Notícia publicada por brain em julho 20, 2004 12:14 PM
| TrackBack
Daniel B. Cid (dcid@sourcefire.com) enviou este link para seu artigo e acrescentou: "Publiquei na UnderLinux um artigo que comenta sobre o medo de 'outsourcing' dos americanos e no que isso influencia na seguranca nacional. Acho interessante para o pessoal refletir. Trecho: 'E sobre a seguranca nacional (do Brasil)? Quais os softwares utilizados no governo ou no Exército Brasileiro? Vocês confiam na Cisco, Microsoft, Juniper, etc? E se por acaso, órgãos americanos como a NSA ou CIA tenham injetado códigos maliciosos nos softwares dessas empresas para poderem ter acesso a qualquer rede de qualquer pais do mundo? Que país que não usa Cisco ou MS?'"
por isso que devemos buscar tecnologia aberta. isso só vem a confirmar como estão certos os que não querem ser dependentes tecnologicamente de ninguém, ou seja, "comer da sua própria plantação". e dizer que na inditosa, infame era de FHC, havia os entregões que queriam "privadizar" até o suprimento de água! borrocracia é isso.
Acho ótimo que qualquer governo qubre dependencias tecnologicas, mas o artigo acima é mais "uma teoria da conspiração" do que uma realidade.
Apesar de acreditar que os equipamentos militares da EUA serem todos "grampeaveis" (isso já é esperado a anos), nao acredito num código malicioso em equipamentos/softwares industriais que podem ser facilmente analisado e descoberto por outrem.
Olá pessoal,
Apenas lembrando que, não só existem teorias mais também fatos nos quais comprovam que, a NSA implantou uma espécie de backdoor oculta com recursos criptográficos nas versões do windows 95/98 e tinha acesso a qualquer computador rodando tal sistema, e mais, qualquer equipamento que use tal cifragem de criptografia obrigatóriamente e que comporte tal algorítimo AES/RSA por exemplo precisa ter o aval do serviço de defesa norte americano pois existem leis nos EUA que são aplicadas sobre a exportação de chaves de criptografia utilizadas em hardwares por exemplo para outros países. Até aonde sei a Marinha do Brasil usa algoritimos próprios criados aqui dentro do Brasil para tal troca de informações e isso vem sendo desenvolvido em larga escala.
Um cordial abraço a todos,
Rodrigo Lima
rdlima@terra.com.br
"não só existem teorias mais também fatos nos quais comprovam que, a NSA implantou uma espécie de backdoor oculta com recursos criptográficos nas versões do windows 95/98 e tinha acesso a qualquer computador rodando tal sistema"
Ah, sim, claro.
E que fatos seriam esses?
(dizer que existem fatos, sem mostrar nenhuma prova, te faz parecer um mentiroso, ou, no mínimo, extremamente ingênuo, a ponto de acreditar em qualquer coisa que falem por ai)
"e mais, qualquer equipamento que use tal cifragem de criptografia obrigatóriamente e que comporte tal algorítimo AES/RSA por exemplo precisa ter o aval do serviço de defesa norte americano pois existem leis nos EUA que são aplicadas sobre a exportação de chaves de criptografia"
Os métodos de criptografia pesados não podem ser enviados para fora dos EUA, mas, se for desenvolvido fora de lá, não precisa ter aval de ninguém.
O GPG, por exemplo, ou a openssl possuem todos esses algoritmos de criptografia (entre outros), e não precisam de aval, já que são produzidos fora dos EUA.
Vejam o que diz o Prof. Pedro Rezende, da UNB, em
http://www.cic.unb.br/docentes/pedro/trabs/eucaristia.html :
Cuidado com grampos
Tal qual os indultos papais que antes vendiam proteção divina à alma contra riscos infernais, as patentes esotéricas de software hoje vendem proteção jurídica ao investimento especulativo, contra quem esteja no caminho dos seus lucros. Se a Microsoft prefere manter todos os seus ovos no cesto do modelo proprietário, e bancar uma luta titânica contra a marcha do tempo, ela mesma pode ser considerada uma ameaça ao seu próprio poder no futuro. Nada mais ideológico do que esta resistência evolutiva, ofuscada pelos dogmas do fundamentalismo de mercado.
