2015/11/07

Solución definitiva a la comunicación segura

El otro día en la eko11 me hice nuevos amigos, como Iván @HacKanCuBa, aunque quizás ya lo conocía de antes, pero bueno, es el problema de tener sólo 64 Kb (https://twitter.com/dev4sec/status/660485176691138560). Hablábamos de temas que no vienen al caso cuando surgió un interesante spin off, relacionado a mensajería segura.

Por supuesto no recuerdo todos los detalles ni el orden ni quién dijo qué, asi que me tomaré algunas libertades con el relato, eliminaré las personas, agregaré docenas de detalles asumidos durante la conversación y pasaré a modo "ensayo" o "charla magistral". Prometí escribir esto en diez minutos, así que quizás hayan algunas inexactitudes, reclama y señala, por favor. Faltando a mi costumbre no he puesto citas que respalden lo que digo, muchas ideas son suposiciones.

En la actualidad la manera menos insegura de comunicación remota es mediante cartas en papel


Todo mensaje es eventualmente interceptable, sobre todo en el caso de las computadoras, dado el control existente sobre los nodos y canales. Esto incluye mail, foros, sms, chat, p2p, conversaciones telefónicas, lo que quieras.

Existen técnicas para ocultar el árbol en el bosque que cuentan con que el adversario no reconozca a un mensaje como tal. El problema es que si tiene todos los mensajes, en algún momento podría reparar en que algo se le ha pasado y revisar los mensajes viejos.

Como el almacenamiento no es gratis y tus mensajes ocupan lugar junto al de muchos otros objetivos, es importante lograr que los mensajes no sean reconocidos y sean descartados.

En apoyo a este punto se había dicho, creo que Snowden, que la inteligencia británica conserva durante unos pocos días todo el tráfico que logra ver de todo el mundo, implicando que luego buena parte se descarta. El criterio de descartar seguramente tiene que ver con que los mensajes califiquen y podemos imaginar que puede darle valor a un mensaje:
  • origen y destino, ya sea persona, cuenta, dominio o ip.
  • palabras claves
  • que no haya podido ser descifrado
  • correlación con otros eventos (supongo que por las dudas se conservan todos los mensajes N tiempo antes y despues de algún hecho importante de la realidad)


Para optimizar, probablemente se usen agentes recolectores en los blancos como finfisher, que tienen la ventaja de preseleccionar lo de interés.

Luego está el cibercrimen. Si tu máquina que ha pasado desapercibida para un organismo de inteligencia es víctima de malware común, quizás una mafia de Europa oriental esté recibiendo información a la que no dará valor, pero si sus servidores son capturados por las fuerzas del orden, ellos sabrán reconocerlo.

Y siempre queda el análisis forense, la capacidad de recuperar información pasada y supuestamente descartada analizando la memoria y disco de tu máquina.


De todo esto, para mí, lo fundamental es separar tu identidad real de la virtual, lo cual es muy difícil:


  • no debe haber relación por ips, mac address de wifi o bluetooth, cuentas de mail o social media
  • no debe tener un patrón de tráfico (horas, ubicaciones) similar
  • no debe tener una red de contactos similar 

En varias entradas ya he opinado al respecto, quizás debería reescribirlas de modo más coherente y actualizado. Va PostIt al backlog. 


Como dijo Gera en ekoXX, no recuerdo cuál, "Facebook me conoce aunque no tenga cuenta en Facebook, por todos los que me han invitado a unirme"


El correo común es mucho más difícil de interceptar por que no es automatizable. Hay que elegir cuales cartas evaluar, para lo cual rige bastante todo lo del análisis de tráfico ya mencionado. 

Luego hay que ver dentro de cada carta. De esto no sé nada, aparte de que se pueden abrir y volver a cerrar las cartas con vapor y me han dicho que se puede examinarlas sin abrirlas con un tomógrafo, lo cual debe ser bastante carito.

Se puede utilizar papel fotográfico sin revelar, de modo tal que si alguien expone la carta esta se arruina. El problema es que hace falta equipo especial y es más pesado el papel, comienza a destacar por encima del resto, no lo que queríamos.

Se puede usar tinta invisible, pero supongo que con un tomógrafo o similar es legible.

Y no estoy considerando en detalle el objetivo por parte del adversario de ver nuestra carta y que nos llegue sin que sepamos que ha sido interceptada.

El problema restante es que una vez que el adversario se ha hecho de nuestro mensaje, lo puede leer. Hace falta cifrarlo y aquí perdimos, pues cualquier cifrado que no esté hecho por una computadora es rompible por una computadora, por mera fuerza. Aunque estés un año haciendo cuentas para cada mensaje, igual la computadora te lo va a romper en segundos.

Volviendo a la conversación con Iván, pensamos en cifrar, imprimir, enviar por carta, scanear, OCR, descifrar. Con esto combinamos la capacidad de cifrar de las computadoras sin darles la ventaja del control sobre los canales de comunicaciones.

Y hemos vuelto a que estamos usando computadoras, blanco de análisis forense, emisiones electromágneticas y demases.

Si no fuera por la solución a la que arribamos posteriormente, es con lo que me quedaría. Obviamente con computadoras a las que le quitamos la capacidad de comunicación y almacenamiento y las usamos sólo para eso, probablemente arrancando de dvd, sin persistir nada, con impresoras básicas sin pooles. Quizás se podría reformular una impresora multifunción, va PostIt a backlog pero no el mío, jaja.



La solución definitiva


Finalmente, deseperados, arribamos a la solución definitiva, que usa papel, los mensajes son ilegibles y no usa computadoras: utilizar médicos que escriban nuestros mensajes y farmaceúticos que los lean.

Si queremos duplex necesitamos un médico y un farmaceútico en cada nodo, claro.


Los mensajes deben ser breves, tantas recetas podrían llamar la atención.

Cualquiera podría cuestionar que el adversario puede tener farmaceúticos. Si, seguro, pero nosotros ya tendriamos a los mejores, los que no necesitan preguntarle al paciente nada para terminar de interpretar la receta. No deben haber tantos.





No hay comentarios:

Publicar un comentario