Solución definitiva a la comunicación segura

El otro día en la eko11 me hice nuevos amigos, como Iván @HacKanCuBa, aunque quizás ya lo conocía de antes, pero bueno, es el problema de tener sólo 64 Kb (https://twitter.com/dev4sec/status/660485176691138560). Hablábamos de temas que no vienen al caso cuando surgió un interesante spin off, relacionado a mensajería segura.

Por supuesto no recuerdo todos los detalles ni el orden ni quién dijo qué, asi que me tomaré algunas libertades con el relato, eliminaré las personas, agregaré docenas de detalles asumidos durante la conversación y pasaré a modo "ensayo" o "charla magistral". Prometí escribir esto en diez minutos, así que quizás hayan algunas inexactitudes, reclama y señala, por favor. Faltando a mi costumbre no he puesto citas que respalden lo que digo, muchas ideas son suposiciones.

En la actualidad la manera menos insegura de comunicación remota es mediante cartas en papel

Todo mensaje es eventualmente interceptable, sobre todo en el caso de las computadoras, dado el control existente sobre los nodos y canales. Esto incluye mail, foros, sms, chat, p2p, conversaciones telefónicas, lo que quieras.

Existen técnicas para ocultar el árbol en el bosque que cuentan con que el adversario no reconozca a un mensaje como tal. El problema es que si tiene todos los mensajes, en algún momento podría reparar en que algo se le ha pasado y revisar los mensajes viejos.

Como el almacenamiento no es gratis y tus mensajes ocupan lugar junto al de muchos otros objetivos, es importante lograr que los mensajes no sean reconocidos y sean descartados.

En apoyo a este punto se había dicho, creo que Snowden, que la inteligencia británica conserva durante unos pocos días todo el tráfico que logra ver de todo el mundo, implicando que luego buena parte se descarta. El criterio de descartar seguramente tiene que ver con que los mensajes califiquen y podemos imaginar que puede darle valor a un mensaje:

• origen y destino, ya sea persona, cuenta, dominio o ip.
• palabras claves
• que no haya podido ser descifrado
• correlación con otros eventos (supongo que por las dudas se conservan todos los mensajes N tiempo antes y despues de algún hecho importante de la realidad)

Para optimizar, probablemente se usen agentes recolectores en los blancos como finfisher, que tienen la ventaja de preseleccionar lo de interés.

Luego está el cibercrimen. Si tu máquina que ha pasado desapercibida para un organismo de inteligencia es víctima de malware común, quizás una mafia de Europa oriental esté recibiendo información a la que no dará valor, pero si sus servidores son capturados por las fuerzas del orden, ellos sabrán reconocerlo.

Y siempre queda el análisis forense, la capacidad de recuperar información pasada y supuestamente descartada analizando la memoria y disco de tu máquina.


De todo esto, para mí, lo fundamental es separar tu identidad real de la virtual, lo cual es muy difícil:

• no debe haber relación por ips, mac address de wifi o bluetooth, cuentas de mail o social media
• no debe tener un patrón de tráfico (horas, ubicaciones) similar
• no debe tener una red de contactos similar 

En varias entradas ya he opinado al respecto, quizás debería reescribirlas de modo más coherente y actualizado. Va PostIt al backlog. 


Como dijo Gera en ekoXX, no recuerdo cuál, "Facebook me conoce aunque no tenga cuenta en Facebook, por todos los que me han invitado a unirme"


El correo común es mucho más difícil de interceptar por que no es automatizable. Hay que elegir cuales cartas evaluar, para lo cual rige bastante todo lo del análisis de tráfico ya mencionado. 

Luego hay que ver dentro de cada carta. De esto no sé nada, aparte de que se pueden abrir y volver a cerrar las cartas con vapor y me han dicho que se puede examinarlas sin abrirlas con un tomógrafo, lo cual debe ser bastante carito.

Se puede utilizar papel fotográfico sin revelar, de modo tal que si alguien expone la carta esta se arruina. El problema es que hace falta equipo especial y es más pesado el papel, comienza a destacar por encima del resto, no lo que queríamos.