Nossa Constituição Federal exige do governante zelo na defesa da soberania do Estado. Se um governante decide desqualificar o uso, nos computadores da máquina administrativa sob seu comando, de um sistema operacional proprietário contendo vários grampos, embutidos pelo fabricante sob a justificativa de ter que gerenciar seus direitos digitais, e sob o precedente de suspeitas de compartilhamento de acesso com serviços de inteligência imperialistas [3], é razoável supor que o faz no exercício de tal zelo. Conforme estudo realizado e publicado pela empresa FuturePower, há pelo menos 16 dessas portas de fundo no sistema operacional windows XP, enquanto o usuário só pode desabilitar 11 delas [4].
Se, por outro lado, o modelo de licenciamento do software livre permite ao governante esquadrinhar o sistema operacional que venha a escolher, para se certificar inclusive de que não haverão grampos nele escondidos, podendo determinar exatamente com quais funções irá operar, a partir de uma distribuição de código executável por ele mesmo montada com o código fonte livre, o zelo na defesa da soberania se qualifica como justificativa para o critério técnico de licenciamento que prescreve autonomia ao usuário para garantir, por seus próprios meios, controle do risco de grampos em tais sistemas.
Doutra feita, o que se tem dito acerca das licenças que a fornecedora do XP oferece a governos, à guisa de auditoria de software (Government Serucity Licence Program), não passa de tosco arremedo, se não pior. Qual eucaristia digital, baseia-se na crença de que o deitar d'olhos em tela onde se vê código fonte fá-lo-á transmutar-se, pelo poder da fé na marca, em código executável instalado no computador do crente. Como a hóstia, que, engolida, se transmuta em corpo crístico. Completa-a, a mácula do pecado original: caso esse governo venha algum dia a desenvolver software com função semelhante, poderá cair sob suspeita do hediondo crime de pirataria de propriedade intelectual alheia. A dificuldade para se tirar a limpo esse sacramento pós-moderno é que tais licenças, como é de praxe na empresa, não são publicadas ou são tratadas sob compromisso de sigilo. Chamar isso de auditoria, se não for ideológico, é místico.
Quando da tragédia na base de Alcântara em 22 de agosto passado, alertei para o fato de que, caso o sistema de controle de lançamentos do VLS estivesse operando com sistema operacional proprietário inauditável, seria mais provável que a investigação do incidente resultasse inconclusiva, incapaz de determinar se o que houve foi acidente ou sabotagem [5]. E o relatório da comissão de investigação veio a ser, de fato, inconclusivo. Assim, se alguém no governo especificar o windows XP, por exemplo, para o SIVAM ou para a informatização do Poder Judiciário, deveria ser processado como traidor se a Constituição for levada a sério. Enquanto o marketing do status quo, disfarçado de notícia, quer nos fazer acreditar, injuriosamente, que isto deveria ocorrer se a especificação técnica resultar noutra escolha [6].
Por que estou lançando aqui tão mirabolantes hipóteses e míticas metáforas? Porque, tendo sido nomeado pelo Presidente da República para representar a sociedade civil junto ao órgão responsável pelos aspectos normativos fundamentais à segurança coletiva nas práticas sociais informatizadas -- o comitê gestor da ICP-Brasil --, sinto-me no dever de alertar a opinião pública e as autoridades judiciárias sobre o que está verdadeiramente em jogo neste conflito de opiniões sobre ideologia e técnica.
"Quando da tragédia na base de Alcântara em 22 de agosto passado, alertei para o fato de que, caso o sistema de controle de lançamentos do VLS estivesse operando com sistema operacional proprietário inauditável"
Hehehe, pro pessoal das BBSs, isso certamente renderia uma tagline: "O sistema de controle do lançamento do VLS rodava Windows".
Agora, falando sério, ficou comprovado que o acidente ocorreu por falha humana, não ficou?
