"Los sistemas estándar ya están quebrados" (entrevista a Hugo Scolnik)

septiembre 19, 2013 § Deja un comentario

Hugo Scolnik es doctor en Matemática, además de fundador del Departamento de Computación de la Universidad de Buenos Aires, entre (muchas) otras cosas. También es una de las personas que más saben de criptografía en el país y tiene un pie en el mercado de la seguridad informática y otro en la investigación básica sobre criptografía.

Hace varios años que Assange dice que lo único que puede devolver la privacidad a Internet es la criptografía. ¿Es tan así?

–Eso es verdad. Totalmente. Es lo único que se puede hacer. El tema es qué tipo de criptografía y quién la hizo. Por ejemplo, a principios de los años ’70 IBM propuso un método, llamado Lucifer, y pidió permiso para hacer criptografía civil, para bancos, empresas, etc… El gobierno de EE.UU. tomó el método original, le bajó la longitud de las claves, lo simplificó y lo aprobó en 1975 con el nombre DES. Desde aquella época es lo que se usa en los sistemas bancarios. Los criptógrafos estuvimos siempre convencidos de que eso, de alguna manera, ya estaba quebrado. O sea que si uno usa sistemas estándar que ya están quebrados no va a tener comunicaciones seguras, pero si uno desarrolla sus propios sistemas, que ellos no conocen, es imposible, o al menos muy difícil.

¿El uso de criptografía está reglamentado?

–Sí. En EE.UU. había una ley que decía que no se podía enseñar criptografía a ningún extranjero. Si un profesor hablaba en una esquina y lo escuchaba un extranjero, iba preso. La ley se terminó en 2002, cuando Clinton liberó la longitud de las claves, lo que las hace mucho más difíciles de romper. Pero la liberaron porque ya estaban haciendo la captura de las claves y su longitud deja de ser importante para romperlas.

O sea que está claro que los sistemas de criptografía más usados ya están quebrados

–Algunos sí. Te cuento una anécdota: hace unos 10 u 11 años hubo un congreso de seguridad en Argentina, justo cuando yo empezaba a investigar este tema. Vinieron a verme dos tipos del FBI. Yo les decía: “Pero cómo ¿la principal democracia del mundo se dedica a espiar a todos los ciudadanos?”. Y ellos se reían y me decían: “Sí, pero sólo al 99 por ciento; hay un 1 por ciento que es muy tecnológico que no es espiable, y con esos tenemos que resignarnos”.

¿Les creyó que en ese momento espiaban al 99 por ciento de la población?

–Seguro, porque antes de todo esto de Snowden y demás, existía Echelon. Porque las cosas se ponen de moda de repente y la gente se olvida de las historias. Echelon estuvo interceptando todo tipo de comunicaciones desde la época de la Guerra Fría.

Pero no tenían la posibilidad de procesar la brutal cantidad de información recopilada.

–Nunca la tienen. En este momento en Internet se genera cada dos días más información que la que tenía la historia de la humanidad hasta dos días antes. Es una progresión geométrica terrible. Esa cantidad de información es imposible de analizar ahora y siempre. Hace poco vino gente de Europa a un seminario y hablamos justamente de eso: podés almacenar todo lo que quieras, pero el desafío es procesarlo. Por eso se está trabajando mucho en la presentación gráfica de la información, como para ver de un golpe de vista lo que es significativo.

¿Cuáles son los métodos vulnerables entonces?

–Son los métodos conocidos, los que están en los navegadores, mails, los que usan los bancos, etcétera. Son métodos que se rompen por puertas traseras, accediendo a las claves, algunos incluso por fuerza bruta. Por ejemplo, yo no sé si los servicios han logrado romper el mismo sistema de encriptación RSA que yo estoy tratando de romper. Es que hay dos mundos: el científico en el que se publican los avances y el de los servicios de inteligencia, donde todo es secreto y nadie dice nada. Nosotros hemos desarrollado métodos de 1024 bits simétricos que nadie puede romper. Con un método así, nos encontramos en un café, combinamos una clave y empezamos a comunicarnos. Puede venir la CIA o quien quiera y no va a poder hacer nada.

Dentro de sus investigaciones de ciencia básica, usted está abocado a encontrar un algoritmo que permita desencriptar mensajes que estén cifrados con sistemas asimétricos de 1024 bits. Si lograra romper el método de 1024 bits asimétrico, muchos servicios tendrían que pasarse a otros sistemas de criptografía.

–Eso está pasando. Incluso ya se están emitiendo certificados comerciales con curvas elípticas, que es un método que poco se ha usado fuera de los dispositivos móviles. Parecería que desde la NSA están tratando de frenar la implementación de sistemas de encriptación más sofisticados. Yo he estado con empresas de EE.UU. que me reconocieron que les pidieron todas estas cosas que dice Snowden. Hace unos años un ingeniero electrónico mexicano me contaba que había diseñado un sistema de telefonía de voz encriptada y se lo puso al presidente. A la mañana lo instaló y a la tarde llamaron de la Embajada de EE.UU. para preguntar qué estaban haciendo. Es real. Es lo mismo que se está poniendo en evidencia de nuevo ahora.

¿Cuán cerca considera que está de romper las claves asimétricas de 1024 bits?

–En un momento creímos que estábamos al borde, pero tuvimos problemas de complejidad que no esperábamos. Estamos trabajando en una línea muy nueva. Pero no puedo hacer pronósticos exactos. El problema es muy complejo y uno sabe cuándo empieza pero no cuándo termina. Tampoco siento la presión de decir para cuándo. En el camino salieron muchos resultados absolutamente desconocidos, lo que es muy gratificante para un matemático, porque está lleno de teoremas que nadie conocía y que no puedo compartir con nadie excepto por un par de criptógrafos en el mundo, que saben mucho de estas cosas. Lo único que me han pedido, tanto en Europa como en EE.UU., es que si logramos quebrarlo les avisemos con 10 días de anticipación por lo menos. Hay muchas cosas en el mundo que dependen de este tipo de sistema criptográfico. Además, si se encuentra cómo romper un sistema de este tipo de 1024 bits, también se podría romper el de 2048 y demás. Por eso nosotros decimos que ya hay que empezar a usar sistemas de curvas elípticas.

