Contraseñas de sitios GOB.AR comprometidas por la filtración de #Adobe

noviembre 15, 2013 § Deja un comentario

Como se sabe, la última semana Adobe ha “perdido” 130 millones de credenciales de sus usuarios. En este archivo figuran el correo electrónico del usuario, su contraseña cifrada en 3DES en modo ECB, y el recordatorio de clave que el usuario haya colocado. El formato es el siguiente:

ID_XXX-|--|-usuario@dominio.com-|-Pass_3DES-|-RECORDATORIO_PASS|--

Esta fuga de información esta considerada como una de las más grande de la historia así que luego de descargar el archivo de 10GB (descomprimido) he buscado algunos dominios que podrían ser interesantes para analizar y así verificar la fortaleza de las contraseñas utilizadas. Específicamente he puesto el foco en dominios .GOB.AR, aunque luego también lo hice con bancos y otras entidades importantes de la República Argentina.

Lo que he encontrado no me extraña en lo más mínimo y sólo es una muestra más de la falta de lineamientos claros del estado argentino con respecto a la seguridad de la información. En esta imagen se puede apreciar el volcado de datos así como los recordatorios de contraseña utilizados por estos usuarios, en donde claramente se puede ver lo sencillo que sería “adivinar” la contraseña, suponiendo que no se utilice ningún método para crackearlas:

He hallado un total de 260 usuarios de distintas dependencias gubernamentales argentinas y, sobre ellas adicionalmente he realizado un pequeño recorrido por las contraseñas más utilizadas resultando lo siguiente:

  • EQ7fIpT7i/Q= - 123456 - 7 usuarios
  • BB4e6X+b2xLioxG6CatHBw== - adobe123 - 1 usuario
  • j9p+HwtWWT/ioxG6CatHBw== - 12345678 - 1 usuario
  • 5djv7ZCI2ws= - qwerty - 1 usuario
  • dQi0asWPYvQ= - 1234567 - 1 usuario

 Por supuesto ya hay varios trabajos relacionados en romper estas contraseñas y varias empresas que han estado trabajando en el descifrado completo del archivo, tratando de deducir información adicional, sin siquiera llegar al extremo de aplicar fuerza bruta con las herramientas disponibles. Doy por descartado que alguien ya ha descifrado el archivo completo o gran parte de él.

Todo lo dicho no es más que una excusa para mencionar que, si trabajas en una entidad de gobierno, no utilices contraseñas triviales, porque ese es el principal motivo para que luego los sitios gubernamentales sean atacados con éxito. Si no trabajas en una entidad de gobierno, cambia tus contraseñas y agradécele a Adobe su pésimo trabajo protegiendo la información. Incluso Facebook ha avisado a algunos usuarios que deben cambiar su contraseña por este motivo.

Mientras tanto, si quieres ahorrar trabajo (y confías en ellos) puedes buscar tu email en línea en el sitio de LassPass.

Cristian de la Redacción de Segu-Info

Anuncios

Una carpa inviolable: el arma secreta de Obama para protegerse de los espías

noviembre 12, 2013 § 2 comentarios

Se instala en los hoteles cuando viaja al exterior. Allí ingresa para eludir posibles cámaras de videos o micrófonos.

Cuando el presidente Barack Obama viaja al extranjero, su personal empaca libros de instrucciones, regalos para los dignatarios extranjeros y algo que se relaciona más con el salir de campamento que con la diplomacia: una carpa.

Aun cuando Obama viaje a países aliados, sus asistentes rápidamente arman una carpa de seguridad –con paredes impenetrables y dispositivos de ruido en su interior– en una habitación de hotel cercana a su suite. Cuando el presidente tiene que leer un documento confidencial o mantener una conversación sensible, entra a la carpa para protegerse de las cámaras de video secretas y los dispositivos de escucha.

Los agentes de seguridad de los Estados Unidos exigen que sus jefes –no sólo el presidente sino también los miembros del Congreso, los diplomáticos, los funcionarios y los militares– tomen esas precauciones cuando viajan al exterior porque en general se reconoce que los anfitriones a menudo no tienen reparos en espiar a sus invitados.