Vamos trazer a questão para o lado pessoal e ver se fica repondida.
Alguém aqui confiaria segredos industrias ou pessoais num software produzido pelo seu concorrente em que vc não conhece o fonte?
Acho que não é uma questão de fatos mas de racionalidade.
Bom, se a preocupção são os backdoors, também não podemos usar processadores da Intel, nem da Amd, nem de nenhuma outra empresa, afinal, eles também podem servir de esconderijo.
O mesmo vale para placas-mãe, bios, leitores de disquete, cd-rom, placas de rede, modems, etc. Como nós poderemos confiar nesses dispositivos?
Principalmente, do que adianta usar software livre, se você precisa de um compilador para transformá-lo em executável, e esse compilador pode acrescentar códigos extras? Ah, o compilador também é livre, você diz. Mas como você sabe que o binário que você tem do compilador corresponde ao código-fonte que você acredita ser do compilador? Ah, você pode usar o próprio compilador para compilá-lo, e comparar o resultado, você diz. Mas se você está usando uma versão binária, não confiável, do compilador, esse teste não vale de nada.
Isso tudo pode parecer idiota, mas foi digno de um artigo de ninguém menos do que Ken Thompson, criador do UNIX, entre outros. O famoso artigo é: http://www.acm.org/classics/sep95/
E a conclusão é óbvia: o fato de usar software livre não lhe dá nenhuma garantia extra. Além de não se ter como ter certeza de que o binário corresponde ao código-fonte auditável, você ainda vai rodar seu programa em hardwares inauditáveis.
Se a preocupação é com inclusão de backdoores nos programas, de nada adianta abrir mão do software fechado, mas continuar usando hardware fechado, compilador que não pode ser rigorosamente auditado, etc. Se essa é a preocupação, tudo teria que se desenvolvido localmente. Desde o nível mais baixo do processador até o nível mais alto do sistema operacional, caso contrário seria como atravessar a rua e olhar só para um dos lados.
Eu(não eu mas o eu de cima)
Já ouviu falar do males o menor ?
Afinal de contas se formos considerar todos os males eu nem saia de casa por causa da possibilidade de uma meteoro cair na minha cabeça.
Mas nem por isso eu saio sem prestar atenção em assaltantes.
A conclusão do artigo acima(que leia-se é de 1995) e bem interssante, mas assim como não há o software 100% seguro também não haveria a tecnologia 0% "backupdorpável"(eka!).
Estamos tratando de possibilidades atuais frente as possíveis escolhas.
Lembre-se que o problemas não é só os backdors mas também o desenvolvimento e suporte, os EUA podem decretar que não daram suporte e atualizações de software para o brasil.
E ai ?
Fazer engenharia reversa para pegar o código fonte ?
O post do "Eu" foi educado e não atingiu ninguém, só expressou uma opinião de maneira bem didática e informativa. Acho louvável "não alimentar os trolls", mas se até opiniões válidas (independentemente de estarem corretas ou erradas) também começarem a ser ignoradas por conta da paranóia de provocar trolls eu acho uma lástima.
Acredito que o grande problema não é o fato do produto ser americano (ou extrangeiro em geral), pois nada impede que um governo de outro país faça um acordo com uma produtora nacional. O que faz a diferença é o código ser aberto!
"O que faz a diferença é o código ser aberto!".
Digo mais, o que vale é o conhecimento que esse código pode proporcionar.
Leidson
PopolonY2k
Lógico Patola que você deve estar se referindo somente ao último post do Eu. Se você analisar no conjunto, todos os posts, ele está querendo tumultuar, desviar o foco, por isso não dê comidinha pra ele, mas se quiser dar um suquinho ou um banquete, eu continuo com minha opinião. Analise os posts anteriores também.
Olá Eu,
Acho que você está equivocado e sendo muito irônico ao ponto de ter uma percepção sobre min de achar que estou blefando e até mesmo contanto história e vendo muito filme de ficção enfim, ache oque você quiser e tire as suas conclusões não sou eu quem diz isso é toda a cúpula que está ativamente na área de segurança no que diz respeito a privacidade como um todo algum precisa melhorar e muito.