Se puede usar tinta invisible, pero supongo que con un tomógrafo o similar es legible.

Y no estoy considerando en detalle el objetivo por parte del adversario de ver nuestra carta y que nos llegue sin que sepamos que ha sido interceptada.

El problema restante es que una vez que el adversario se ha hecho de nuestro mensaje, lo puede leer. Hace falta cifrarlo y aquí perdimos, pues cualquier cifrado que no esté hecho por una computadora es rompible por una computadora, por mera fuerza. Aunque estés un año haciendo cuentas para cada mensaje, igual la computadora te lo va a romper en segundos.

Volviendo a la conversación con Iván, pensamos en cifrar, imprimir, enviar por carta, scanear, OCR, descifrar. Con esto combinamos la capacidad de cifrar de las computadoras sin darles la ventaja del control sobre los canales de comunicaciones.

Y hemos vuelto a que estamos usando computadoras, blanco de análisis forense, emisiones electromágneticas y demases.

Si no fuera por la solución a la que arribamos posteriormente, es con lo que me quedaría. Obviamente con computadoras a las que le quitamos la capacidad de comunicación y almacenamiento y las usamos sólo para eso, probablemente arrancando de dvd, sin persistir nada, con impresoras básicas sin pooles. Quizás se podría reformular una impresora multifunción, va PostIt a backlog pero no el mío, jaja.

La solución definitiva

Finalmente, deseperados, arribamos a la solución definitiva, que usa papel, los mensajes son ilegibles y no usa computadoras: utilizar médicos que escriban nuestros mensajes y farmaceúticos que los lean.

Si queremos duplex necesitamos un médico y un farmaceútico en cada nodo, claro.


Los mensajes deben ser breves, tantas recetas podrían llamar la atención.

Cualquiera podría cuestionar que el adversario puede tener farmaceúticos. Si, seguro, pero nosotros ya tendriamos a los mejores, los que no necesitan preguntarle al paciente nada para terminar de interpretar la receta. No deben haber tantos.

Por qué no biometría - redux

A partir de noticias como [1] e intensos momento de reflexión seguidos de cursar Computer Science and Privacy[2], he llegado a la conclusión de que lo que había expuesto en [3], aunque esencialmente correcto, no está correctamente encarado. Además, esta reciente noticia [4] que cuenta que han sido obtenidas 5.5 millones de huellas dactilares tornan las profecías apocalípticas de quienes estamos encontra de la biometría en inminente realidad.

Que vamos hacia una pesadilla Orweliana no hay duda [5]. Que sea inevitable o no, trasciende los alcances de mis humildes cavilaciones técnicas.

Se suelen poner juntitos Autenticación, Autorización y No Repudio como carácterísticas del acceso a la Información, repasando:

Autenticación es la verificación de que sos quien decís ser.

Autorización es lo que podés hacer.

No Repudio es que no puedas negar lo que hiciste.

Y falta algo implícito, la Identificación. Yo me Identifico y luego me Autentico y según mis Autorizaciones afecto la Confidencialidad, Integridad y Disponibilidad de la Información sin poder Repudiar mis actos.

Como no estoy seguro de que mi Autenticación sea legítima, hay Múltiples Factores de Autenticación: lo que sé, lo que soy, lo que tengo.

Lo que sé es un Secreto y suele ser una clave.

Lo que tengo es algo, por ejemplo una tarjeta de coordenadas o un SMS OTP. Mejor dicho una linea de teléfono celular por la que recibo en el celular una clave de uso único y corta vida.

Este mecanismo es muy endeble, basta una sencilla apk maliciosa que tome el SMS y lo retransmita al atacante para que no sea "lo que tengo".

Siempre he cuestionado que lo que sé, si está escrito en un papel, es lo que tengo. Si pudiera memorizar la tarjeta de coordenadas, pasa a ser lo que sé. Yo no puedo, pero hay mucha gente que si. Yo puedo memorizar algunas contraseñas complicadas, la mayor parte de la gente no o no tiene el interés en hacerlo.