¿Es posible hacer lo que ahora propone Brasil, de reemplazar todos los servicios que no sean confiables?

–A nivel seguridad seguís teniendo el problema de que lo que mandes a servidores extranjeros te lo van a espiar, salvo que convenzas a todos de que usen tu desarrollo. Pero a nivel interno claro que se puede hacer. Yo creo que Brasil va a reaccionar. Los conozco muy bien, yo viví allá y estoy seguro de que van a tomar un camino autónomo.

¿En Argentina se podría?

–Es totalmente factible. Lo que hay que cambiar es el software, y eso es relativamente barato. La infraestructura tecnológica la tenemos toda. Es una decisión política, no hace falta comprar un millón de computadoras, el tema es lo que les ponés adentro. La estructura está.

Autor: Esteban Magnani
Fuente: Página 12

"Somos la generación que debe regular la web"

agosto 5, 2013 § Deja un comentario

La última semana, el primer ministro inglés David Cameron anunció su decisión de obligar a los proveedores de internet a controlar los contenidos XXX. Ante esto, y como había sucedido anteriormente con relación a los derechos de autor y la prohibición de los sitios de piratería, la pregunta (y el debate) sobre el control de los contenidos que circulan en la web se abre nuevamente.

No tengo dudas de que hay cuestiones específicas de internet que deben regularse con mucho cuidado, como ser la pornografía infantil o los derechos de autor”, responde Miguel Sumer Elías ante la pregunta. Partiendo de ese precepto, el debate se complejiza cuando entra en juego la libertad de expresión.

El abogado especialista en Derecho Informático y de Internet y director de Informática Legal explicó a Infobae América que la libertad de expresión no debe confundirse con libertinaje de contenidos: “Ejerciendo su libertad de expresión, una persona puede decir o hacer cosas ilícitas, penadas por la ley”.

Miguel Sumer Elías es claro con relación al problema de la violación de los derechos de autor. Si bien admite que las leyes de propiedad intelectual son muy viejas y no están adecuadas a los tiempos que corren, asegura que en tanto estén vigentes, deben ser cumplidas. Aunque afirma que es necesaria una reforma urgente porque la pelea entre la industria y los usuarios de internet es muy desproporcionada.

– Algunos podrían sostener que esas leyes van en contra de “la naturaleza” o “la lógica” de internet. ¿Es posible una legislación acorde?
Sobre este tema existen dos posturas bien marcadas. Por un lado, hay un sector que sostiene que en internet toda la cultura debe ser libre y estar disponible para la humanidad sin restricciones. Pero por otro, están los autores y grupos empresariales que quieren proteger sus derechos, cobrar por sus creaciones y decidir quién o cómo se distribuyen sus obras (contenidos, música, películas, imágenes, software, etc). Ante estas posturas, lo que sí me parece es que nosotros formamos parte de la generación de la historia que tiene la tarea de tomar las primeras decisiones al respecto: somos la generación que tiene que discutir y decidir sobre cómo regular la web.

– Cameron le acaba de “declarar la guerra” a la pornografía infantil. Sobre ese tema, ¿existe un mayor consenso?

Así es. La producción y distribución de material pornográfico infantil es un delito aberrante y, por suerte, la mayoría de las policías e investigadores de los diferentes países se encuentran unidos para perseguir y atrapar a las redes de pedofilia en todo el mundo. Dicha distribución está prohibida y penada por todos los tratados internacionales y en la mayoría de las legislaciones y códigos penales.

– Sin embargo, organizaciones civiles como Open Rights Group, Índice de la Censura y el Big Brother Watch cuestionaron la decisión del premier inglés por considerar que existe un riesgo de que los filtros actúen contra otros contenidos, e incluso un número aún mayor de críticos que no creen que el proyecto vaya a la raíz del problema. ¿Qué expectativas tiene usted con relación a la decisión?
Creo que la iniciativa de Cameron tiene intenciones muy nobles, ya que todo padre querría que sus hijos no tengan acceso irrestricto a la pornografía. Pero ¿es esa la solución definitiva al problema? La respuesta claramente es no. No creo que obligar a los proveedores de servicios de internet a que utilicen herramientas para prohibir el acceso a sitios pornográficos sea la solución. Como existen múltiples formas técnicas de saltar esta prohibición, eso sólo les hará un poco más compleja la tarea a los que quieran acceder al material. Incluso los niños, que son grandes usuarios de tecnología, van a encontrar la forma de sortear los impedimentos. Sostengo que estas decisiones deben complementarse con políticas de educación y campañas de sensibilización a toda la sociedad en el uso responsable y seguro de las nuevas tecnologías de información.

– Para regular estos contenidos, ¿es necesario que los gobiernos negocien un acuerdo con los proveedores de internet?
En principio, si un gobierno tiene determinación política y sanciona una ley al respecto, todos deberán cumplirla, moleste a quien moleste. De hecho, existen países en donde los gobiernos presionan un botón y desconectan internet en un instante sin consultarlo con nadie, como ocurrió en Egipto frente a las revueltas sociales. De todos modos, no sería descabellado suponer que pudo haber existido lobby de empresas proveedoras y de buscadores de internet para tratar de impedir esta decisión por ir en contra de sus intereses. Nunca se sabrá.

Por el momento, los vacíos legales abundan y los rechazos a los controles crecen, sobre todo en los países occidentales. ¿Cómo alcanzar el punto medio? ¿Cómo controlar sólo los elementos ilegales sin afectar la libertad de expresión y de libre circulación de contenidos en la web? Éstas son algunas de las preguntas que debemos empezar a pensar para que las decisiones que se tomen no nos encuentren desprevenidos.

Fuente:  Infobae América

Entrevista a Brian Krebs

julio 27, 2013 § Deja un comentario

Hispasec ha tenido el placer de entrevistar a Brian Krebs. Conocido por su etapa anterior como reportero del Washington Post y actualmente por su blog “Krebs on Security”, Brian es un referente en cuanto a investigación y análisis de las técnicas y “estado del arte” del mundo del crimen en Internet. En particular destacan su serie sobre Skimmers (técnicas de fraude en cajeros automáticos), pero sobre todo por el detalle con el que destapa y relata los movimientos de auténticos capos y organizaciones criminales que pueblan la red.

