Un solo punto de falla: ¿pueden las solicitudes de contraseña del gobierno de los EE. UU. ser un vector de ataque?

Navega tus respuestas
7

En noticias recientes, CNET tiene reportó solicitudes de contraseñas, hash y / o algoritmos de cifrado y sales de agencias gubernamentales de EE. UU .:

  

El gobierno de EE. UU. ha exigido que las principales empresas de Internet divulguen las contraseñas almacenadas de los usuarios, de acuerdo con dos fuentes de la industria familiarizadas con estas órdenes, que representan una escalada en las técnicas de vigilancia que no se han divulgado previamente.

Aunque solo me preocupa un poco que puedan suplantar a los usuarios a voluntad, me parece una de las principales preocupaciones que tienen los empresarios negros o no afiliados a la APT de Estados Unidos que intentan hacerse pasar por el gobierno de los EE. UU. y obtener acceso a los datos. Tal vez estoy pensando demasiado en esto ...

Relacionados:

pregunta Deer Hunter 26.07.2013 - 11:52
fuente

1 respuesta

5

Hacerse pasar por agentes de la ley es un viejo truco usado por los delincuentes para engañar a personas honestas. Este es un mecanismo utilizado en numerosas películas, por ej. éste .

Aunque se ha revelado que el gobierno de los EE. UU. solicitó (y supuestamente obtuvo) algunos volcados de contraseñas de usuarios de compañías de Internet, no se conocen los detalles exactos de los protocolos utilizados para ese intercambio. Podemos imaginar que involucró una reunión cara a cara con algunos agentes del gobierno, probablemente de una manera discreta (se suponía que toda la operación era secreta, por lo que no había orden judicial ni oficiales uniformados), pero las personas responsables de las empresas de Internet objetivo estaban convencidas de alguna manera de que estaban hablando con auténticos agentes estadounidenses.

Si estuviera en la posición del oficial de la agencia gubernamental que trataba de configurar esta intercepción, primero invitaría al CEO del ISP a reunirse conmigo en un edificio de aspecto muy oficial, dicen el Pentágono o el Sede de la CIA en Langley. El tipo me vería y estaría convencido de que realmente soy un miembro oficial de las fuerzas ocultas de los EE. UU., En virtud de que puedo asegurar una oficina en el edificio principal de la CIA. Luego , luego podría volver a encontrarme con el tipo en su oficina, y él me reconocería y aceptaría entregarme un nuevo lote de contraseñas.

El punto importante en todo esto es que la vulnerabilidad no es el gobierno de los Estados Unidos; es que aparentemente los ISP están dispuestos a entregar las contraseñas a alguien que podría convencerlos de que opera bajo un mandato directo del gobierno de los Estados Unidos. ¡La vulnerabilidad todavía estaría allí incluso si el gobierno de los Estados Unidos nunca hubiera estado involucrado en absoluto!

Otro vector de ataque es después. Supongamos que un agente de gobierno real obtuvo las contraseñas. Entonces los guardará. Algun lado. ¿Estarán bien protegidos allí? Los contribuyentes estadounidenses ciertamente esperan que las agencias de inteligencia caras sean competentes y no almacenen datos confidenciales en servidores hackeables. ¿Pero pueden estar seguros de eso?

    
respondido por el Tom Leek 26.07.2013 - 17:01
fuente

Lea otras preguntas en las etiquetas

¿Cuándo deben usarse las sesiones del lado del servidor en lugar de las sesiones del lado del cliente? ¿Qué tan importante es una contraseña mysql para localhost?