Lo que soy es... el huevo y la gallina. Es mi Identidad, que fue con lo que empezamos. Mis factores biométricos son lo que soy.

Mi error es que la biometria tiene que ver con la Identificación, no con la Autenticación como lo enfoqué en la otra entrada del... 2013!!! cómo pasa el tiempo!!![6].

¿Y qué pasa si tengo motivos legítimos para tener dos identidades en un mismo contexto? Si mi factor biométrico es la Identidad, no puedo, mmmh.

Dado que es relativamente sencillo "extraviar" lo que soy, la única solución que veo, ya que vamos a perder, es que se use la biometría como Identificación con una clave para la Autenticación. Una huella digital no implica VOLUNTAD, el ingreso de contraseñas si.

Algunos sistemas de alarmas aceptan una contraseña que aunque "desactiva", avisa que la persona ha sido forzada. Los factores biométricos no ofrecen esta funcionalidad.

De todos modos el escenario sigue siendo "dame la clave (Autenticación) o te corto los dedos y luego te los corto igual (Identificación)".

Volviendo a la noticia que me impulsó a finalmente publicar esto, ¿qué va a pasar cuando se pierdan, vendan como usados o se den de baja esos lectores que hay en las puertas? ¿Y los discos donde se almacenan? ¿Y los backups? Nuestros factores biométricos de Identificación o Autenticación van a ser más que públicos. Va a ser como ingresar a un sistema con el DNI como clave.

[1] http://americans.org/2015/07/ 03/mastercard-to-start- verifying-payments-via- selfies/

[2] http://www.dc.uba.ar/events/eci/2015/cursos/prost

[3] http://seguridad-agile.blogspot.com/2013/11/por-que-no-biometria.html

[4] https://www.washingtonpost.com/news/the-switch/wp/2015/09/23/opm-now-says-more-than-five-million-fingerprints-compromised-in-breaches/
[5] http://www.itworld.com/ article/2832804/it-management/ attention-shoppers--retailers- can-now-track-you-across-the- mall.html
[6] http://seguridad-agile.blogspot.com/2013/11/por-que-no-biometria.html

Agile Boleta

Un éxito completo, 66% de asistencia de los inscriptos, que podríamos llevar a 80% si consideramos que uno de los inscriptos avisó varios días antes que no iba a asistir.

Todo esto relativizado a que asistimos cinco.

Pese a esta introducción engañosamente desalentadora, el encuentro fue más rico de lo que podiamos esperar de los presentes, ya que ninguno tenía algún conocimiento extraordinario del tema, pero al tener distintos puntos de vista y experiencias relacionados con las elecciónes (uno había sido en otra ocasión presidente de mesa) y las vulnerabilidades en general, logramos un buen intercambio.

Por supuesto en algún momento terminamos hablando de la vedette en la cabina del avión[1], espero que no sea el nuevo Hitler[2].


Lo que a continuación transcribo, es el resultado de mi opinión amalgamada con lo conversado, no es un registro fiel.

Voto vs Boleta

Hay que distinguir entre "voto electronico" y "boleta electrónica". Lo primero es la utilización de una aplicación para registrar el voto y podría incluso ser online. Lo que hemos vivido es lo segundo, el reemplazo de la boleta previamente impresa por una que se imprime en el momento más los adicionales optativos de contéo automático y la transmisión.

Las vulnerabilidades de la transmisión de los resultados.

Esta fue una de nuestras dudas no resueltas, si se contemplaba como parte del sistema la transmisión de los resultados por Internet.

Las vulnerabilidades asociadas al chip.

Si los chips utilizados son como los del conocido sistema de pago de transportes, una clave se obtiene en una horas[3] y el resto en minutos[4]. Alguien había entendido que sólo se podían grabar una vez.

Las medidas de represalia tomadas contra los investigadores.

