seria um público e uma situação relevante. Além disso, caso realmente a Apple envie informações para alguém de forma não autorizada, o dado biométrico em si é mais uma dentre inúmeras outras informações que podem ser levantadas a partir de uma mesma base. Temos então um cenário de facilitação para o correlacionamento de padrões comportamentais, de consumo, dentre outros, agregado à identificação do indivíduo. 

Há um outro problema, talvez até mais importante, que tentei chamar a atenção no meu comentário anterior. Vamos admitir que a Apple não tenha qualquer interesse em compartilhar as informações dos seus usuários com ninguém. Como a informação biométrica permite alguém se autenticar no IOS, como a Apple armazena essa informação? Será que ela está utilizando alguma proteção adequada para esse armazenamento? Veja que se isso não ocorrer, alguém poderia tomar posse desses dados num ataque de repetição se autenticar ilegitimamente no lugar de outra pessoa. As implicações disso são as mais diversas, evidentemente.

Para concluir, chamo a atenção para outro órgão governamental, desse vez de nosso país, que está fazendo coleta de informações biométricas: o TSE. Não sei se todos tiveram ciência, mas em um acordo no mínimo equivocado, o TSE pretendia repassar informações cadastrais de milhões de eleitores brasileiros para a Serasa. Já imaginaram o tamanho do problema que tudo isso pode causar num futuro próximo? Fica para a reflexão de vocês.

Grande abraço a todos e uma excelente semana,

Gleyson Azevedo

 

http://twitter.com/gleysonazevedo

[Regis CM]

E, pelo que parece, a NSA tem "colaboradores" nacionais. Leia este relato do Sandro Araújo, agente PF - http://sandro-anjodanoite.blogspot.com.br/2013/07/espionagem-no-brasil.html

Att.,

Régis
http://regiscm.com

[Jarbas Ferreira dos reis]

Eles já atuam livremente aqui no Brasil.  A Dilma  ficou espantada com a noticia do fantástico,  fala serio....

http://www1.folha.uol.com.br/mundo/2013/09/1342289-agentes-da-cia-conseguem-atuar-livremente-no-brasil.shtml

Há um acordo entre FBI e  PF  , veja.

http://noticias.terra.com.br/brasil/noticias/0,,OI326740-EI1194,00-Diretor+do+Policia+Federal+volta+a+explicar+acordo+com+o+FBI.html

sds;

Jarbas

[Gleyson Azevedo]

Parece que as suspeitas surtiram efeito. Ainda resta saber que "criptografia" é essa. 

http://www.tecmundo.com.br/iphone-5s/44537-iphone-5s-leitor-de-digital-e-seguro-e-precisa-de-dedo-vivo-para-funcionar.htm?utm_source=facebook.com&utm_medium=referral&utm_campaign=imggrande

Grande abraço,

Gleyson Azevedo

 

http://twitter.com/gleysonazevedo

[José Tiago Rolim]

Acho que cabe o jargão: "me engana que eu gosto!"

2013/9/17 Gleyson Azevedo <professo...@gmail.com>:

[Diego Oliveira Farias]

Depois dessas notícias estou receoso com os produtos de tecnologia da informação!!!

A apple tinha(ou tem ainda) aquele serviço de localização de iphone em "caso de roubo"? Depois dessa história da NSA acho que os EUA tinha a informação da localização em tempo real dos usuários do iphone deste serviço! <= Teoria da conspiração!!

gleysson, vi que seus comentários aqui foram para o site dominandoTI! Legal saber q nesse grupo a gente está sempre discutindo assuntos relevantes!

[Rodrigo Rabadan]

Diego,

Não é so a Apple, a Google começou a liberar o Android Devide Manager que tem basicamente a mesma função: localizar um dispositivo android.

O esquema da biometria não é novidade da Apple. lembro bem do Atrix aparecer com essa funcionalidade.

Mas não sei a diferença de implementação entre eles.

--

--
"Ninguém deve nada a ninguém. Você deve a si próprio." (Rocky Balboa)
 
Você recebeu esta mensagem porque está inscrito no Grupo "prof_gleyson"
nos Grupos do Google.
Para postar neste grupo, envie um e-mail para
prof_g...@googlegroups.com
Para cancelar a sua inscrição neste grupo, envie um e-mail para
prof_gleyson...@googlegroups.com
Para ver mais opções, visite este grupo em
http://groups.google.com.br/group/prof_gleyson?hl=pt-BR?hl=pt-BR
 
---
Você está recebendo esta mensagem porque se inscreveu no grupo "prof_gleyson" dos Grupos do Google.
Para cancelar a inscrição neste grupo e parar de receber seus e-mails, envie um e-mail para prof_gleyson...@googlegroups.com.
Para obter mais opções, acesse https://groups.google.com/groups/opt_out.

--
Atenciosamente,
Rodrigo Rabadan de Oliveira

[Lúcio Lampert]

Usuários da Apple e turístas da América do Norte estão ferrados !!! E não é por falta de aviso... Kkkkkkkkk 

Em quarta-feira, 11 de setembro de 2013 13h40min17s UTC-3, Diego Oliveira Farias escreveu:

[Urlan]

Alguém viu isso aqui: http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/

[ramon.rodrigues]

iaehiuAEH Provavelmente uma gambiarra que os programadores do firmware fizeram e acharam que ngm descobriria.

--

--
"Ninguém deve nada a ninguém. Você deve a si próprio." (Rocky Balboa)
 
Você recebeu esta mensagem porque está inscrito no Grupo "prof_gleyson"
nos Grupos do Google.
Para postar neste grupo, envie um e-mail para
prof_g...@googlegroups.com
Para cancelar a sua inscrição neste grupo, envie um e-mail para
prof_gleyson...@googlegroups.com
Para ver mais opções, visite este grupo em
http://groups.google.com.br/group/prof_gleyson?hl=pt-BR?hl=pt-BR
 
---
Você está recebendo esta mensagem porque se inscreveu no grupo "prof_gleyson" dos Grupos do Google.
Para cancelar a inscrição neste grupo e parar de receber seus e-mails, envie um e-mail para prof_gleyson...@googlegroups.com.
Para obter mais opções, acesse https://groups.google.com/groups/opt_out.

--

Ramon Rodrigues

"A confiança nasce do conhecimento." Bruce Lee