Os reproducimos la entrevista realizada traducida al español y también el original en inglés para aquellos de nuestros lectores que dominen la lengua inglesa.

Debes de ser una de las personas más odiadas por los criminales de Internet. Has sido amenazado e incluso, hace unos meses te enviaron a casa a los SWAT. Saben dónde vives. Después de ese incidente, ¿crees que merece la pena continuar? Significa que estás haciendo las cosas “bien” o estás molestando a la gente equivocada, ¿Dónde estaría el límite?.

¿El más odiado, eh?, quizás. Mi objetivo principal es acercar al máximo el cibercrimen haciéndolo comprensible y quizás menos misterioso a los lectores. Hoy en día hay mucho “hype” (exageración, humo) en la información del ámbito de la seguridad, pero pienso que dar pruebas y hechos de primera mano a la gente, más allá del “hype”, nos ayuda a todos a tomar mejores decisiones sobre cómo debemos protegernos en un entorno online. Respecto a tu pregunta ¡me sentiría ofendido si los criminales no se hubieran percatado! He documentado diferentes pruebas que indican que sí que lo han hecho, la noticia aquí:
http://krebsonsecurity.com/2013/05/krebs-krebsonsecurity-as-malware-memes/

¿Creés que más allá de que los criminales te tengan como objetivo o del posible “odio” que te profesen, también hay un cierto respeto?. ¿Es posible que los atacantes te utilicen para difundir sus actividades? ¿Ves esto como un “juego” o realmente como una batalla donde alguien ganará y perderá al final?.

Me gusta pensar que -al menos en este área- hay una delgada línea entre el amor y el odio. Es difícil saber cuánto hay de odio y cuánto de admiración a regañadientes o agradecimientos. Por ejemplo, mi impresión tras leer diariamente algunos de esos foros criminales, es que un gran número de las personas involucradas en el cibercrimen no tienen una buena opinión de los estadounidenses en general y en particular no les gusta que la gente que ellos creen que no están cualificados critiquen su trabajo. Por otro lado, como se dice en el gremio del periodismo -No existe la “mala prensa”- y muchos de los vendedores de innovadores servicios criminales pueden verlo como publicidad gratuita por parte de un periodista occidental. Si de verdad se enfadan por algo que he escrito, suele ser porque uno de sus “dominios” ha salido a relucir a la atención pública viéndose obligados a moverlos u ocultarlos.

Algunas veces, la información que facilitas en tu blog podría ser previamente desconocida, y hacerla pública podría verse como inconveniente, porque las fuerzas de la ley pueden usarla para arrestar gente, por ejemplo. Nos encontramos con el dilema del “full disclosure”. ¿Qué piensas al respecto? ¿Sacrificarías una buena historia por una buena causa?

Esto es normal y pienso que hay una natural y sana tensión dentro del área de seguridad — entre recolectar información por cualquier motivo y actuar sobre dicha información. Actuar sobre ella causa casi siempre un inconveniente en alguien más que en los malos, ya sean los investigadores, fuerzas de la ley o empresas de seguridad.

Las fuerzas de la ley tienen un duro trabajo. No solo tienen que saber quiénes son y dónde están los malos y cómo realizaron el crimen con detalle, sino que tienen que tener pruebas. Esto puede parecer obvio e incluso sencillo para el lector ocasional, pero los que están en seguridad pueden atestiguar sin duda que se puede ofrecer lo que podría considerarse un caso criminal en bandeja de plata, solo para luego oír a las autoridades decir que necesitan recolectar la información a su manera y según sus propias normas.

Así que, como muchas veces ocurre, lo que parece una apertura y cierre de un caso bajo el punto de vista de los expertos en seguridad, es un proceso mucho más complicado y laborioso. En cierta manera, así es como debería ser: Por razones de privacidad y desconfianza en general hacia el gobierno, la mayoría de la gente no desea que sus autoridades locales o federales sean demasiado eficientes a menos que, por supuesto, el caso les afecte a ellos directamente.

Pero es cierto que me he encontrado en más de una ocasión con historias que he dado en considerar muy buenas, con un completo conocimiento de que las fuerzas de orden estaban trabajando para llegar a las mismas conclusiones. Algunas veces una historia que parece lista para salir, se vuelve mejor cuando puedes añadir la perspectiva de una fuente oficial o presuntos implicados. Nunca he considerado esas historias como “sacrificios”. Las buenas historias no caducan, incluso el paso del tiempo les sienta bien. De hecho en este momento me enfrento a un caso mientras hablamos, en parte porque el individuo en cuestión es un menor, tengo curiosidad por saber cómo va a resultar.

Pero hablando como periodista, generalmente no retraso o aplazo una historia solo porque pueda resultar inconveniente a las fuerzas de la ley. Haciéndolo ganaría pocos puntos de cara a los investigadores puesto que raras veces parecen querer convertirlo en algo recíproco o entablar un acuerdo de intercambio de información.

¿Qué piensas sobre cooperar con las fuerzas de la ley para intentar detener el crimen de Internet? ¿Tienes buenas relaciones con ellos?

Por supuesto, suelo estar en contacto con agentes federales que investigan historias publicadas o casos de fraude sobre los que escribo y buscan más información al respecto.

Nunca revelo las fuentes y métodos con las fuerzas de la ley, pero normalmente no dudo en compartir o responder preguntas directas sobre algo que he escrito, asumiendo que la información no es privilegiada de alguna manera. Pero de nuevo, seria una tontería esperar una actitud recíproca cuando se comparte información: las fuerzas de la ley de los EE.UU son muy buenas tomando información pero reconocidamente tacaños a la hora de ofrecer algo útil a cambio. Tengo una relación de “toma y daca” con un puñado de fuentes policiales, pero estos son amigos que han acabado en estos puestos o bien gente que he ido conociendo desde hace tiempo – son la excepción y no la regla.

Cuando necesitas un conocimiento técnico más profundo, ¿a quién acudes?