¿Se puede considerar que por tratarse de un acto electoral las vulnerabilidades deban ser tratados de un modo distinto al de cualquier otro sistema?

Estuvimos todos de acuerdo en que fue una acción política (en el sentido que se le dá en el trabajo, como cuestión de poder, de bandos) más que de índole legal.

El proceso fue más eficiente.

Nuestro asistente que fue presidente de mesa en otra elección ha dado fé que hay gente que tarda un tiempo absolutamente injustificable en el cuarto oscuro. Suponemos que se debe a algún tipo de acto de auto satisfacción sexual, pues ahora esta vez todo parece haber sido más rápido.

Otra ventaja es que no había posibilidad de equivocarse, como lo ocurrió a alguno de los asistentes que en una oportunidad impugnó involuntariamente su voto al hacer mal los cortes de boleta.

La transparencia de este método frente al tradicional.

Como bien dijo Vampii en la lista de la eko, el proceso tradicional es extremadamente sencillo, cualquiera puede comprenderlo. Habiendo una computadora de por medio, hay mucha gente que queda afuera. El simple hecho de que quienes estábamos presentes, que tenemos una cierta cultura en informática y seguridad, no tuviéramos muy claro el asunto, además de revelar una cierta falta de responsabilidad y empeño de nuestra parte, indica que hay bastante confusión.

La transparencia de este método frente al tradicional.

Si es código para una función del Estado, ¿no debería ser este si no Open Source al menos de acceso público para su escrutinio por quien tenga el interés?

Nueva vulnerabilidad detectada

Hay un leak de información. La única manera de "impugnar" un voto es no votando ni siquiera en blanco. Se ha dicho que en realidad la impugnación no es una opción, si no un defecto del proceso tradicional.

Entendimos que para impugnar el voto ahora hace falta romper el chip o no imprimir nada. Tanto uno como otro acto es inmediatamente detectado por quienes estén presentes, así que si impugnás estás "cantando" el voto de modo involuntario.

Escenarios de ataque

Anulación de votos: según entendimos no se podía regrabar, pero si arruinar el chip de modo remoto. Con un emisor lo suficientemente potente, se puede pasar cerca de la urna y anular toda una mesa.

Fidelidad de votos comprados: se le puede decir a quien va a votar que se están monitoreando las computadoras para que que los votos comprados sean efectivamente realizados a quien los compra. Está claro que no hace falta que sea verdad, con que el vendedor de su voto lo crea, alcanza.

Descubrimiento de votos: desde el momento en que se pueden leer las boletas, con el equipamiento apropiado se puede consultar permanentemente todos los votos en la urna y revelar a quien vota cada persona, si no directamente leer a distancia en el momento de acercar la boleta a la urna. Lo que no sé bien es con que equipo pues alguien me contó que nfc-list, que funciona bien con tarjetas como SUBE, no vió un único ejemplar de origen dudoso.

Tambien está este [5]

Cómo se pudo haber hecho bien.

Considerando todo lo anterior, llegamos al acuerdo de que si se hubiera usado las máquinas como simples impresoras, se ganaba la eficiencia detectada.

Consideramos superfluos el chip y la conectividad.


En el conteo, se podía usar la computadora pero controlando que coincidiera lo del papel con lo detectado. No sabemos si el software tiene la capacidad de "corregir" errores, por ejemplo si alguien marcó varios votos, lo cual engañaría a la computadora, lo impreso igual es correcto y debería valer, no impugnar.

Haciendo los deberes

Lamentablemente ninguno de los asistentes es telépata, así que cuando se me ocurrió que teníamos que ir con el asunto bastante estudiado viendo al menos algunos links, nadie me leyó la mente.

Varias de las dudas nos las pudimos haber despejado en el momento, pero aunque el tema nos produjo el suficiente interés como para reunirnos, no fue lo suficiente como para que ninguno prendiera una computadora y se fijara en las noticias o el reglamento electoral.