EE.UU. ha recibido duras críticas en las últimas semanas por las revelaciones de que la Agencia Nacional de Seguridad escuchó las conversaciones privadas de dirigentes aliados como la canciller de Alemania Angela Merkel. Un panel creado por Obama en agosto para revisar esa práctica, entre otras cosas, tiene previsto presentar un informe preliminar esta semana y el informe final a mediados del mes que viene. Pero los funcionarios estadounidenses suponen –y pueden presentar pruebas– de que reciben el mismo tratamiento cuando viajan al extranjero, incluso de parte de aliados de la Unión Europea.

“Dondequiera que estemos, hoy día estamos en la mira”, dijo R. James Woolsey Jr., director de inteligencia central durante el gobierno de Clinton. “A dondequiera que vayamos, países como China, Rusia y gran parte del mundo árabe tratan de espiarnos, de modo que uno debe pensar en eso y tomar todas las precauciones posibles”.

En un viaje a América Latina en 2011, por ejemplo, una foto de la Casa Blanca mostraba a Obama hablando desde una carpa de seguridad en la suite de un hotel de Río de Janeiro con Hillary Rodham Clinton, entonces secretaria de Estado, y Robert M. Gates, secretario de Defensa de aquel momento, sobre la guerra aérea contra Libia que se había lanzado el día anterior. Otra foto, tomada tres días después en San Salvador, lo mostraba consultando a sus asesores sobre el ataque desde la carpa.

Los portavoces del Departamento de Estado, la CIA y el Consejo de Seguridad Nacional no accedieron a dar detalles de las medidas que toma el gobierno para proteger a los funcionarios en el extranjero. Pero más de una docena de funcionarios y ex funcionarios, la mayoría de los cuales hablaron de forma anónima, describieron algunas de esas medidas en entrevistas.

Estas van desde advertir a los funcionarios que viajan al exterior que deben suponer que cada cosa que digan y hagan está bajo vigilancia y pedirles que revisen sus celulares en busca de dispositivos de escucha después de visitar oficinas del gobierno, a equipar la limusina del presidente, que siempre viaja con él, para que las conversaciones privadas sean privadas. Obama lleva un BlackBerry especialmente encriptado.

También se adoptan contramedidas en suelo estadounidense. Cuando los secretarios del gabinete y los altos funcionarios de seguridad nacional asumen su cargo, el gobierno equipa sus casas con habitaciones seguras especiales para conversaciones y uso de computadoras ultrasecretos.

Se revisten con láminas de metal y se aíslan acústicamente. Se recomienda una habitación interior, preferiblemente sin ventanas.

No se sabe con certeza cuándo los funcionarios estadounidenses empezaron a usar las carpas al viajar. Según varios ex funcionarios, George J. Tenet, director de la CIA de 1997 a 2004, fue uno de los primeros funcionarios en utilizarlas habitualmente.

“Clinton y la Casa Blanca lo usaban en Oriente Medio”, dijo un ex alto funcionario de inteligencia que trabajó directamente con Tenet. El funcionario señaló que la CIA insistía en que Tenet en particular usara la carpa en Israel porque este país tiene algunos de los software más avanzados para espiar. “Nos preocupábamos especialmente cuando nuestros anfitriones israelíes querían reservarnos habitaciones en el King David”, explicó el funcionario, refiriéndose a uno de los hoteles más conocidos de Jerusalén.

Muchas de las medidas que se toman en los viajes al extranjero están sólo dirigidas a los funcionarios de más alto rango porque son costosas y de difícil implementación. En lugar de la carpa, los funcionarios de menor rango pueden acabar utilizando estructuras más pequeñas que parecen cabinas telefónicas.

En definitiva, se apunta a usar el sentido común: “Operamos con conciencia de que todo lo que hagamos con un celular o un BlackBerry probablemente sea leído por alguien, o por muchos, en algún lugar”, reveló un diplomático estadounidense.

