windows 10 es un peligro para nuestra privacidad

[zhorro]

No digo que el que un programa se conecte a internet dependa del sistema operativo, ni que sea mas dificil, sino que en windows cualquier chorriprograma se conecta a internet (por las razones que sean), mientras que eso es mucho menos frecuente en linux. Lo que si digo que es mas dificil es monitorizar las conexiones que usa el sistema operativo windows y sus adlateres y en linux es mas facil (en mi nivel de conocimiento).

[lemure_siz]

Si estoy seguro que usar linux es menos peligroso que usar windows, pero me pregunto por cuanto tiempo será así. Es decir, que todos los sistemas empiecen a recopilar cosas por "nuestro bien". Por no mencionar que cada vez más esta tooooodo en la nube, pero eso ya no depende del S.O.

enviado desde una atari 2600

[zhorro]

En Linux durará lo que 'nosotros' queramos, si una distribución, p.e. Ubuntu, empieza a recopilar demasiados datos sobre nosotros y a usarlos para nuestro bien hay una solución que no existe en windows, que es cambiar de distribución. En el mundo linux hay distribuciones super talibanes con ese tema ya que se utilizan en entornos seguros como LPS la que usan y mantienen las fuerzas aereas USA, tails y sin llegar a esos extremos tienes a Debian que tambien es garantia.

Entiendase nosotros como el publico borreguil que usa las distribuciones linux

[dardo]

En Linux durará lo que 'nosotros' queramos, si una distribución, p.e. Ubuntu, empieza a recopilar demasiados datos sobre nosotros y a usarlos para nuestro bien hay una solución que no existe en windows, que es cambiar de distribución. En el mundo linux hay distribuciones super talibanes con ese tema ya que se utilizan en entornos seguros como LPS la que usan y mantienen las fuerzas aereas USA, tails y sin llegar a esos extremos tienes a Debian que tambien es garantia.

Entiendase nosotros como el publico borreguil que usa las distribuciones linux

Debian no está limpia ni mucho menos. Algunos de los voluntarios de seguridad de Debian trabajan para agencias que vulneran nuestra seguridad.

[princemegahit]

Año 2002 llamando a todos los usuarios de windows...

2002? Yo me iria directamente al 98 donde ya viene el IE de serie y según ellos es una parte integrada con el sistema que no se puede separar... y el 2000 con el ME y su messenger incluido de serie con regalitos, o cuando se filtro parte de código del 2000 y habia cosas "raras" en el.

En todo caso el tema creo que esta claro: que esto no viene de ahora, y que no entiendo tanto revuelo ahora con el tema de la privacidad.

Si usas windows estas vendido, saben lo que tienes instalado, lo que buscas, lo que haces, tus gustos, etc...

Exacto , a mi me ha hecho gracia unos comentarios que me han hecho recientemente en ese sentido sobre windows 10, como si fuera el eje del mal (que vale, no, yo no lo voy a usar pero por otros motivos), pero sin embargo los anteriores parece ser que se escapaban a este tema y eran más éticos y respetuosos con el usuario.

Pero ojo, igual que si usas osx o android o cualquier otro sistema privado de una empresa norteamericana, el tema viene de aqui:

https://en.wikipedia.org/wiki/PRISM_...lance_program)

Si, un +1000 a eso.
Yo creo que no poniendonos en modo paranoico ON, no se puede estar seguro con ningún dispositivo electrónico que se conecte a la red, porque sino son los americanos, y si son los chinos que lo fabrican que meten alguna mierda en el firmware?

-----Actualizado-----

Debian no está limpia ni mucho menos. Algunos de los voluntarios de seguridad de Debian trabajan para agencias que vulneran nuestra seguridad.

Algún indicio de que esas personas hacen algo "malo" en debian??

[zhorro]

Debian no está limpia ni mucho menos. Algunos de los voluntarios de seguridad de Debian trabajan para agencias que vulneran nuestra seguridad.