Esta noticia aclara algunas: 

"Dado el diseño del sistema, el voto no se puede cargar a mano, por lo que se creó una nueva categoría: 'Voto no leído por motivos técnicos'. Para el escrutinio definitivo será tenido en cuenta, pero no en el provisorio. En elecciones ajustadas, la diferencia podría ser motivo de conflictos."[6]

Algunas reflexiones mías posteriores

A partir de lo conversado y mi propias reflexiones, en el momento en que alguno de los actores principales decide hacer fraude, no hay medida técnica que lo pueda impedir. Tiene que tener el sector afectado un aparato de fiscalización en las mesas con cobertura total. Así que toda esta discusión puede ser muy instructiva, pero a la hora de las piñas, es intrascendente.

Pensé que el error que cometió el muchacho allanado[7] fue considerar esta vulnerabilidad como un habitual problema técnico, sin considerar bien las implicancias de negocio.

El problema es que es político. No político por las elecciones sino de negocios y poder. Por definición cualquier problema con el sistema de elecciones es político pues se trata de negocios y poder. Hay bandos enfrentados con intereses opuestos. Una cosa es que la vulnerabilidad la reporte la Fundación Sadosky, que tiene respaldo y la otra es que sea un actor técnico, ingenuo e independiente, que resultará probablemente lastimado. Una situación parecida ocurriría si a alguien se le ocurriera revelar una vulnerabilidad en los sistemas del INDEC justo cuando esta bajo escrutinio.

Yo hubiera reportado de modo anónimo, pero eso implica perder el mérito, que no es poca cosa para quienes hacen actividades voluntarias.

[1] http://seguridad-agile.blogspot.com/2015/07/boxeadores-en-la-cabina-de-un-avion.html
[2] https://es.wikipedia.org/wiki/Ley_de_Godwin
[3] mfuk
[4] mfoc
[5] https://twitter.com/mis2centavos/status/622765428411121665

[6] http://www.perfil.com/politica/Detectan-problemas-de-vulnerabilidad-en-el-nuevo-sistema-de-voto-electronico-20150704-0006.html

[7] http://www.clarin.com/policiales/Voto-electronico-allanaron-domicilio-irregularidades_0_1387661308.html

Micrófonos paranoicos

Retomando un tema ya tocado en otra entrada[1], el otro dia (el otro año ya) asistía a una capacitación de seguridad cuando vi que una persona había pegado un papelito en la webcam de su máquina, práctica muy común cuando se desconfía de la máquina o del entorno. Si alguien logra ownear la máquina, no va a poder ver al operador.

En esta capacitación sin embargo era más importante el audio que la imagen, así que me pregunté por qué nadie, hasta donde yo sé, deshabilita el micrófono. Digo "físicamente", pues está claro que cualquier configuración sobre el software es volátil, un atacante podría revertirla.

Entonces pensé, hay que poner algo en el conector externo del micrófono que funcione eléctricamente como tal pero no capte el sonido. Gracias a Juan Carlos Cifuentes por sugerirme usar un micrófono común al cual se le extirpan algunas partes. Me imagino que debo estar reinventando la rueda.

Ya anulamos la cámara web y el micrófono, ¿por qué no el parlante? Los parlantes pueden funcionar como malos micrófonos pero apuesto a que no hay manera de que la placa de sonido pueda percibir nada así. Igual, conectamos unos "null speakers" y chau parlantes.

ACTUALIZACIÓN 2017/03/31

Papi tenía razón:
https://www.wired.com/2016/11/great-now-even-headphones-can-spy/


Todo esto vale si lo que activa/desactiva el micrófono o parlante es un switch físico en el conector.

A esto se suma el tan mentado BadBios[2], que me parece medio humo, el artículo es bastante turbio, no queda claro que el malware no puede infectar nada via ultrasonido, que sólo pueden comunicarse nodos ya infectados.

Pero, ¿cuántas máquinas tienen parlantes y micrófonos enchufados si no son portátiles? ¿cuántas si son servidores? ¿los parlantes y micrófonos comunes trabajan en el rango del ultrasonido?