Fuentes: Univision Noticias y Clarín

Descargar todas las fotos del Padrón Electoral Argentino

octubre 28, 2013 § 5 comentarios

Luego de las elecciones primarias en argentinas (PASO) el 11 de agosto pasado, desde Segu-Info hemos denunciado a ArCERT que era posible la descarga masiva de las fotos de todos los ciudadanos argentinos que hayan tramitado el nuevo DNI (aproximadamente el 30% del país).
Desde ArCERT nos han respondido que el reporte fue enviado a la Cámara Nacional Electoral (CNE) para su revisión. Ahí terminó todo, sin solucionar nada.

Tres meses después el problema persiste. Finalizadas las Elecciones Legislativas (del pasado domingo 27 de octubre), habiéndose conocido una acción de amparo de la Asociación de Derechos Civiles (ADC) contra la CNE y siendo que el padrón ya no se encuentra en línea para consultas, he decido hacer público el problema.

Cualquiera que haya consultado la mesa en que le corresponde votar en el sitio padron.gob.ar, y que previamente haya tramitado su nuevo DNI, habrá notado que junto a la información electoral, aparece su foto:

¿A alguien le preguntaron si se podía publicar su fotografía? No, la publicación de dicha fotografía se hace pública sin el consentimiento del titular.

Efectivamente, como indicaba ADC ayer, “la exhibición y disponibilidad de tales fotografías en Internet viola el derecho a la privacidad de todas estas personas… la publicación de las fotografías en un sistema de acceso abierto pone en riesgo la autonomía de las personas en tanto les impide tener un control adecuado sobre un dato personalísimo y sensible como es la imagen de sus respectivos rostros… su publicación implica una cesión de hecho de esa información a terceros, quienes la podrían compilar e integrar a bases de datos con fines comerciales e ilícitos.”

En Argentina, el derecho a la imagen reconoce protección a través de distintos instrumentos jurídicos. Entre ellos podemos encontrar el Art. 31 de la Ley 11.723 de Derechos de Autor. En dicho texto, se establece como excepción (el principio es que la imagen pertenece a su titular, y no se puede publicar sin su consentimiento) que “Es libre la publicación del retrato cuando se relacione con fines científicos, didácticos y en general culturales, o con hechos o acontecimientos de interés público o que se hubieran desarrollado en público”. En el caso del padrón electoral, no existe algunas de estas finalidades determinadas por la ley como excepciones.
De hecho, este análisis es una adecuada puerta de entrada sobre la interpretación del problema a la luz de la Ley 25.325 de Protección de Datos Personales, otro de los instrumentos jurídicos aplicables para la protección de la imagen. De acuerdo al concepto amplio de dato personal del art. 2 de la citada ley, la imagen ES sin lugar a dudas un dato personal, gozando de las protecciones que brinda la normativa.

Debemos recordar que de acuerdo al art. 5 de la LPDP, el principio es que los datos personales sólo puede ser tratados lícitamente cuando el titular hubiere prestado consentimiento libre, expreso e informado. Es interesante señalar que el inc. 2 de este artículo detalla algunos casos excepcionales donde NO se necesita consentimiento.
Puntualmente, y pensándose en los datos del padrón electoral, se incluyó en el inc. c a aquellos “listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio“. Como puede observarse, aquí no se detalla la imagen entre los datos exceptuados de consentimiento, de manera que su incorporación y publicación irrestricta en modo público, puede interpretarse como ilícito, por no contarse con el consentimiento de sus titulares.

Finalmente, más allá del aspecto de la necesidad del consentimiento ya señalado, recordemos que el art. 4 inc. 1 determina que “los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido“.
Existe también el principio de la necesariedad de la imagen como dato en el padrón electoral. ¿Es pertinente? ¿Es excesivo? No parece ser pertinente y es excesivo, toda vez que las elecciones anteriores fueron perfectamente llevadas a cabo sin la existencia de este dato. En todo caso, si su fundamento es evitar que a través de un fraude en la identidad, alguna persona utilice un DNI alterado para ir a votar, su respuesta podría haber sido que la imagen exista como dato en las planillas de votación, pero no que estén abiertamente publicados en Internet, más aún sin las medidas de seguridad que corresponden de acuerdo a la normativa vigente (art. 9 LPDP).