E outra, as informações a respeito sobre tal backdoor usada pela NSA tem em papers detalhados/divulgados na internet falando sobre tal assunto, basta você saber procurar e ler mais sobre o assunto agora se é ou não um hoax não me pergunte pois são os papers que afirmam sobre a veracidade dos fatos públicados e olha que não são poucos.
E as restrições nas quais mensionei se aplicam a nível de hardware que utilize tal tipo de criptografia passando pelo aval do governo norte americano para a exportação do mesmo em outros países e não de ferramentas opensource tais como OpenSSH/OpenSSL/GPG, veja o kernel linux, o mesmo tem suporte a patches para vários tipos de algoritimos criptográficos e não pode ser incluso no kernel nativamente por sansões impostas pelo governo norte americano e isso é um fato e não uma teoria ou hoax.
Bom, fica agora ao seu critério talvez o desafio de convencer a min ou qualquer outra pessoa desse comentário do contrário sobre essa definição no que diz respeito a esse assunto que já vem sendo discutido já não é de hoje prove-me ao contrário :-)
Sem mais,
Rodrigo Lima
rdlima@terra.com.br
Olá Eu,
Acho que você está equivocado e sendo muito irônico ao ponto de ter uma percepção sobre min de achar que estou blefando e até mesmo contanto história e vendo muito filme de ficção enfim, ache oque você quiser e tire as suas conclusões não sou eu quem diz isso é toda a cúpula que está ativamente na área de segurança no que diz respeito a privacidade como um todo algum que precisa melhorar e muito.
E outra, as informações a respeito sobre tal backdoor usada pela NSA tem em papers detalhados/divulgados na internet falando sobre tal assunto, basta você saber procurar e ler mais sobre o assunto agora se é ou não um hoax não me pergunte pois são os papers que afirmam sobre a veracidade dos fatos públicados e olha que não são poucos.
E as restrições nas quais mensionei se aplicam a nível de hardware que utilize tal tipo de criptografia passando pelo aval do governo norte americano para a exportação do mesmo em outros países e não de ferramentas opensource tais como OpenSSH/OpenSSL/GPG, veja o kernel linux, o mesmo tem suporte a patches para vários tipos de algoritimos criptográficos e não pode ser incluso no kernel nativamente por sansões impostas pelo governo norte americano e isso é um fato e não uma teoria ou hoax.
Bom, fica agora ao seu critério talvez o desafio de convencer a min ou qualquer outra pessoa desse comentário do contrário sobre essa definição no que diz respeito a esse assunto que já vem sendo discutido já não é de hoje prove-me ao contrário :-)
Sem mais,
Rodrigo Lima
rdlima@terra.com.br
"E outra, as informações a respeito sobre tal backdoor usada pela NSA tem em papers detalhados/divulgados na internet falando sobre tal assunto, basta você saber procurar e ler mais sobre o assunto agora se é ou não um hoax não me pergunte pois são os papers que afirmam sobre a veracidade dos fatos públicados e olha que não são poucos."
Mais uma vez, pergunto: que papers detalhados são esses?
Do jeito que você fala, você certamente tem o endereço de algum, ou então pelo menos tem informação suficiente para acha-los no Google, certo? (eu espero que seus papers não sejam sites "hackers" no Geocities, ou então uma corrente de emails pedindo para ser repassada para todos seus conhecidos)
Por favor, meu amigo. Se existisse um backdoor instalado pela NSA no Windows, e ele fosse descoberto, isso ia ser um escândalo tão grande, mas tão grande, que certamente ia se refletir em queda de presidente (dos EUA ou da NSA), ou algo pior. Comparativamente falando, Watargate teria sido apenas um sniffer, algo muito menos sério do que um backdoor distribuido por milhões de computadores, por todo o mundo.
Não saia por aí falando sobre "papers detalhados" ou "fatos comprovados" sobre algo que evidentemente é mentira, a não ser que você tenha provas contrárias.