He oido de información digitalizada en el sonido, por ejemplo de un equipo que encodea posicionamiento gps[3], asi que con sonido normal es bastante factible, pero no pasaría desapercibido.

A mi me gusta más la idea de usar webcams apuntando a monitores, la comunicación entre redes con airgap se podría hacer con un popup que se prende y apaga.


Ahora que escribo esto, recuerdo hace muchos años un reloj de Microsoft[4] que tenía una agenda que se actualizaba de un modo parecido.

El escenario para cualquiera de los dos medios es que una persona inocentemente o no instale el malware en ambos lados del airgap y ponga los microfonos/parlantes o webcams/monitores en condiciones. Que sea de bios o no, es indistinto.

[1] http://seguridad-agile.blogspot.com.ar/2014/01/camus-el-hacker-y-el-escenario.html
[2] http://www.pcworld.com/ article/2060360/security- researcher-says-new-malware- can-affect-your-bios-be- transmitted-via-the-air.html
[3] http://www.windytan.com/2014/02/mystery-signal-from-helicopter.html
[4] http://en.wikipedia.org/wiki/Timex_Datalink#Wireless_data_transfer_mode

Wipe

Papel

Lamentablemente tuve que tirar mi colección de Linux Journal en papel, hacía años que las almacenaba sin ninguna utilidad salvo conservar el número 170, donde me habían publicado un truquito. Tenía como 10 años, cerca de 50 kilos de papel. De paso se fueron dos o tres libros, algunos números de Sólo Progamadadores, Elektor y otras revistas. También apuntes viejos de facultad y artículos impresos fácilmente recuperables y de consulta nula, supongo que casi 75 kilos y más de un metro de estante.



Hace años había intentado ubicar las Linux Journal en alguna biblioteca, pero a las dos o tres que contacté no les interesó y estoy seguro que pregunté en alguna lista, pero quizás no y debí haberlo hecho ahora, pero ya he tenido experiencia en intentar regalar cosas y tiene un cierto costo, reproduzco a continuación los resultados de un proyecto, llamado "Metro Cúbico", que era el espacio que calculaba liberar en casa al deshacerme de todo el hardware obsoleto que tenía.

Metro cúbico de hardware

computadora macintosh se	retirado german B
computadora macintosh performa 475 250MB y memoria	retirado german B
computadora macintosh quadra 605, 250M, memoria, floppy	retirado german B	ira vitrina de la UTN Rosario
computadora macintosh quadra 700, memoria, hd	retirado german B	ira vitrina de la UTN Rosario
computadora macintosh classic II	retirado german B	pisapapeles
Impresora epson actionprinter 2000 (parece ok)	retirado Alberto L	plan canje
computadora acer 80486 sx 33 (bastante ok)	volquete
terminal wyse 60 (eeprom borrado)	volquete
terminal ibm 3196 con teclado (ok)	volquete
computadora pentium pro 200 sin cpu (no funca)	volquete
monitor apple mo401 (14 pulgadas)	retirado Ariel N
Computadora compaq amdk6 350Mhz 190MB hd 3.5 GB cd (video usb audio) onboard	retirado matias m	en uso
telefono inalambrico panasonic 900mhz (quizas ok)	labi
calculadora hp25 (quizas ok)	labi
Compaq pocketpc (completamente desarmada)	labi
La era de las maquinas espirituales - Ray Kurzweil	retirado Pablo B	leyendo
Computadora pentium 200 mmx 32 o 64 MB Acer(funciona)	retirada Diego G	en uso
2 consolas atari 2600 (estado desconocido)	retiradas Diego G
The ultimate DOS programmer's guide - Mueeller Wang 1991	retirado Diego G	en uso
teclado usb macintosh (sucio)	retirado matias h
2 teclados usb macintosh (estado desconocido)	retirado Ariel N	en uso
The C++ Programming Language (2nd ed. 1991) Bjarne Stroustrup	retirado Damian F	no usado aun
monitor philips 107s (leve fallo cable)	retirado federico v	arreglado y usado satisfactoriamente
computadora pentium 200 mmx, 32Mb, floppy (ok)	retirado victor t
laptop ibm 560, floppy, 40Mb, 1G (arreglable)	Retirado Matias M	quizas se arregle y use
gabinete externo scsi (ok)	Retirado Matias M
placa video S3 Virge DX	Retirado Victor T	en uso
hub 3com (muy roto)	labi
hub asante 1016-iq, management, snmp (un poco roto)	labi
gabinete externo scsi (ok)	labi
fax xerox workcentre 365 (bastante roto)	cartonero
modem racal-milgo rmd 3222 (no se)	labi
computadora macintosh 512k (no se)	retirado diego g	descartada
computadora macintosh lc3 (no se)	retirado diego g	aprovechada
Discos y memoria (ok)	retirado Melisa H
Discos y memoria (ok)	retirardo Pablo R

