El United States Computer Emergency Response Team (US-CERT) avisa de que el software incluido en el cargador de pilas Energizer DUO USB contiene un backdoor (puerta trasera) que permite el acceso remoto no autorizado al equipo donde se instale.

“Microsoft no ha creado `puertas traseras´ en Windows ni lo hará nunca”, ha declarado un portavoz de la compañía contestando a informaciones publicadas por Computerworld en Estados Unidos.

Se localizó un backdoor insertado en el código fuente del sistema de foros SMF. El backdoor es nativo y se encuentra cifrado.

[..] Probaron con éxito un nuevo tipo de ataque a los sistemas informáticos consistente en modificar las puertas lógicas de procesadores programables para que estos alberguen y ejecuten un backdoor. Esto fue probado con éxito en un procesador programable LEON corriendo en Linux al inyectar una modificación en el firmware, cambiando una pequeña parte de las puertas lógicas que éste contiene (sólo 1341 de las más de un millón que posee el procesador). Vía barrapunto.com/articles/08/04/27/0952210.shtml

«Microsoft ha incluído el Generador de números aleatorio Dual_EC-DRBG en Windows Vista, como parte del SP1. Sí, es el mismo RNG del que se sospecha que tiene una puerta trasera de la NSA. No viene activado por defecto y mi consejo es que nunca se habilite. Jamás.» Lo dice Bruce Schneier y si lo dice este tío (meneame.net/story/frases-bruce-schneier-freak-criptografia-plan-chuck-) digo yo que algo sabe del tema, ¿no?

EE.UU. ha publicado este año un nuevo estándar de generación de números aleatorios basado en cuatro diferentes técnicas, todas ellas antiguas y sobradamente conocidas. La única que se basa en curvas elípticas parece que contiene un fallo en el algoritmo que sólo puede ser descrito como "puerta trasera". En el artículo, Bruce Schneier relata el problema descubierto y recomienda no usar el generador Dual_EC_DRBG del nuevo estándar y utilizar en cambio CTR_DRBG o Hash_DRBG. En inglés.

Según un artículo publicado en Kriptópolis: "Lo que muchos sospechamos y algunos insinúan, muy pocos se atreven a afirmarlo. Y no es de extrañar, porque se trata del tipo de aseveraciones que pueden consagrar o dinamitar la reputación de un individuo o un sitio. Cryptome, que desde hace algún tiempo sigue la pista a las direcciones IP utilizadas por la NSA y sus socios, hoy va un paso más lejos".

Se trata de una vulnerabilidad muy peligrosa de ejecución remota de código, que afecta a millones de ordenadores con Windows instalado. El fallo, publicado hace tres semanas, permite a los hackers usar archivos PDF para obtener el control de ordenadores con Windows XP e Internet Explorer 7 instalado. Afecta a Adobe Reader, Adobe Acrobat Standard, Professional and Elements y Adobe Acrobat 3D.

Según McAfee "Windows Vista también sería vulnerable a un uso malicioso de una peculiar característica de casi todos los Windows que en el mundo han sido: las teclas "pegajosas" (o StickyKeys)." [..] "Un atacante podría sustituir el fichero que carga esta funcionalidad por cualquier otro y disponer así de acceso al sistema sin necesidad de autenticarse." [..] "Sin embargo llamar a esto una "puerta trasera incorporada" puede resultar un tanto exagerado." Original: www.avertlabs.com/research/blog/?p=218

El FBI quiere que todos los nuevos routers fabricados incorporen un 'backdoor'... ésta es la definición de seguridad que tienen estos muchachos. Además están presionando al Senado para que esto se lleve a cabo... veremos cómo acaba todo. (Artículo en inglés)

¿Se pueden usar las evidencias encontradas usando un software cerrado en un proceso legal? Si acusan a alguien de un delito porque han encontrado evidencias usando ese software, ¿No estaría esa persona en el derecho de solicitar examinar el código fuente de ese programa? ¿Cómo puede tener esa persona la certeza de que esas evidencias no han sido inducidas por terceros, quizás por intereses económicos? ¿SOY CULPABLE POR QUE LO DIGA UN PROGRAMA QUE NO SE PUEDE EXAMINAR?????