Mais uma vez, você fica parecendo um mentiroso ou então um idiota que acredita em papai noel ou no lobo mau.
De qualquer forma, continuo no aguardo dos tais documentos.
(só para lembrar, você disse, duas vezes, que existiam não teorias, mas fatos, escritos em papers detalhados distribuidos na Internet, que comprovavam que a NSA tinha infiltrado um backdoor no Windows 95 e 98, e tinha acesso a qualquer computador rodando o sistema)
Acho melhor eu esperar sentado.
não creio estar alimentando algum troll opinando sobre o assunto, mas o fato é que **não** encontrei algum documento que comprove o fato da tal "porta de trás", apesar do conteúdo do sítio que aparentemente começou o assunto ( http://www.cryptonym.com/) seja "perturbador"...
desviando do tópico, acredito que este assunto se assemelha à viagem do homem (norte-americado) na Lua, sobre o qual eu acreditarei quando outro país chegar lá e verificar a tal bandeira fincada.
"Backdoor" da NSA, que segundo nosso amigo não são teorias, e sim fatos, diretamento do site hoaxinfo: http://hoaxinfo.com/nsacode.htm
Comentário do schneier (applied crypto, entre outros) sobre o assunto: http://www.pcworld.com/news/article.asp?aid=12720
Acabei de lembrar que tenho que encaminhar um email para todos os meus amigos, para ajudar o tratamento de uma garotinha do afeganistão, que é orfã e tem câncer. Além disso tenho que mandar cinco cartas com 1 dolar dentro de cada uma pelo correio, para receber mais de 1 milhão de dolares na proxima semana, em um esquema totalmente legal, e que de fato funciona.
Opa. Acabou de tocar o interfone. Deve ser o cara da Fedex, com o celular que a Nokia prometeu enviar para todos que fizessem forward daquele outro email...
E lembrem-se: não adicionem sad_@hotmail.com nos seus MSN, pois ele é um vírus perigossímo.
Francamente...
Pelo menos em um site especializado as pessoas deveriam conseguir separar o que hoax e o que é sério.
''Eu'' dispenso suas dicas nao sou adestrado igual a voce, aqui nao tem lixindows,nao sou escravo de s.o
o que eu uso eu modifico, o que eu quero ao mel bel
prazer, triste e quem fica dependendo de paths ,remendos e mesmo assim continua vulneravel no s.o alem de nunca saber de forma é monitorado se voce se contenta em ser um usario adestrado clicador parabens para você!!!! é assim que eles querem adestrados que nao questionem afinal de contas, eles decidem o que é melhor para você, o usuario final é apenas um detalhe!!!!! e isso nao é alimentar é incendiar os trolls
e que o terror esteja sempre com o
Grande Satan e a sua coligaçao de badidos!!!!!
Olá Eu,
"Por favor, meu amigo. Se existisse um backdoor instalado pela NSA no Windows, e ele fosse descoberto, isso ia ser um escândalo tão grande, mas tão grande, que certamente ia se refletir em queda de presidente (dos EUA ou da NSA), ou algo pior. Comparativamente falando, Watargate teria sido apenas um sniffer, algo muito menos sério do que um backdoor distribuido por milhões de computadores, por todo o mundo."
Francamente, que repercuções mundiais isso poderia elevar na queda do presidente dos EUA ? ou até mesmo no diretor da NSA ?, alias falamos de uma backdoor que supostamente foi implantada no sistema desde e época em que o Bill Clinton era presidente dos EUA, você acha que dentre os fatos existentes sobre a susposta backdoor o chefe de segurança da Microsoft ou quem quer que seja na NSA irá realmente ir a TV e contestar alguma coisa sobre tal assunto alegando se é evidente ou não?, quem garante aos cidadões americanos que os ataques atribuidos em 11 de Setembro foram realmente um ataque supresa liderada pelos tais terroristas e que isso "elevou" a falta de informações/interceptações entre a CIA/NSA de que isso iria ocorrer no dia 11 de setembro, isso na minha concepção poderia ter sido evitado mais ainda não ficou bem esclarecido a população daquele país, veja o projeto Carnivore o tão aclamado e temido sniffer que supostamente o FBI diz utilizar em suas investigações na captura de informações de pessoas e etc, provávelmente algum dia esse assunto irá gerar algum comentário parecido e irá aparecer alguma nova alma santa alegando que isso é hoax ou que seja.