Actualización 2024/01/29: ver https://seguridad-agile.blogspot.com/p/material-cyberciruja.html

Con este mail cierro la experiencia de haber regalado hardware a los participantes de estas listas. Me habia quedado escrito hace un tiempo y revisando los drafts lo hallé.

Les comparto este balance pues he aprendido varias cosas que bien le puede servir a quien se encuentre en una situación parecida, no solo a nivel personal sino tambien profesional, viendo que hacer con un jugoso stock de hardware obsoleto.

Partamos de que lo que estaba ofreciendo, ahi pueden ver tambien la última columna de feedback, no era muy interesante para el promedio de las personas, incluso técnicas. Como llegué yo a interesarme es un tema que trasciende esta discusión.

¿Como medir el resultado? Si es desde un punto de vista estrictamente de impresión, es bueno, me alegra que, por ejemplo, Federico V. haya reemplazado su choto monitor de 15 rayado por un choto monitor de 17, jeje. Me resultó un tanto tedioso tener que insistirles a personas que se habian mostrado interesadas en que ratificaran o rectificaran su interés y obraran de acuerdo a ello.

Desde una medición más objetiva, la experiencia no es tan buena. Le dediqué cerca de dos días hábiles en total, durante los cuales envié 55 mails y recibí 75.

Que cada haga su cuenta, pero con un sueldo neto de $3k/$6k/$9k/$12k/$15k hubiese sido de $250/$500/$750/$1000/$1250 de "lucro cesante", asi que tirarlos en un volquete ($???) hubiese sido mejor.

Dejar en la calle para que sea retirado por cartoneros implica el riesgo de generar basura, pues algunos procesan in situ. Tambien los muchachos de la esquina pueden llegar a destrozar por la mera diversión, yo lo hacia a esa edad, no les puedo reclamar nada.

Otro inconveniente es que semejante cantidad de "tecnología" en la calle puede provocar en el ojo inexperto una impresión de falsa prosperidad que puede incitar al delito.

Ahora cambiemos de punto de vista, de donante a receptor.

Al ofrecer una serie de publicaciones a la biblioteca, me encontré con un casi rechazo. Cuando indagué, el motivo fue muy claro: "hay mucha gente que trae cosas totalmente inútiles y despues se enojan si las tiramos". Eso me recordó cuando hace unos años le ofrecí a algún docente una dual pentium 100 y que tambien con desconfianza me preguntó por mis condiciones. Sorprendido le dije que no tenía ninguna. Me explicó que solían tener problemas con empresas que le traian cosas pero ponian condiciones con respecto a su uso. O el caso de una bruta máquina que necesitaba una pequeña reparación de u$s5000 (uno a uno).

Es por eso que cada vez que llevo cosas al labi les aclaro: "úsenlo, regálenlo, véndanlo o tírenlo".

En mi vida pasada como factotum técnico informático de varias empresas pequeñas, he notado que tiende a acumularse el hardware obsoleto y casi obsoleto, que resulta más caro usarlo que almacenarlo. Sin embargo, podría ser útil en las manos apropiadas. Surge entonces la idea de la donación y goto al comienzo del mail.