He tenido la suerte como periodista de poder trabajar en el Washington Post, lo cual te abre muchas puertas en la comunidad de la seguridad que quizás de otra manera no se hubieran abierto tan fácil o rápidamente. Dicho esto, me esfuerzo en cuidar las fuentes que no solo tienen un profundo conocimiento de la materia, sino que además disponen de habilidades prácticas, para meterse entre toneladas de datos y encontrar la aguja en el pajar que ayuda a enhebrar el resto de la historia. A menudo, estos no son los mismos que ofrecen las mejores citas en el artículo (o incluso que tengan permiso para ser citados en un artículo). No podría conseguir la mayoría de mis historias sin la decisiva ayuda de estos profesionales mucho más inteligentes que yo que saben discernir y analizar los detalles importantes de la paja. Por desgracia, estas personas a menudo no pueden aceptar el reconocimiento público de su ayuda.

Si tuviera que apuntar a algo o alguien como responsable de fraude organizado en Internet (aparte de los atacantes), ¿quién o qué sería?, ¿el tratamiento de vulnerabilidades? ¿la impunidad de las empresas de pago?

Tal y como mencionas, hay una gran oscurantismo sobre los pagos financieros, creo que ese es exactamente el objetivo de los malos. Actualmente, hay un gran aumento de las innovaciones y ofertas en las tarjetas de prepago. Es precisamente donde estamos viendo un gran crecimiento en la actividad criminal. Son instrumentos financieros casi tan transparentes como el mercado del revendedor de hosting. Muchas veces es difícil incluso para los profesionales financieros entender cómo están interconectados los sistemas de pago, o incluso qué empresa se encarga de la gestión y supervisión de una red de prepago específica. A los estafadores les encanta esto porque cuanto menor es la transparencia en un sistema que quieren explotar, menos probable es que haya suficiente supervisión/control y equilibrio para detectar y bloquear la actividad en un tiempo significativo y eficaz. Lo hemos visto una y otra vez con cajeros automáticos que usan plataformas de prepago comprometidas. La retirada de dinero de los cajeros son incidentes del tipo “coge el dinero y corre” muy lucrativos, y por lo tanto de un alto “nivel criminal”. Pero los fraudes prepago basados en pequeñas cantidades pero mayor volumen están tomando cada vez más importancia en el mundo criminal de otras muchas maneras menos perceptibles.

Los otros dos grandes contribuidores al fraude son probablemente la geografía y la inercia. Un enorme porcentaje de los responsables de la innovación y herramientas que se utilizan en la mayoría de los delitos informáticos viven en países que por lo general no se han mostrado muy cooperativos ayudando a otros países a llevarlos ante la justicia. Si esto no fuera así, les sería mucho más caro y difícil a las organizaciones criminales conseguir los medios para realizar sus delitos.

Por último, aunque soy consciente del hecho de que las compañías de software necesitan mejorar sus procesos de testeo y la seguridad de sus propios productos antes y después de su publicación, esto no excusa el importante papel del usuario. No voy a voy a hacer ninguna de las manidas y aburridas analogías que comparan el usuario a un conductor de coche o al software con la seguridad del automóvil, pero la realidad es que de alguna manera tenemos que hacer un mejor trabajo para concienciar a la gente la importancia de tomarse en serio la seguridad.

Hay una tensión constante y natural entre la seguridad y la facilidad de uso, todo el mundo podría beneficiarse de herramientas de seguridad más fáciles de usar y eficaces. Pero la seguridad es algo que debe primar, porque, de lo contrario, ya sería demasiado tarde. Así que el usuario necesita, en primer lugar, ser informado acerca de la naturaleza de la amenaza, y comprender que para la gran mayoría de nosotros, no es una amenaza personal, sino más bien oportunista. Esta es la idea principal que he tratado de transmitir con mis gráficos educativos, el valor residual de un PC comprometido (http://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited), y el valor de una cuenta de correo electrónico comprometida (http://krebsonsecurity.com/2013/06/the-value-of-a-hacked-email-account/). Te des cuenta o no, el equipo y la información que contiene tienen un valor que puede ser extraído y revendido. Y si fallas a la hora de proteger adecuadamente algo que tiene un valor de reventa tan sencillo, al final dejará de pertenecerte.

¿Se ha perdido la figura del verdadero reportero con los blogs? ¿Qué es lo que les está echando a perder?

R: No lo sé. Por conversaciones con mis colegas de los medios de comunicación sé que en mayor medida se les está pidiendo hacer más con menos, y por menos. Las publicaciones buscan cada vez más el número de visitas que historias que tienen un impacto, historias que necesitan tiempo para ser investigadas profundamente. Al mismo tiempo, hemos visto una explosión de investigadores independientes y escritores que han tomado el relevo. Dejaré la especulación sobre el futuro de la industria de los medios y las tensiones entre los “nuevos” y “viejos medios” a los demás, pero parece claro que, al menos, en el espacio de seguridad no falta periodismo de investigación por hacer.

¿Cuál es su percepción del ciber-crimen organizado en el futuro?

Uno mejor financiado, a tiempo completo y teniendo en cuenta seguridad operacional. Incluso si sólo uno de esos puntos se convierten en la norma, la lucha contra la ciberdelincuencia se volverá mucho más difícil.

¿Tomas alguna medida preventiva antes de utilizar un cajero automático? ¿Alguna vez has descubierto un skimmer? Si es así, ¿cómo reaccionó el personal del banco?

Primero me centro en mi propia seguridad, segundo en skimmers y mirones. Cuando manejas grandes cantidades de efectivo es más probable que te asalte un ladrón a que te hagan un skimmer. Pero es curioso… una vez que sabes lo rertorcidamente bien diseñados y hechos que pueden ser los skimmers, es muy difícil evitar forcejear y curiosear con los cajeros que usas para retirar el dinero. De hecho, se ha vuelto tan obsesivo para mí que incluso inspecciono cajeros por los que paso por delante y ni tengo intención de usar. Por desgracia, todavía me queda por descubrir un skimmer personalmente.

¿Crees que podrían tratar de infectarte con algún malware hecho a mano dirigido especialmente contra ti (aprovechando algún 0day, tal vez)? ¿Lo han intentado, ya?

Soy tan susceptible a los “0 day” como el que más, pero soy muy paranoico, y prefiero hacer la mayor parte de mi trabajo online dentro de las máquinas virtuales (o al menos en máquinas que no tengan Windows). Ya sabes lo que dicen: ¡Que seas paranoico no significa que no todo el mundo esté tratando de seguirte!