"Mais uma vez, pergunto: que papers detalhados são esses?
Do jeito que você fala, você certamente tem o endereço de algum, ou então pelo menos tem informação suficiente para acha-los no Google, certo? (eu espero que seus papers não sejam sites "hackers" no Geocities, ou então uma corrente de emails pedindo para ser repassada para todos seus conhecidos)"
Foi como eu te disse procura na internet pois são informações que foram análisadas sobre o assunto e divulgadas, agora foi como eu te disse e irei repetir pela segunda vez se é ou não um hoax não me pergunte mande um email para o George Bush quem sabe ele irá lhe comprovar tal fato.
"Mais uma vez, você fica parecendo um mentiroso ou então um idiota que acredita em papai noel ou no lobo mau."
Irei viver com isso hoje amanhã e sempre sobre as minhas definições lôgicas ou não sobre o assunto ou pense como quiser, pois eu imagino que você não tenha um certo concenso sobre oque é realmente "privacidade" ou está longe de saber oque é isso.
"De qualquer forma, continuo no aguardo dos tais documentos.
(só para lembrar, você disse, duas vezes, que existiam não teorias, mas fatos, escritos em papers detalhados distribuidos na Internet, que comprovavam que a NSA tinha infiltrado um backdoor no Windows 95 e 98, e tinha acesso a qualquer computador rodando o sistema)
Acho melhor eu esperar sentado."
Em momento algum eu lhe falei que iria te mostrar algum paper sobre o assunto e eu imagino que você tenha no mínimo um pingo de racíocinio e se quiser realmente análisar sobre os fatos irá procurar na internet ou até mesmo em livros :-)
Como dizia o pelé "Entende ?"
Sem mais,
Rodrigo Lima
rdlima@terra.com.br
Al-Qaeda, não esqueça que software é feito pra todo mundo: quem gosta de pc, quem usa porque precisa e quem odeia mas tem que usar. nem todo mundo (melhor, 95%) das pessoas que tu vê na rua querem sentar, olhar o email, abrir seus arquivos e continuar com a vida.
O dia que o Linux chegar no patamar do MAC em relação ao usuario, vai ver uma enorme migração, especialmente de pequenos professionais, como arquitetos, engenherios, publicitarios e similares que hoje usam o windows porque os programas que usam só tem pra ele. mas eles não estão interesados em compilar nada, só precisam fazer as coisas que o windows faz: rodar seus programas sem problema
Vocês realmente não resistem a um troll. Tanto que ao invés de perceber disparates ou falta de informação, ficam brigando sobre teorias da conspiração.
Por exemplo, o Eu postou: "Principalmente, do que adianta usar software livre, se você precisa de um compilador para transformá-lo em executável, e esse compilador pode acrescentar códigos extras? Ah, o compilador também é livre, você diz. Mas como você sabe que o binário que você tem do compilador corresponde ao código-fonte que você acredita ser do compilador? Ah, você pode usar o próprio compilador para compilá-lo, e comparar o resultado, você diz. Mas se você está usando uma versão binária, não confiável, do compilador, esse teste não vale de nada."
E ninguém falou pra ele que o compilador também tem o codigo fonte disponível, que é isto o que quer dizer ser livre, entre outras coisas. Logo, se o código do compilador adicionar alguma coisa, isto pode ser verificado. É certo que a maioria das pessoas não faz isto, mas sempre existem os malucos de plantão. É certo que isto pode acontecer, como já aconteceu no próprio kernel, porem o tempo de descoberta é de algumas horas, pois dezenas de pessoas estão monitorando.
Agora, continuem seu debate de teorias da conspiração, que eu tenho que mandar uma corrente para 20 pessoas ou algo terrivel irá me acontecer.