En relación a este último punto, se destaca la gravedad del problema puesto que actualmente las imágenes se encuentran disponibles en un directorio público en un servidor público, lo cuál hace fácil que cualquier interesado en “robarse” las imágenes, haga un pequeño script que analice ciertos parámetros y en base a eso descargue todas las fotografías.

Es importante remarcar que aunque la consulta al padrón es sacada de línea inmediatamente después de haber finalizado el acto electoral, las fotos siguen estando en línea ya que no se deshabilita el directorio http://padron.gob.ar/fotos/… Esto ocurrió durante las elecciones PASO y, a menos que se corrija, seguirán estando en línea. Por último, destacar que el directorio que aloja las fotos no está protegido por ningún medio, no se requiere autenticación, ni se valida la descarga de las fotografías.

En base a esto es que originalmente me he puesto en contacto con ArCERT para que intercedan en la solución pero, como suele pasar en este tipo de situaciones, nada a sucedido en consecuencia y el error de la CNE persiste.

Las fotos de millones de ciudadanos siguen públicas y así el estado insiste en violar el derecho a la privacidad garantizado en el artículo 19 de la Constitución Nacional, en la Declaración Universal de Derechos Humanos y en la Ley Argentina 25.326 de Protección de Datos Personales.
Con esta ignorancia del problema por parte del estado, no es de extrañar que luego se cometan decenas de delitos con la información recolectada en línea por los delincuentes: robo de identidad, falsificación de documentación, ataques contra la intimidad, estafas…

Finalmente,  algunas pregunta adicionales: ¿quién dice que estas fotos ya no han sido descargadas y están siendo utilizadas? ¿Hay algún registro/log de descargas? ¿Quién autorizó el uso de esas imágenes en forma pública?

Actualización 14:00: al parecer han intentado “solucionar” el problema bloqueado el User-Agent de modo tal que si la petición de la imagen no es desde un navegador reconocido, la imagen no es descargada. Sobra decir que realizar un spoofing de User-Agent es trivial y por lo tanto la solución no es viable.

Actualización 30/10: en los comentarios un anónimo ha dejado una respuesta que le han dado desde la CNE.

Lic. Cristian Borghello, CISSP – MVP
Director Segu-Info

SIBIOS: El sistema de control total de Argentina

octubre 25, 2013 § Deja un comentario

El reporte de ANRed profundiza conceptos acerca del sistema SIBIOS (Sistema Federal de Identificación Biométrica para la Seguridad). Opinión similar tiene Assange, al afirmar que “Argentina tiene el sistema de vigilancia mas invasivo de Latinoamérica”.

El gobierno encabezado por la presidenta Cristina de Kirchner está utilizando un sistema biométrico que, gracias al nuevo DNI, en pocos años tendrá un registro de rostros y huellas dactilares de toda la población. Si bien la presentación del sistema SIBIOS – Sistema Federal de Identificación Biométrica para la Seguridad- se realizó en noviembre de 2011, el debate y la discusión política han sido escasos a pesar de ser la mayor violación a las libertades individuales desde el regreso a la democracia en la Argentina.

En noviembre de 2011 el gobierno nacional argentino presentó el sistema SIBIOS (Sistema Federal de Identificación Biométrica para la Seguridad). Se trata de un nuevo sistema de identificación biométrica centralizado, con cobertura nacional, que permitirá a los organismos de seguridad (Policía Federal, Gendarmería, Prefectura, Policías provinciales) y otros organismos estatales (puede ir la Infografía) cruzar información con datos biométricos y otros datos personales. Un dato biométrico es una característica física única que permite identificar con poco margen de error a una persona. Ejemplos de estos datos son las huellas dactilares, el ADN, la geometría de la mano, análisis del iris, análisis de retina, venas del dorso de la mano, reconocimiento facial, patrón de voz, firma manuscrita, análisis gestual, etc.