Para mi lo está, no tiene puertas traseras, el codigo esta auditado, no permiten blobs en la distribución y van un poco mas lentos que el resto porque se revisa bastante lo que se mente en la distribución. Seguramente se la podran colar pero es mas complicado que con otros y no te viene de fabrica.

[Trenz]

Perdona, pero que un programa se conecte a internet no depende del SO, depende del programa, asi que es igual de facil monitorizar las conexiones en windows que en linux o android/ios, solo necesitas un proxy, instalar certificadveos autofirmados en el sistema, y ver que se cuece en las conexiones.

Muy pocas aplicaciones verifican la autenticidad de los certificados, asi que se puede mirar sin problemas.

Hombre, yo no confiaría en que una aplicación que espíe al usuario cometa esa torpeza; suponiendo que utilice SSL/TLS, que no tiene por qué.

Si estoy seguro que usar linux es menos peligroso que usar windows, pero me pregunto por cuanto tiempo será así. Es decir, que todos los sistemas empiecen a recopilar cosas por "nuestro bien". Por no mencionar que cada vez más esta tooooodo en la nube, pero eso ya no depende del S.O.

enviado desde una atari 2600

Seguirá siendo así mientras tengas distribuciones de Linux y BSD comunitarias, es decir, creadas y mantenidas por comunidades de desarrolladores y usuarios, no por empresas. Comunidades que precisamente lo último que quieren es que su SO empiece a recopilar datos "por su bien"; no sólo ya por una cuestión de sentido común, sino porque es exactamente lo contrario de lo que representa el software libre. Y esa es otra dificultad si pretendes introducir código malicioso: además de que el código es abierto, te enfrentas a una comunidad especialmente concienciada y hostil con estas prácticas. Evidentemente, agujeros de seguridad seguirá habiendo, pero el desarrollador que sea descubierto actuando de manera maliciosa puede dar por terminada su trayectoria en este ámbito. Por otro lado, en el caso de las empresas, aunque la problemática, por eso mismo, no sea comparable a la de las que se dedican al software privativo, sí sucede también que en ocasiones sus intereses no coinciden con los de los usuarios. Precisamente Canonical, a la que te referías, lleva tiempo enfangada con el asunto de la publicidad asociada a las búsquedas en Unity.

Así que, mientras siga habiendo desarrolladores y usuarios concienciados y hardware utilizable, seguirá habiendo sistemas operativos que estén del lado del usuario. Otro tema es lo que hay por debajo: el firmware y el hardware.

Debian no está limpia ni mucho menos. Algunos de los voluntarios de seguridad de Debian trabajan para agencias que vulneran nuestra seguridad.

Más información, por favor. Teniendo en cuenta los dramas que se montan y la presión que reciben algunos desarrolladores de Debian por asuntos en comparación irrelevantes, me parece raro que puedan mantenerse en el cargo otros que estén bajo la sospecha de sabotear la seguridad del sistema, si es eso lo que insinúas.

[otto_xd]

Creo recordar que se han encontrado varios exploit y backdoors en linux, asi que la teoria de 1M de ojos mirando se queda en eso, una teoria.

Y ni los bancos verifican los certificados de los servidores, para ocultar espionaje lo normal seria tener a una compania complice y meter los datos encriptados en peticiones "legitimas", de forma que nadie mire o no sepa que es.

[^MiSaTo^]

Creo recordar que se han encontrado varios exploit y backdoors en linux, asi que la teoria de 1M de ojos mirando se queda en eso, una teoria.

Y ni los bancos verifican los certificados de los servidores, para ocultar espionaje lo normal seria tener a una compania complice y meter los datos encriptados en peticiones "legitimas", de forma que nadie mire o no sepa que es.

Trabajo para un banco y doy fe de que eso no es verdad. Al menos no para el que trabajo yo.

[otto_xd]

Trabajo para un banco y doy fe de que eso no es verdad. Al menos no para el que trabajo yo.

