Evita ser víctima de las puertas traseras universales de Intel y AMD

Solo usa computadoras certificadas por la Fundación del Software Libre

La "Maquina Gestora de Intel" (Intel Management Engine) es una #computadora #autónoma e #integrada en todos los procesadores #Intel de computadoras de #escritorio, #portátiles y #servidores desde el año 2006. Consiste en un #procesador ARC (remplazado por otro tipo en versiones más recientes), #almacenamiento temporal, un temporizador y un #interfaz de comunicación cifrado que está conectado a otros #componentes adicionales tales como una unidad #criptográfica, unidades de almacenamiento #ROM y #RAM internas y la función de acceso directo a la memoria ( #DMA ) del #sistema #operativo anfitrión, así como también posee la habilidad de #reservar un #sector de la #memoria RAM externa para expandir la memoria limitada de la #máquina #gestora. Por si fuera poco, esta #puerta #trasera también cuenta con acceso independiente a la red ( #Internet ) con su propia #dirección #MAC diferente a la del #dispositivo de #red.

El #funcionamiento de la máquina gestora sucede de la siguiente manera: el #programa de #arranque que reside en un #componente #interno de solo lectura carga un "manifiesto" desde el chip #SPI y dicho #manifiesto contiene una #firma #electrónica #criptográfica que varia entre #versiones de la máquina gestora. Si este manifiesto no contiene una firma electrónica válida de Intel (por ejemplo, por haber sido modificado), el dispositivo de arranque no funcionará ni ejecutará los #programas de arranque y esto a su vez causaría que el procesador de la computadora deje de funcionar.

La aplicación #AMT (Active Management Technology), parte de la serie Intel "vPro", es un servidor web que permite que las #agencias de #espionaje y #atacantes #remotos puedan #encender o #apagar el equipo y #acceder a toda la #información de la computadora: en pocas palabras, esto permite que los #espías remotos tomen el #control #total del equipo. Esto lo pueden hacer aún cuando la computadora esté #apagada por medio de la #funcionalidad de encendido por red local ( #Wake-on-LAN ). Aunque el flujo de datos envíado a las agencias de espionaje esté cifrado con #SSL / #TLS (¡vaya consuelo!), es bien sabido que estos #protocolos han tenido #vulnerabilidades muy bien #documentadas que ya han sido aprovechadas para desarrollar #rootkits, #keyloggers y así lograr el control #secreto de todas las #funciones de la computadora. El tener #acceso a todos los #datos de la memoria significa que las agencias de espionaje tienen acceso a todos los #archivos abiertos, a todas las #aplicaciones, a un #registro de todas las #teclas oprimidas, etc.

Las versiones 4.0 y posteriores de la máquina gestora de Intel incluyen una aplicación de #grilletes #digitales ( #DRM ) llamada “Protected Audio Video Path” (PAVP). La operación de estos grilletes digitales se lleva a cabo cuando la máquina gestora recibe la #señal de #audio y #video cifrada del sistema operativo #anfitrión, decifra su #clave y la envía al dispositivo de video ( #GPU ) el cual descifra la señal y la reproduce. De esta manera la aplicación #PAVP controla directamente que #gráficos aparecen en la #pantalla de una manera que el sistema operativo del #usuario no puede ni #controlar ni #detectar.

En las versiones 7.0 de la máquina gestora en procesadores de #segunda #generación de Intel #Core #i3 / #i5 / #i7, la aplicación PAVP ha sido remplazada con una aplicación similar de grilletes digitales llamada "Intel Insider". Estas aplicaciones de grilletes digitales, que además son Defectuosas por Diseño, demuestran las #habilidades #omnipotentes de la máquina gestora debido a que estos componentes y sus programas #privativos pueden acceder y controlar todo lo que se encuentra en la memoria del equipo y #espiar todo lo que aparece en pantalla. Al igual que en sus versiones anteriores, la máquina gestora puede #encender o #apagar el equipo, #leer todos los #archivos #abiertos, #examinar todas las #aplicaciones en ejecución, #registrar todas las teclas oprimidas y los #movimientos del #ratón e incluso #capturar y #controlar todo lo mostrado en pantalla. De la misma manera, su #interfaz de #red insegura permite que atacantes informáticos inyecten rootkits que pueden infectar el sistema por #completo y permitir que espías remotos puedan #vigilar todas las #actividades llevadas a cabo en la computadora. Esto representa una #grave #amenaza a tu #libertad, #seguridad y #privacidad que no puede ser #ignorada.