Como si fuese un plan perfectamente ejecutado, la noticia ni sonó en los grandes medios de comunicación ni tampoco tuvo ningún tipo de debate a nivel social y político, algo que sí sucedió en la mayoría de los países donde se quiso implementar este tipo de tecnologías intrusivas y controversiales.

Pocos gobiernos democráticos en el mundo han logrado concretar un plan tan ambicioso como este, al que sin dudas podríamos calificar como la mayor violación a las libertades individuales desde el regreso a la democracia en Argentina. Han sido numerosos los países que han emprendido proyectos similares y que no han podido implementarlos, bien sea por la resistencia de la sociedad o por declararlos inconstitucionales.

Otros países

En Inglaterra, una de las democracias más vigiladas del mundo, en el año 2010 una ley obligó al estado a destruir todos los registros biométricos almacenados, derogando la ley del 2006 que creaba un registro nacional de identidad donde se almacenaban los datos de las tarjetas de identidad. Algunas de las razones de su fracaso fueron las inquietudes expresadas por organizaciones de derechos humanos, activistas, profesionales de seguridad informática y expertos en tecnología así como de muchos políticos y juristas. Muchas de las preocupaciones se centraron en las bases de datos que almacenaban los datos de las tarjetas de identidad, luego de que algunas dependencias estatales “perdieron” discos con datos pertenecientes a 25 millones de británicos.

En EE.UU., a pesar de los intentos de varios gobiernos, no existe a la fecha ninguna tarjeta o documento de identidad nacional, ni tampoco hay una agencia federal con jurisdicción en todo el país que pueda emitir tarjetas de identidad de uso obligatorio para todos los ciudadanos estadounidenses. Todos los intentos legislativos para crear una han fracasado debido a la tenaz oposición de los políticos tanto liberales como conservadores, que consideran al documento nacional de identidad como un signo de una sociedad totalitaria (En EEUU no existe un registro de identidad). A pesar de ello luego de las ocupaciones de Irak y Afganistán el ejército estadounidense construyó una base de datos con registros biométricos de 1 millón de afganos y 2 millones de irakies.

En Francia en marzo de 2012 se declaró inconstitucional la ley que establece que más de 45 millones de sus habitantes deberán digitalizar sus rostros y huellas dactilares en lo que se convertiría en la mayor base de datos de registros biométricos de aquel país. Los argumentos para tomar esa decisión fueron que la nueva ley viola los derechos fundamentales a la privacidad y presunción de inocencia.

El Nuevo DNI argentino

En 2011 se comienzan a entregar los nuevos DNI, por primera vez en la historia argentina. Los tan necesarios DNI -a diferencia de muchos países en Argentina es obligación identificarse cuando la policía lo requiera y para la mayoría de los trámites en organismos estatales y privados- son entregados en un tiempo récord: solo una demora de entre quince y treinta días y no como anteriormente cuando la espera podía llegar a demorar mas de un año. Ahora está claro que la contraparte de facilitar y agilizar en todo el país el trámite para obtener el nuevo DNI es obtener lo más rápidamente posible los registros biométricos (rostros y huellas dactilares) de los cuarenta millones de argentinos.

En marzo de 2012, hace más de un año, el gobierno señaló que había 14 millones de registros biométricos y que llegarían a completar los 40 millones de argentinos en los siguientes dos años.

El objetivo de SIBIOS: vigilancia masiva y menos libertades

En el discurso de presentación del sistema SIBIOS, la presidenta argentina señaló que este representa “un salto cualitativo en la seguridad y en la lucha contra el crimen”, gracias a la posibilidad de poder identificar a cualquier persona en tiempo real “sobre todo hoy donde hay en casi todos los lugares cámaras que permiten filmar e identificar rostros”. Con el nuevo sistema se podrá identificar a cualquier persona que circule por un espacio público donde haya cámaras de videovigilancia y si es necesario personal policial podrá mediante un lector de huellas dactilares conocer en tiempo real la identidad de un individuo.

¿Por qué el uso de la biometría atenta contra nuestra libertad?