¿Cuáles son las medidas preventivas que tomas en tu sistema Windows personal para evitar el malware? ¿Y para evitar las amenazas más avanzadas? ¿Cuál consideras que es la herramienta más útil, aunque personalmente no la hayas utilizarlo?

Tener el control del scripting en el navegador es muy importante, pero también es de las fórmulas que más cuesta adoptar al usuario ocasional de Internet. Sandboxear aplicaciones cuando sea posible con herramientas como Sandboxie y aprovechar al máximo la herramienta EMET de Microsoft son consejos muy útiles para el bloqueo de muchos ataques. Eliminar el software que no se necesita y los plugins del navegador es muy importante también.

Fuente: Hispasec

Internet Watch Foundation: la dura lucha contra la pedofilia

julio 22, 2013 § Deja un comentario

Imagina que acabas de llegar a tu trabajo como todos los días, a las ocho de la mañana. En el ordenador de tu mesa de despacho te esperan treinta vídeos de abusos a menores que tendrás que visionar y analizar. Después de comer deberás ponerte con un centenar de imágenes tanto o más perturbadoras. Así es el duro día a día de los empleados de la Internet Watch Foundation (IWF), una fundación británica sin ánimo de lucro que se dedica a rastrear la Red en busca de contenido pedófilo, para comunicarlo a la polícia. La IWF está financiada por las compañías de Internet, y sus empleados tienen permiso de las autoridades para pasear por los callejones más perversos de la Red, allí donde se pone en duda la humanidad de los individuos que abusan de los más inocentes. A veces, sus propios padres.

El periódico The Guardian publica una entrevista a algunos de los enpleados de la IW​F, en donde nos revelan el día a día de su duro trabajo. La plantilla se compone de unas 20 personas, la mitad de las cuales se dedican a labores administrativas, mientras unas ochos personas componen el departamento de análisis. Ambas secciones trabajan en salas separadas y los de administración no pueden entrar en la sala de analistas hasta que hayan eliminado las imágenes de abusos de las pantallas.

La IWF recibe cada día 100 o 200 avisos de la policía o de usuarios anónimos de Internet, que deben investigar. Los analistas han sido previamente seleccionados tras complejas entrevistas, análisis psicológicos y un duro entrenamiento que incluye el visionado de imágenes pedófilas de gran dureza. No todos aguantan la prueba. Un ex-oficial con amplia experiencia en Irak no se sintió con fuerzas para aceptar un puesto. Los analistas intentan no empatizar con la víctima, para centrarse en su trabajo: detectar el grado de dureza, encontrar pistas para localizar a la víctima y protegerla, e informar a la polícia. Intentan ver los vídeos sin audio, salvo que busquen pistas, y lo hacen cuadro a cuadro, sin reproducirlo, si es posible. Se animan pensando que van a eliminar esas imágenes de Internet y van a ayudar a las víctimas.

También realizan labores de detectives, pues intentan descubrir dónde se grabaron las imágenes: de qué región proviene el acento de los que hablan, un título de un libro, la forma del enchufe de la pared, las tiendas que se ven a través de una ventana, el logotipo de un uniforme escolar…

Algunos de ellos, en mitad de una dura sesión de trabajo, salen a dar un paseo por el lago cercano, o desconectan echando una partida al Super Mario o a los bolos en la Wii que hay en la oficina. Todos participan en sesiones de orientación piscológica obligatorias al menos una vez al mes, y terapia de grupo cada quince días.

Cuando detectan contenido ilegal, avisan a la polícia y al servidor de Internet que aloja la página. Si está en el país el contenido se borra en menos de una hora. Si es una reclamación internacional se ponen en contacto con las agencias de vigilancia de otros países, que tomarán el relevo.

En 1996, el Reino Unido alojaba el 18% de todo el contenido pedófilo. Gracias al trabajo de las operadoras de Internet y de la IWF, este porcentaje bajó al 1% en siete años. Dos veces al día, envían una lista de webs bloqueables a Google y BT, que las desactivan.

Desde la IWF alertan sobre el preocupante aumento del sexting, el sexo entre menores que se autograban utilizando el smartphone. Durante el último año encontraron 12.224 imágenes y vídeos de menores grabados por ellos mismos, que los pedófilos descargan a sus propios servidores y luego los distribuyen “por temas”.

Pero, tal como confiesa uno de sus analistas, están convencidos de lo que hacen: “Amo mi trabajo. Es el trabajo más gratificante que nunca he hecho, y la mayoría de mis compañeros piensan igual”. Cuando vuelve a su casa tras un duro día en la oficina, se relaja tocando el violín. No lo hace muy bien, pero le ayuda a desconectar de la dura realidad que se esconde en los más siniestros recovecos de la Red.

Fuente: Computer Hoy

Los mayores "riesgos escolares" en la red

abril 15, 2013 § 1 comentario

La página Segu-Kids fue creada con el objetivo de que todo lo que suceda en Internet con los hijos, se mantenga dentro de la familia. Su creador, Cristian Borghello, experto en seguridad informática, además de una serie de consejos “tecnológicos” destinados a despabiliar a los padres, propuso un “pacto digital” entre padres e hijos, en base a reglas de “convivencia”, de respeto mutuo, para el uso más seguro de la red.

En base a una serie de postulados, expuestos en detalle en http://www.segu-kids.org, el padre se compromete a informarse sobre los “amigos de la red”, pero también a “no reaccionar en forma exagerada” si sus hijos le cuentan “algo malo” que han hecho o encontrado en Internet. Los hijos, a su vez, aceptan el monitoreo paterno y prometen no vincularse con nadie “desconocido” en la red.

El interés que generó su sitio hizo que Borghello iniciara un recorrido de charlas en colegios, orientadas a la comunidad educativa. En el resumen de riesgos que recogió de su experiencia, Borghello considera que las modalidades más difundidas de “ataque” hacia los menores en la red son: a) El “grooming”, en el que un adulto simula ser un menor con fines de captación, persuasión o delito sexual. b) “Acoso escolar” o “Cyberbullying”, en el que un alumno es “castigado” en su vida digital por sus propios compañeros: le deforman sus fotos, lo insultan o crean foros en su contra, con un enorme perjuicio emocional para el menor y c). El “Sexting”, que ocurre cuando las preadolescentes se toman una foto en ropa interior para enviarla al ámbito de amigos de la escuela, y que termina circulando fuera de ese círculo, incluso en redes de pornografía infantil.