Que un banco lo haga no significa que sea una practica comun.

De hace menos de un anio esta un analisis de la app de bbva, lo unico que hicieron fue poner un proxy y escuchar todas las peticiones...

De verdad, muchisimas empresas que hacen transaciones sensibles NO verifican los certificados, en muchos sectores, lo cual es un peligro de aupa si el usuario instala cosas sin saber lo que hacen.

[^MiSaTo^]

Que un banco lo haga no significa que sea una practica comun.

De hace menos de un anio esta un analisis de la app de bbva, lo unico que hicieron fue poner un proxy y escuchar todas las peticiones...

De verdad, muchisimas empresas que hacen transaciones sensibles NO verifican los certificados, en muchos sectores, lo cual es un peligro de aupa si el usuario instala cosas sin saber lo que hacen.

Que eso pase con la apli de BBVA no significa que pase en todas.
En lo que sí te doy la razón es en que muchas empresas no ponen esfuerzo en la seguiridad. No se si por ignorancia, porque no lo ven util, por ahorrarse pasta o por qué exáctamente. Pero llevo unos cuantos años haciendo apps para empresas grandes y otros tantos haciendo web y en las que he estado sí se ha puesto cuidado de esas cosas usando auditorías externas y demás precisamente para evitar MITM y cosas similares

[Trenz]

Creo recordar que se han encontrado varios exploit y backdoors en linux, asi que la teoria de 1M de ojos mirando se queda en eso, una teoria.

Y ni los bancos verifican los certificados de los servidores, para ocultar espionaje lo normal seria tener a una compania complice y meter los datos encriptados en peticiones "legitimas", de forma que nadie mire o no sepa que es.

Lo del "millón de ojos", ocurrencia del bueno de Eric Raymond, es un meme que siempre sale en estas conversaciones y que a día de hoy casi nadie se toma realmente en serio, entre otras cosas, porque con el tiempo efectivamente se han ido acumulando los contraejemplos. Agujeros de seguridad ha habido y habrá, ya que no existe metodología de desarrollo de software infalible. Puertas traseras no tengo noticia de ninguna, ni en el núcleo ni en las distribuciones.

Ciertamente una conexión SSL es lo que resulta menos sospechoso, puestos a usar cifrado. Ahora bien, la supuesta incompetencia de los espías extrapolada de la aparente incompetencia de las entidades bancarias (¿las auditorías de la normativa PCI DSS estarán amañadas o qué?) no me tranquiliza en absoluto, mire por donde lo mire XD.

[DeVeLoN]

Tal y como se sospechaba, no solamente ocurre con Windows 10, sino ahora también con Windows 7/8/8.1/Server 2008/2012 R2 vía Windows Update:

There are four updates in question, and descriptions of each one taken from Microsoft’s website follow below.

KB3068708 This update introduces the Diagnostics and Telemetry tracking service to existing devices. By applying this service, you can add benefits from the latest version of Windows to systems that have not yet upgraded. The update also supports applications that are subscribed to Visual Studio Application Insights.

KB3022345 (replaced by KB3068708) This update introduces the Diagnostics and Telemetry tracking service to in-market devices. By applying this service, you can add benefits from the latest version of Windows to systems that have not yet been upgraded. The update also supports applications that are subscribed to Visual Studio Application Insights.

KB3075249 This update adds telemetry points to the User Account Control (UAC) feature to collect information on elevations that come from low integrity levels.

KB3080149 This package updates the Diagnostics and Telemetry tracking service to existing devices. This service provides benefits from the latest version of Windows to systems that have not yet upgraded. The update also supports applications that are subscribed to Visual Studio Application Insights.

According to the report, Microsoft bypasses any edited instructions in the Hosts file and exchanges data with vortex-win.data.microsoft.com and settings-win.data.microsoft.com, possibly among others.

Fuente

[dardo]

Creo recordar que se han encontrado varios exploit y backdoors en linux, asi que la teoria de 1M de ojos mirando se queda en eso, una teoria.