El potencial de abuso de un sistema de estas características es incalculable, sobre todo conociendo el poco feliz historial de nuestras fuerzas de seguridad: desde poder identificar a los participantes de una manifestación pública, hasta poder controlar a alguien en base a sus movimientos, cruzando datos con otros registros privados y estatales.

En un estado realmente democrático una herramienta como SIBIOS otorga demasiado poder al Estado y reduce significativamente el de sus habitantes.

Como señalábamos en otra nota, ya estamos viviendo en una sociedad de control, sociedad que se propone aplicar a cada uno de sus miembros dispositivos de control y vigilancia que antes estaban únicamente destinados a los delincuentes.

Para el filósofo Giorgio Agamben, en las sociedades de control, la relación normal del Estado con los ciudadanos es biométrica, es decir, de sospecha generalizada: todos somos criminales en potencia que vivimos en un Estado de excepción permanente que está haciendo desaparecer la distinción entre la esfera pública y la privada. En este estado de excepción, el Estado de derecho es desplazado cotidianamente por la excepción, y la violencia pública del estado queda libre de toda atadura legal.

SIBIOS es un exponente de este estado de excepción permanente, de este nuevo Estado biométrico que viola nuestras libertades en nombre de una mayor seguridad para la población.

Por todo esto decimos que SIBIOS es el mayor atropello a las libertades individuales desde la vuelta a la democracia, principalmente porque es invasivo a nuestra privacidad y porque viola el principio de presunción de inocencia. Por otra parte las supuestas ventajas de la biometría son más que discutibles. Mientras la creciente industria de la seguridad y la biometría convence a políticos y empresarios de su fiabilidad y precisión hay innumerables ejemplos de que esto no es tan así.

5 argumentos contra el uso de la biometría y de SIBIOS:

1. Dá demasiado poder al Estado a costa de nuestras libertades
2. Viola nuestro derecho a la privacidad y el principio de presunción de inocencia
3. Es un arma de doble filo por el potencial de abuso de los datos almacenados
4. La biometría no es una tecnología infalible y ya se han demostrado muchos de sus fallos
5. La biometría es una tecnología que mientras más tolerada y aceptada sea, más facilita la implantación de un estado totalitario

Fuente: Control de Acceso y ANRed

Dejar de usar componente de cifrado por puerta trasera de NSA

septiembre 24, 2013 § Deja un comentario

La empresa de seguridad RSA Security ha enviado el jueves una carta a sus clientes de los productos BSAFE Toolkit y Data Protection Manager (DPM) para que dejen de usar un componente esencial de criptografía que podría contener una puerta trasera (backdoor) de la Agencia de Seguridad Nacional (NSA) de los EEUU.

BSAFE Toolkit es un conjunto de herramientas que permiten a desarrolladores incorporar el cifrado en sus aplicaciones comerciales. Data Protection Manager permite gestionar llaves de cifrado.
Con el aviso a sus clientes, RSA se ha sumado a la recomendación del NIST para dejar de usar la especificación en tanto no sea seleccionado un nuevo estándar de cifrado.

El componente afectado es EC_DRBG Dual (Dual Elliptic Curve Deterministic Random Bit Generator), cuyo algoritmo permite la generación de llaves criptográficas. Según el informante Edward Snowden, ex-analista de la NSA, EC_DRBG Dual lleva consigo una puerta trasera diseñada por la NSA para romper el algoritmo de cifrado.

El asunto dejó mal parados al Instituto Nacional de Estándares y Tecnología (NIST) y a la Organización Internacional de Normalización (ISO), que aprobaron la especificación criptográfica. En un intento por recuperar la confianza en los estándares de encripción, el NIST ha reabierto proceso de selección pública del estándar de cifrado, después de descubrirse que la NSA podría romperlo.

Todas las versiones de herramientas de BSAFE, incluyendo Crypto-C ME, Micro Edition Suite, Crypto-J, Cert-J, SSL-J, Crypto-C, Cert-C, SSL-C, así como de DPM pueden estar afectadas por la puerta trasera de la NSA, que deja sin protección a la confidencialidad de la información que pretende asegurar.