“La investigación policial no tiene recursos para enfrentar los delitos que se generan a través del avance tecnológico. Tampoco hay decisión política por parte del Parlamento o el Estado para proteger legalmente a los menores. Y los riesgos son muchos”, observa Borghello.

Fuente: Clarin

Pekka Himanen: “Los chicos son todos originalmente hackers”

noviembre 29, 2012 § Deja un comentario

Pekka Himanen parece demasiado joven para haber escrito La ética del hacker. En ese manifiesto, publicado en al 2001, el intelectual finlandés (quien recibió su doctorado en filosofía a los veinte años) intenta a definir el espíritu de trabajo que caracterizaba el mundo de los programadores como Linus Torvalds, el creador del sistema operativo de código abierto Linux — o a Steve Wozniak, el cofundador, junto a Steve Jobs, de Apple Computer. Himanen no inventó el término Hacker, ni tampoco su definición original: un programador o científico de computación quien trabaja esencialmente por el amor de solucionar problemas interesantes y difíciles en conjunto con un grupo de colegas cuyo primordial código ético es compartir la información.

Lo que si hizo Himanen con su libro fue contraponer el espíritu hacker con la ética protestante definida por Max Weber en La ética protestante y el espíritu del capitalismo. De esa forma intentó definir un nuevo espíritu de trabajo para el tercer milenio. Según la amplia definición de Himanen uno puede adoptar el espíritu hacker sea cual sea su profesión porque en su esencia significa hacer las cosas con alegría y pasión dentro de un colectivo que comparte los mismos valores.

El prólogo de La ética hacker fue escrito por Linus Torvalds, también finlandés. El posfacio fue escrito por el renombrado sociólogo español, especialista en la sociedad de la información, Manuel Castells. En fin, como un experto surfeador, Himanen pescó una gigantesca ola en su justo momento. Esa ola aun lo propulsiona por la vida, llevándolo a lugares insólitos, como -por ejemplo- el salón de desayuno de un hotel porteño ubicado el triste punto muerto entre la Calle Corrientes y la Plaza del Congreso. Fue invitado a Chile y Argentina por la Cátedra Globalización y Democracia de la Universidad Nacional de San Martín y la Universidad Diego Portales, de Chile, junto con la Fundación OSDE.

Allí en el hotel entonces, en una mañana de intensa lluvia, hablamos con Pekka Himanen, hoy de 39 años, mientras se tomaba un jugo de naranja y comía un pan con jamón. Himanen es cortés y correcto, pero al principio de la entrevista uno siente que a veces da respuestas programadas, como un político. Pero escuchando su voz, después, en el grabador, uno se da cuenta que lo que le pasa es que su inglés es laborioso. Se expresa con precisión y elocuencia, pero formula las palabras habladas pausadamente y con extrañas, pero no desagradables, pausas. Como si fuera el actor Christopher Walken haciendo la voz del conde Drácula.

¿Cuanta relevancia tiene su libro “La ética del hacker” hoy, once años después de su publicación? Internet ha cambiado tanto en ese tiempo. Creo que solo se ha hecho más relevante. Ahora tememos, realmente, muchos ejemplos de la ética del hacker. Cómo la fuerza del movimiento código abierto, por un lado. Por ejemplo el hecho de que un tercio de Internet funciona con Linux y de que tres de cuatro smartphones andan con Linux, ya que Android esta basado en Linux. Y todo tipo de grabadores digitales, como el que estas usando ahora… y hasta estaciones de servicio lo usan.

Entonces, por un lado, se ha visto que el código abierto se ha convertido en el centro de nuestra infraestructura tecnológica en la era del Internet. Pero después, por el otro lado, también puedes ver cómo se va hacía adelante fuertemente una ética de trabajo creativo en el mundo de los negocios. Este libro, La ética del hacker, fue un best seller en Silicon Valley, originalmente. Y yo diría que todas las cosas que han pasado con Google y Apple son ejemplos sobre cómo se puede crear valor económico —por ejemplo, Apple convirtiéndose en la empresa con mejor valor de mercado en el mundo— hacen énfasis en este traspaso que ha ocurrido entre la ética del mundo industrial y la ética creativa en la era de la información.

Esta ética hacker que usted describe no se limita al mundo informático o tecnológico, tiene aplicaciones en cualquier disciplina. ¿Sabe si este libro fue leído y tuvo influencia en otros sectores fuera del netamente tecnológico?
He tenido gente de variadas profesionales que se acercó a decirme: yo soy un hacker. Que comparten el mismo espíritu. Como sabes, el centro de la idea es sobre ser apasionadamente creativo sobre lo que haces y hacerlo en conjunto con otros. Pero eso lo puedes hacer en cualquier campo. Y mi propio trabajo mas reciente ha sido sobre la cultura de la creatividad en otros campos.

¿Este libro, La ética del hacker, resulta ser un peso para usted? ¿Es como la canción popular de un cantante que siempre tiene que cantar por más que se haya cansado del tema?
No, para mí esto es como la formulación clave del espíritu de la era de la información. Es una nueva ética de trabajo que reemplaza la ética de trabajo de Max Weber. Pero al mismo tiempo es el comienzo para un proyecto más grande para comprender esta cultura de la creatividad. Y yo he trabajado mucho analizando los principales centros de creatividad en el mundo, tanto tecnológicos, científicos y artísticos. Y siempre tienes los mismos elementos: la creatividad y la pasión combinadas con interacciones enriquecedoras.

El modelo viejo de desarrollo ha llegado a un punto sin salida con la crisis global que comenzó en el 2008. Lo que yo llamo la gran recesión. Y necesitamos renovar la economía y la dimensión del bienestar y la dimensión ecológica. Entonces recientemente he estado investigando sobre cómo usar esta cultura de la creatividad para reformar nuestra economía hacía una forma más sustentable… y después reformar la cultura del bienestar de una manera más sustentable: lo que llamo el estado del bienestar 2.0. Estos son los temas que me ocupan ahora.