Y ni los bancos verifican los certificados de los servidores, para ocultar espionaje lo normal seria tener a una compania complice y meter los datos encriptados en peticiones "legitimas", de forma que nadie mire o no sepa que es.

Seguramente en los fuentes del kernel no haya backdoors, demasiados ojos mirando, aunque intentos si ha habido, como por ejemplo este: https://freedom-to-tinker.com/blog/f...tempt-of-2003/

Otra cosa es el kernel precompilado incluido en las distribuciones. ¿En serio crees que la mayoría de administradores se bajan una copia fresca de las fuentes del kernel del repositorio oficial y lo compilan? No, la mayoría utiliza un kernel precompliado de su distibución y se descarga los parches de seguridad recomendados, y los drivers del fabricante.

Es muy fácil por ejemplo modificar los Plugin Authentication Modules para tener una backdoor en todos los programas que los utilizan (getty, SSH, telnet, y un largo etc...) Instalarlos sin privilegios en principio no es posible. Los binarios ELF se pueden infectar con virus, etc. Linux es vulnerable a ataques, aunque una buena compartimentación y el principio del mínimo privilegio lo hacen relativamente robusto, a prueba de manazas y relativamente seguro, junto con el hecho de que el público era funamentalmente administradores de sistemas y usuarios avanzados a los que es complicado engañar mediante técnicas de ingeniería social para que instalen o descarguen algo, además de que la poca difusión lo hacen poco atractivo para atacantes.

Recienteme hemos tenido dos casos de Lenovo instalando su bazofia en Windows para meterte publicidad. Da igual formatear e instalar una versión fresca de Windows que no sea la que viene con Lenovo porque el bicho no está en la imagen de Wondows utilizada, está en la BIOS y se ejecuta y te descarga la mierda otra vez que se instala en segundo plano.

Todos los componentes llevan procesadores, y esos procesadores pueden ejecutar cosas. Mismamente la controladora de disco duro encargada de decidir donde se mueven las cabezas ha sido infectada con malware en una prueba de laboratorio y puede escribir en disco cosas o modificar algún fichero escrito sin que el sistema operativo se entere. No encuentro el enlace ahora.

Otra noticia es que vía navegandor en una máquina virtual por un sitio conteniendo javascript malicioso se ha conseguido modificar el microcódigo del procesador físico de la máquina anfitriona.

-----Actualizado-----

Algún indicio de que esas personas hacen algo "malo" en debian??

No encuentro el enlace ahora, pero en teoría se puede retener al instalación de un paquete y que APT-GET te diga que está en la última versión sin que eso sea cierto. Está reportado y no se parchea.

En resumen, que en cierto modo no se puede garantizar que cuando e conectas a tu repo para descargar paquetes sea tu repo el que te los sirve.

Y en segundo lugar, que los mantenedores de los paquetes sean voluntarios es bueno porque la distribución comunitaria no está sujeta a presiones de mercado, pero por otra parte es gente que tiene que tener otro sustento. Para una agencia es muy fácil tener a personas a sueldo y pedirlas que se impliquen en proyectos comunitarios.

Actualmente ningún sistema es seguro. Aparentemente Windows ahora mismo es más seguro que Linux (al menos tomando como métrica el número de vulnerabilidades críticas catalogadas durante 2014). Obviamente si estamos al día en parches de seguridad no debería preocuparnos este número. Deberían preocuparnos más las vulnerabilidades no publicadas pero conocidas por algunos dispuestos a explotarlas.

[ChAzY_ChaZ]

Yo creo que estamos espiados en todos los so
Para pc o móvil o lo que sea. Precisamente el otro día me decidí a dar el paso a w10 de mi preciado 7 ultimate. Y aunque estoy relativamente contento si que no me gustó todo el tema que comenta de micro, webcam, la nnube, ubicación etx..demasiadas cosas de golpe raritas