Fuente: Blog de Auditoría y Seguridad Informática SA

Recuperar Internet (ensayo de Bruce Schneier)

septiembre 16, 2013 § Deja un comentario

El gobierno y la industria han traicionado a Internet, y a nosotros.

Al subvertir Internet en todos sus niveles para convertirla en una vasta y robusta plataforma de vigilancia multi-capa, la NSA socavó un contrato social fundamental. Las compañías que construyen y administran nuestra infraestructura de Internet, las compañías que crean y nos venden nuestro hardware y software, o las compañías que almacenan nuestros datos: ya no podemos confiarles para que sean los administradores éticos de Internet.

Esta no es la Internet que necesita el mundo, o la Internet que concibieron sus creadores. Debemos recuperarla. Y por nosotros quiero decir la comunidad de ingenieros.

Si, este es sobre todo un problema político, un asunto político que necesita de intervención política.

Pero también es un problema de ingeniería, y hay varias cosas que los ingenieros pueden, y deben, hacer.

Uno, debemos sacarlo a la luz. Si uno no tiene una autorización de seguridad, y si no ha recibido una carta de Seguridad Nacional, entonces no está atado a requerimientos federales de confidencialidad o secreto de sumario. Si uno fue contactado por la NSA para subvertir un producto o protocolo, es necesario que presente su historia. Las obligaciones con su empleador no cubren actividades ilegales o no éticas. Si trabaja con información clasificada y es verdaderamente valiente, exponga lo que sabe. Necesitamos denunciantes.

Necesitamos saber exactamente como la NSA y otras agencias están subviertiendo los routers, switches, la red troncal de Internet, las tecnologías de cifrado y sistemas en la nube. Ya tengo cinco relatos de gente como ustedes, y recién he comenzado a recogerlos. Quiero 50. Hay seguridad en los números, y esta forma de desobediencia civil es lo que moralmente hay que hacer.

Dos, podemos diseñar. Debemos resolver como hacer la re-ingeniería de Internet para impedir este tipo de espionaje al por mayor. Necesitamos nueva técnicas para impedir que los intermediarios de las comunicaciones filtren información privada. Podemos hacer que la vigilancia vuelva a ser costosa. En particular, necesitamos protocolos abiertos, implementaciones abiertas, sistemas abiertos — estos serán más difíciles de subvertir para la NSA.

La Internet Engineering Task Force (IETF), el grupo que define los estándares que hacen que Internet funcione, tienen planeada una reunión a comienzos de Noviembre en Vancouver. Este grupo necesita dedicar su próxima reunión a esta tarea. Esto es una emergencia, y exige una respuesta de emergencia.

Tres, podemos influir en la gobernanza. Me he resistido a decir esto hasta ahora, y me entristece decirlo, pero los EE.UU. han probado ser una administrador poco ético de Internet. El Reino Unido no es mejor. Las acciones de la NSA han legitimado los abusos de Internet por parte de China, Rusia, Irán y otros. Debemos idear nuevas formas de gobernabilidad de Internet, las que hagan más difíciles a los países técnicamente poderosos el monitorear cualquier cosa. Por ejemplo, tenemos que demandar transparencia, supervisión y responsabilidad a nuestros gobiernos y las corporaciones.

Desafortunadamente, esto va a jugar directamente en las manos de gobiernos totalitarios que quieren controlar Internet en sus países para una aun mayor forma de vigilancia extrema. Necesitamos idear como impedir esto también. Necesitamos evitar los errores de la International Telecommunications Union (ITU), que se ha vuelto un foro para legitimar la mala conducta del gobierno, y crear una auténtica gobernanza internacional que no pueda ser abusada o dominada por un solo país.

La generaciones a partir de ahora, cuando la gente mire atrás a estas primeras décadas de Internet, espero que no se decepcionen de nosotros. Podemos asegurarnos que no lo hagan solo si cada uno de nosotros hace de esto una prioridad, y se involucra en el debate. Tenemos el deber moral de hacer esto, y no tenemos tiempo que perder.