Mucho de los hackers, sea cual sea su profesión, son autodidactas y contra-culturales. ¿Se puede enseñar la cultura de la ética del hacker e incorporarlas a las instituciones tradicionales de la sociedad?
Bueno, yo también he conducido escuelas filosóficas para niños. Para chicos desde cuatro años, ocho años y doce años. Son todos, originalmente, hackers. Entonces no se trata de crear algo que no esta allí. Simplemente tenemos que parar de sacar ese hackerismo originario. Porque el tipo de preguntas que todos somos capaces de preguntar sobre el mundo con curiosidad y pasión sobre todo — eso ya esta en los chicos.

Hasta el proceso de aprendizaje que usan los hackers donde comienzas por encontrar algo lleno de sentido; procedes de allí a hacerte preguntas, de formular ideas; y después comienzas a usar todos los recursos que están a tu disposición, pero los usas críticamente porque quieres crear una gran solución; y lo haces en conjunto con otras personas; y todo esto esta motivado por un relato con sentido. Esto es lo que hacen los chicos.

El sistema educacional es un tema central para mí. Como criamos los niños es la pregunta fundamental. Porque eso es realmente donde reproducimos nuestros valores culturales. Entonces esta es un área en donde yo he trabajado mucho. Tenemos que crear la escuela 2.0, o la universidad 2.0. Tenemos que ayudar a la gente descubrir sus pasiones creativas en la vida y poder desarrollarla.

Adicionalmente, creo que la educación es el único lugar donde la igualdad de oportunidades se puede ofrecer de verdad más allá de cual es tu entorno social o económico. En una sociedad justa tienes igual oportunidad para realizar tu potencial único en la vida. Pero es complicado. En Finlandia hemos podido crear una combinación que es muy rara, que tenemos escuelas públicas, gratuitas y de excelente calidad. Hay mucha inversión del estado en la educación de docentes.

¿Y en Finlandia los docentes pueden vivir bien con lo que ganan?

Sí, viven bien con su salario. Y un punto importante es que muchos de los mejores alumnos quieren ser docentes. Eso no pasa en muchos países. Según estudios de la Organización de cooperación y desarrollo económico (OECD) nuestros alumnos son numero uno en todas las categorías, desde el alfabetismo hasta la matemática, desde las ciencias naturales hasta la habilidad de solucionar problemas.

Entonces, para mi el sistema de educación es el espejo de la sociedad. Es el espejo de nuestros valores verdaderos.

En sus comienzos la Web estaba manejada y consistía más bien de una población de personas con intereses mutuos: científicos y nerds (en el buen termino de la palabra). Ahora se ha masificado. Mi pregunta es: ¿Siente que la Web, como comunidad, ha perdido su energía y su encanto en los últimos 15 a 20 años?
Primero es bueno recordar que estamos hablando más o menos de 15 años. De hecho la revolución de la Web, si fuera un ser humano, aún sería menor de edad: tiene menos de 18 años. ¡La Web no puede legalmente comprar alcohol! Entonces es un acontecimiento que ha tenido una velocidad asombrosa. Nada en la historia se ha dispersado por el mundo con tanta velocidad. Entonces, por supuesto, ha habido muchos cambios. En el principio era más para la gente involucrada con las computadoras, porque era muy técnico. Pero yo diría que el corazón de Internet no ha cambiado. Tecnológicamente aun esta basado en código abierto, entonces es un esfuerzo colectivo y creativo. Y la mayoría de la Net aun es gratis.

¿Cuáles, entonces, son las diferencias más notorias para usted, entre el pasado y el presente?
En el comienzo de Internet la gente no compartía toda su vida con todo el mundo. Como sabes, Max Weber también hablaba sobre como la ilustración quito el misterio de la vida. Y en realidad yo pienso que tenemos que traer de vuelta el misterio, porque es realmente poco interesante si una persona revela todo. Esa es una tarea para ahora en Internet: recuperar el misterio.

Hay una tesis que dice que el uso del Internet nos esta haciendo superficiales, que nos está quitando la capacidad de concentrarnos. ¿Esta idea le preocupa a usted? ¿Nos estamos estupidizando por la forma en cual usamos Internet?
Hace diez años, por ejemplo, a ningún académico serio se le hubiera ocurrido citar una enciclopedia. Pero ahora es algo que ocurre. Pero, por otro lado tendría que decir que Internet es un espejo de nosotros mismos. No hay nada en el Internet que no estuviera en nosotros en un primer lugar. Entonces, por ejemplo, si hay un problema de información faltante en Internet, uno debería recordar que la mayoría de las cosas que oímos de las otras personas en la vida le esta faltando información. Hay un problema de mala información en la vida también. Hacen falta los mismos tipos de habilidades críticas mirar Internet como mirar a la vida. Pero no todo el mundo está acostumbrado a ejercer esa actitud crítica.

¿Quería saber cuáles son los libros más importantes que ha leído? ¿Cuál recomendaría a un joven, por ejemplo, que recién comienza a leer en serio y pensar en serio sobre la vida?
Hay tantos libros que han sido importantes para mí, pero para contestar esta pregunta, realmente recomendaría solamente uno. Tal vez sea un poco sorprendente, pero recomendaría que todo el mundo leyera El hombre en busca del sentido de Viktor Frankl. Y fundamentalmente para mí, La ética del hacker es sobre nuestra búsqueda del sentido y de una vida con sentido.

Ultima pregunta. Parece ser un optimista. ¿Tiene esperanza en la humanidad?

Siempre me interesó más contar las cosas sobre las que estoy a favor en vez de las que estoy en contra. Porque la segunda no ayuda solucionar problemas. Tal vez eso sea parte de la ética hacker también. El hacker solo tiene, de alguna manera, dos principios: arreglar lo que no funciona y, lo que funciona, déjalo en paz. Además, en la historia, todo fue imposible hasta que fue posible. Sin duda, los seres humanos tenemos capacidad creativa. Es cuestión de hacerla funcionar.