En versiones #anteriores a la 6.0, en sistemas del 2008 y 2009 o anteriores, la máquina gestora podía ser #desactivada escribiendo un par de #valores en la memoria SPI. Esto permitía que la máquina gestora pudiera ser #eliminada #completamente de la memoria fija. El proyecto #Libreboot ha logrado esto en los #modelos #compatibles de la serie 4 de Intel. Sin embargo, las #versiones 6.0 y #posteriores de la máquina gestora, presentes en todos los #sistemas con #procesadores Intel Core i3/i5/i7 incluyen un programa llamado "ME Ignition" que lleva a cabo #tareas de arranque y de #gestión de #energía. Dicho programa #verifica la #existencia y #validez de la firma electrónica de Intel y en caso de que esta firma no está #presente o no sea #válida, la computadora se apaga en 30 minutos.

Debido a la verificación de la firma electrónica, la #posibilidad de #desarrollar un remplazo del programa de la máquina gestora es básicamente #imposible. La única #entidad #capaz de #remplazar dicho programa es Intel. La máquina gestora incluye código privativo sujeto a #licencias de #terceras #partes, por lo que Intel no podría #revelar el código #legalmente aunque así lo quisiera. Aunque otras #personas desarrollen programas para remplazar para la máquina gestora, estos no funcionarían si no son #firmados #digitalmente por Intel. Por lo tanto, la máquina gestora de Intel es #irremediablemente #privativa y tivoizada.

Por años el #proyecto #Coreboot ha estado #presionando a Intel, pero este se ha #negado #rotundamente a #cooperar. Muchos #desarrolladores de Coreboot y otras #compañías han tratado de #presionar a Intel para que coopere; es decir, que publique el #código #fuente de la máquina gestora. Incluso #Google, compañía que vende #millones de #computadoras #Chromebooks (con Coreboot pre-instalado), no ha podido lograr #persuadir a Intel.

Incluso cuando Intel ha llegado a cooperar, este no publica el código fuente y solo da #información #limitada ( #especificaciones #técnicas ) bajo #estrictos #acuerdos de #confidencialidad. Ni siquiera las #empresas #fabricantes de computadoras reciben el código fuente de Intel y se ven #obligadas a incluir las #porciones #binarias ( #blobs ) tal como se las da Intel.

En #resumen, la máquina gestora de Intel y sus programas son #puertas #traseras #universales con acceso y control total de la computadora y representan una #terrible #amenaza para la libertad, seguridad y privacidad de sus usuarios. Por lo tanto, el proyecto Libreboot #recomienda firmemente que se #evite su #uso #completamente. Debido a que en todas las versiones recientes de procesadores Intel esta puerta trasera no puede ser eliminada, esto #implica #evitar #usar todas las generaciones recientes de procesadores de Intel.

¿Y qué hay con AMD?

#AMD tiene su #propia #versión de la máquina gestora llamada AMD Platform Security Processor ( #PSP ) que presenta las mismas amenazas de seguridad que la de Intel. El PSP es un procesador #ARM #autónomo e #integrado en el procesador #principal y como tal tiene la #habilidad de #ocultar su propio código de #ejecución, obtener los #datos de la memoria RAM como #claves de #cifrado, datos #personales #confidenciales, #historial de #navegación, teclas oprimidas, etc. En teoría, cualquier #entidad #hostil que cuente con la clave de firma digital de AMD puede #instalar #software #maligno que solo podría ser eliminado por medio de #herramientas #especializadas y una versión #íntegra del programa PSP. Además, al igual que con Intel, se han descubierto diversas vulnerabilidades que ya han sido #demostradas en el #pasado y lo más #probable es que haya más en el código privativo del PSP. Dichas vulnerabilidades permiten que agencias de espionaje y #criminales #informáticos logren #monitorear y controlar cualquier computadora que tenga el PSP de AMD sin que el usuario tenga #conocimiento de ello.

Es muy poco probable que los procesadores AMD posteriores al año 2013 puedan alguna vez ser #compatibles con Libreboot y por esa razón también se recomienda evitar usar #todos los procesadores AMD recientes.