Desmantelar el estado vigilante no será fácil. ¿Ha renunciado voluntariamente algún país involucrado en la vigilancia masiva de sus propios ciudadanos a esa capacidad? ¿Ha evitado volverse totalitario algún país con vigilancia masiva? Sea los que fuera que suceda, vamos a estar abriendo nuevos caminos.

De nuevo, la política de esto es una tarea mucho mayor que la ingeniería, pero la ingeniería es crítica. Debemos exigir que auténticos técnicos se involucren en cualquier decisión clave de gobierno que se haga en estos temas. Hemos tenidos suficientes abogados y políticos que no comprendían completamente la tecnología; necesitamos técnicos en la mesa cuando construimos políticas tecnológicas.

A los ingenieros, les digo esto: construimos Internet, y algunos de nosotros ayudamos a subvertirla. Ahora, aquellos de nosotros que amamos la libertad debemos arreglarla.

Este ensayo apareció previamente en the Guardian.

Traducción: Raúl BatistaSegu-Info
Fuente: Blog de Bruce Schneier

Distintos grupos que utilizan malware

septiembre 8, 2013 § Deja un comentario

En la actualidad existen básicamente 3 tipos de grupos que utilizan el malware en el mundo: bandas criminales organizadas cuyo objetivo es principalmente robar dinero; hacktivistas que tratan de llamar la atención por una causa social o política; y los gobiernos.

Estos últimos utilizan el malware tanto dentro como fuera de su territorio con diferentes objetivos. Frontera adentro, por ejemplo, las fuerzas de seguridad utilizan software espía para recopilar información para investigaciones criminales y se conoce que los regímenes totalitarios lo implementan para supervisar la actividad de sus ciudadanos.

Hacia afuera, los gobiernos utilizan estos software para espiar a otras naciones. Si bien el espionaje no es nada nuevo, en el pasado, cuando la información era almacenada en papel, para robarla era necesariamente estar físicamente en el lugar. Sin embargo, gracias al avance de la evolución tecnológica, el espionaje cambió pasando hacia un espionaje cibernético, donde para acceder a los datos confidenciales basta con contar con una conexión a Internet en cualquier parte del mundo.

China es el último y mayor sospechoso de espionaje cibernético, supuestamente para el robo de secretos de Investigación y Desarrollo (I+D) de las corporaciones estadounidenses para construir su tecnología y avanzar en su economía. Sin embargo, existen también otras naciones que se dedican a este tipo de espionaje para reunir inteligencia frente a sus rivales: Israel, Rusia, India Pakistán y Estados Unidos, entre otros.

Ahora, ¿cómo es que el espionaje cibernético gubernamental se lleva a cabo? Por lo general, los atacantes entran a la computadora de una organización mediante el uso de un exploit, que son un fragmento de datos que funcionan como una entrada aprovechando las debilidades del software de la computadora y dando acceso al atacante al dispositivo, la red de la organización y su información confidencial.

Los atacantes utilizan 2 métodos diferentes para plantar el malware. El primero, funciona por medio del envío de un mail con un exploit infectado adjunto para engañar al destinatario para que lo abra.

El otro método, llamado watering hole attack, consiste en averiguar cuáles son los sitios que la persona objetivo se estima que va a visitar. En este sentido, el atacante infecta alguno de esos portales de forma tal que cuando el blanco lo visite quede infectado. Claro, cualquier otra persona que también visite el mismo website quedará infectada como daño colateral.

En lo que corresponde al papel de los medios de comunicación, a menudo, utilizan el término “Guerra Cibernética”. Pero, ¿qué es lo que pasa hoy en este tema? El espionaje ocurre tanto en épocas de guerra como de paz y en algunas oportunidades hay casos de sabotaje, como con Stuxnet. Sin embargo, no es una guerra. Cuando llegue el día en que la guerra sea entre 2 naciones tecnológicamente avanzadas, sin duda éste será un elemento más de ataque. Por lo tanto, deberíamos reservar el término para su uso real.

Fuente: CSO

¿Dónde estoy?

Actualmente estás explorando la categoría gobierno en Seguridad Informática.