Fuente: Ñ

“Alan Turing fue esencial para ganar la Segunda Guerra Mundial”

octubre 28, 2012 § Deja un comentario

La segunda mitad de 1940 y la primera de 1942 fueron conocidas por las tripulaciones de submarinos alemanes como los tiempos felices. Durante esos meses, sus victorias en la campaña del Atlántico fueron numerosas y sus riesgos, limitados. Como cuenta Pedro Bernal, teniente general del Ejército del Aire y ex director del Centro Superior de Estudios de la Defensa Nacional (CESEDEN), esas dos etapas de triunfos coinciden con la inclusión de novedades dentro de Enigma, la máquina empleada por Alemania para sus comunicaciones seguras durante la Segunda Guerra Mundial.

Esta relación entre los triunfos aliados y su capacidad para interceptar las comunicaciones enemigas ofrece una idea del valor del trabajo del matemático Alan Turing y todo el equipo que trabajó desde la mansión de Bletchley Park, en Buckinghamshire (Inglaterra), para desencriptar los mensajes nazis. En una conferencia enmarcada en el simposio internacional El legado de Alan Turing, organizado por la Fundación Ramón Areces en el centenario de su nacimiento, Bernal ofreció su visión sobre la relevancia del trabajo de inteligencia del matemático británico, que pudo acortar la guerra hasta dos años y fue esencial para la victoria aliada.

¿Habrían ganado la guerra los aliados sin Turing? 
No sé si sin Ultra [el programa británico para romper los códigos alemanes] o sin Turing, pero desde luego sin las labores de inteligencia que desarrollaron, no. Creo que la importancia de este trabajo se podría valorar aún mejor si pudiésemos aplicar un método científico riguroso para ver qué cantidad exacta de mensajes se consiguió descifrar y cuándo. Se podría establecer una medida del éxito de la inteligencia mucho más precisa, pero por la propia naturaleza de los materiales de los que estamos hablando, todo eso ha sido confidencial y ha estado clasificado. Pero en cualquier caso, creo que en aquel combate de las armas que se trasladó a las ondas, sin el trabajo de Ultra, posiblemente, no se habría ganado la batalla del Atlántico, y creo que el trabajo de Turing, si no fue una causa excluyente, desde luego fue un factor esencial para el triunfo.

Usted ha observado una relación entre las innovaciones alemanas en sus sistemas de encriptación y etapas de más éxitos militares para sus ejércitos justo a continuación. ¿Por qué no introdujeron esas innovaciones con más frecuencia?
Hay un debate, todavía hoy, sobre hasta qué punto los alemanes sabían que eran vulnerables en algún aspecto, por aspectos de diseño de la máquina o por procedimiento. Creo que ellos lo sospechaban, aunque no tenían certeza. Por otro lado, incluso cuando capturaban alguna máquina, había quien decía que daba igual, porque, aunque tuviesen la máquina o los códigos, la utilización que se estaba haciendo de ellos y los cambios que se estaban realizando día a día harían imposible que los enemigos accediesen a la información. Pero entiendo que ellos sospechaban que algo funcionaba mal porque también veían que cuando introducían un cambio, observaban una mejora que después con el tiempo se difuminaba.

¿Pudieron hacer algo más para evitar que se interceptasen sus mensajes?
Ellos hacían cambios de carácter disciplinario, de protocolos, pero para mí hay algo más que podían haber hecho. Basaron tanto sus mensajes en Enigma que posiblemente con eso facilitaron el que redes o mensajes que no eran tan opacos pudieran ser descifrados y comprometiesen el resto. Si hubieran concentrado la utilización de Enigma para aquellos mensajes de importancia capital, y el resto los hubiesen transmitido por otras redes, habrían dificultado mucho más la labor a quienes querían romper el código.
Al principio, los propios británicos creían que el sistema de codificación era indescifrable, salvo Turing.

Cuando Turing se incorpora al barracón [dirigió el barracón 8, la sección responsable del desciframiento de los códigos navales], hay una situación de desconcierto. Aunque saben que se está utilizando una máquina y ya han visto las versiones comerciales de esta máquina, la cantidad de combinaciones que ofrece hace que vaya a ser prácticamente imposible descifrar el código o al menos hacerlo a tiempo para que la información sea útil. El único que da un paso adelante y dice “este problema se puede abordar” es Turing. Él basa toda su filosofía en tratar de eliminar parte de esa maraña de alternativas. El cálculo que se hace de esas alternativas es secuencial. Primero, cuántas combinaciones se hacen de cinco rotores cogidos de tres en tres, después, las 26 letras de cada rotor, multiplicadas por las de los otros rotores, y así sucesivamente. Cuando se juntaban todos estos elementos, y se empezaban a hacer cálculos, salía una cantidad de ceros que asustaba. Turing se dio cuenta de que la clave estaba en descartar parte de esa complejidad en cada una de las etapas. Con un sistema de cribas lograba quedarse con números más digeribles, y llegaron a trabajar con problemas que implicaban hasta 106.000 alternativas, que puede parecer mucho, pero era una cifra abarcable para las máquinas de las que disponían.

¿Quién era la gente que estaba en el otro bando?¿A quién ganó Turing?
Turing en realidad vence al sistema Enigma y a toda la lógica que contiene. Al que vence es al creador de la máquina. Cuando las fuerzas armadas cogen esta máquina, van introduciendo mejoras y hacen un diseño, sobre el original de [el ingeniero alemán Arthur] Scherbius, para utilizarla con más efectividad. Hay un lado en el que uno está luchando con su inteligencia contra otros que están luchando con una máquina muy efectiva a la que están sacando un rendimiento máximo introduciéndole mejoras. Pero no se puede hablar de una batalla entre equipos.

¿La criptografía tiene ahora la misma importancia para los ejércitos del mundo?
Siempre. Vivimos en la época de la información y en la red hay mucho ruido, pero también mucha información útil, que se ha de saber aprovechar. Ahora, además, estos sistemas de criptografía están en muchos otros lugares, como los hospitales o en la propia Administración. A medida que ha crecido la información, ha crecido la necesidad de asegurarla. Pero en cualquier caso, como sucedió en la época de Turing, aunque se tienen máquinas mucho más potentes, lo que determina el éxito en su uso es el cerebro que se suma a la máquina.

Fuente: Materia

¿Dónde estoy?

Actualmente estás explorando la categoría entrevistas en Seguridad Informática.