¿Entonces qué puedo usar?

Por ahora la manera más #sencilla y #confiable de evitar las puertas traseras universales de Intel y AMD es usar únicamente computadoras que han obtenido la certificación RYF de la Fundación del Software Libre. Aunque estas computadoras certificadas aún contienen modelos anteriores de procesadores Intel o AMD, las puertas traseras en ellos han sido eliminadas o desactivadas y por lo tanto proveen mayor seguridad y privacidad siempre y cuando se utilicen única y exclusivamente con sistemas operativos completamente libres.

#NSA #CIA #inteligencia #Snowden #Wikileaks #laptops #ordenador #criptografía #hardware #CPU #tecnología #libre #GNU #GNUlinux #FSF #SoftwareLibre #soberanía #ñ #español #Mexico #México #España #Colombia #Argentina #Perú #Peru #Venezuela #Chile #Ecuador #Guatemala #Cuba #Bolivia #Guatemala #RepúblicaDominicana #Honduras #ElSalvador #Paraguay #Nicaragua #CostaRica #PuertoRico #Panamá #Panama #Uruguay

#Rustls, una biblioteca #TLS supera el rendimiento de #OpenSSL

Joseph Birr Pixton, desarrollador de la biblioteca TLS Rustls realizo una serie de pruebas sobre su desarrollo y notó que el rendimiento de este último superaba al de OpenSSL en varios niveles. Rustls es una biblioteca de código abierto, TLS, escrita en Rust y disponible bajo las licencias Apache 2.0, MIT e ISC, pero OpenSSL es una biblioteca bien conocida y el estándar de la industria en casi todas las categorías principales.

Según su documentación, Rustls es una moderna biblioteca TLS que tiene como objetivo proporcionar un buen nivel de seguridad criptográfica. No requiere ninguna configuración para lograr esta seguridad y no proporciona ninguna funcionalidad insegura o criptografía obsoleta.

Tiene muchas características, como la autenticación de cliente del servidor ECDSA o RSA y la autenticación de servidor del servidor ECDSA o RSA, al tiempo que admite la verificación del certificado del servidor.

https://blog.desdelinux.net/rustls-una-biblioteca-tls-supera-el-rendimiento-de-openssl/
#Ñ #seguridad #privacidad

Thunderbird, YaST, Sudo Updates Arrive in Tumbleweed https://news.opensuse.org/2018/11/29/thunderbird-yast-sudo-updates-arrive-in-tumbleweed/ #cross-platform #Announcements #base64encoder #compilerlib #thunderbird #Tumbleweed #WeeklyNews #gtkspell #hunspell #kdevelop #openldap #xfsprogs #freerdp #GObject #libzypp #mozilla #nouveau #kernel #python #skopeo #bison #email #GNOME #Linux #yast2 #GCC8 #json #LDAP #tiff #UPnP #vlan #xfce #yast #CVE #GNU #IDE #PHP #sdk #TLS

Thunderbird, YaST, Sudo Updates Arrive in Tumbleweed https://news.opensuse.org/2018/11/29/thunderbird-yast-sudo-updates-arrive-in-tumbleweed/ #cross-platform #Announcements #base64encoder #compilerlib #thunderbird #Tumbleweed #WeeklyNews #gtkspell #hunspell #kdevelop #openldap #xfsprogs #freerdp #GObject #libzypp #mozilla #nouveau #kernel #python #skopeo #bison #email #GNOME #Linux #yast2 #GCC8 #json #LDAP #tiff #UPnP #vlan #xfce #yast #CVE #GNU #IDE #PHP #sdk #TLS

Conociendo la magia #Stunnel #ssl #tls

#OpenSSL 1.1.1 añade soporte para el protocolo #TLS 1.3

A lo largo de 2017, las principales desarrolladoras como Mozilla y Google han ido implementando el uso del protocolo TLS 1.3 en sus respectivos navegadores web, Firefox y Chrome. El protocolo TLS 1.3 es el futuro de las conexiones seguras, cifradas y autenticadas de extremo a extremo, especialmente cuando navegamos por la web.

https://www.redeszone.net/2018/02/14/openssl-soporte-tls-1-3/
#Ñ #seguridad