Estas son algunas de las descripciones que hubieron en una segunda experiencia:


Scanner microtek scanmaker II sp (sp significa "single pass", el modelo anterior pasa tres veces, una para cada color), con una placa scsi isa 16 bits y el cable, todo funcionando. Si alguien quiere sólo el scanner para destriparlo, esta ok, estoy haciendo espacio.

Computadora pentium 133 doble procesador, mother micronics, la cresta de la ola en su momento, con gabinete, disquetera (3.5) y fuente, bus eisa con placa de red 100VG-ANYLAN (eisa), que funciona como ethernet de 10, placa token ring (eisa), algo de memoria (tiene cuatro pares de slots), no se cuanta hay instalada y video pci. ¡Todo un desafío!


IBM thinkpad a21e, pantalla ok, teclado ok, fuente ok, bateria ok, lector cd o dvd, modem interno pero extraible de 56k, sin memoria, sin hd, sin bolso y con la nvram corrupta. Según he averiguado la solución económica en el mundo desarrollado es comprar un mother nuevo en ebay. El plan B lo ofrece, si no me equivoco un australiano que vende un soft y unos diagramas de un circuito para interrumpir el boot y reflashearla. El plan C, el más realista, es descuartizarla.


La Sabiduría que he adquirido de todo esto es que lo mejor es tirar todo furtivamente a la basura cerca de la hora de recolección, para no llamar la atención ni generar basura colateral.

Aún así no logro ser completamente racional y estoy esperando a que pase un cartonero con carrito para darle las LJ y los apuntes, son muchos kilos.


Habiendo terminado con el papel, ¿qué hacer con los medios magnéticos y ópticos?

Almacenamiento

Tenía 20 cassettes, 100 cds, 10 ZIPs, 10 diskettes de 5.25 y 150 de 3.5.

Lo principal a tener en cuenta es no perder información. Pero si en todos estos años no extrañaste lo que hay en esos diskettes, probablemente no valga la pena revisarlos.

Lo segundo en no "perder" información, o sea, que alguien pueda acceder a esa información. Pero si no recordás bien que hay en los disquettes, ¿cómo saber que borrar? Entonces uno debería borrar todo, pues el que dice "3COM drivers" quizás tiene otra cosa.

Hay que hacer borrado seguro de cada diskette/zip, para lo cual hay que armar una máquina con disquetera y quizás ide o scsi y... suficiente, ¿para qué querríamos limpiar los diskettes? Para que alguien los use, cosa cada día menos probable y ya habíamos aprendido antes que donar puede ser caro. Así que mejor...

¡¡¡¡...a destruir!!!!

Los cassettes, que sólo tenían música, fueron desarmados y la cinta usada como serpentina en una fiesta infantil. Los cds rotos uno a uno con dos alicates dentro de una bolsa para que no saltaran los pedacitos por todos lados. Para el resto consideré primero pedirle a un compañero de trabajo que probara hasta donde llegaba una bala, pero eso me postergaba el asunto. Luego, usar el taladro, pero me pareció sucio, así que opté por el destornillador caliente.

En la pila de papel siempre hay facturas, recibos, exámenes médicos y académicos, formularios, agendas con información confidencial o sensible y por que no, listas de claves de administración, que es conveniente incinerar.

Disposición

Los diskettes destruidos fueron desperdigados dentro de un contenedor de basura de modo tal que se desalentara su recolección. Esto tiene que ver menos con privacidad que con solidaridad, ya que su destrucción no es evidente y podría dañar una disquetera.

Conclusión

Por lo general me ha resultado más barato, divertido y gratificante destruir que reciclar o reutilizar.

En términos de privacidad, es un esfuerzo innecesario, ya que yo no soy un "blanco interesante", pero he utilizado las prácticas de quien si lo es. Si uno fuera un "blanco muy, muy interesante", sería conveniente la incineración completa o shredding.

Un buen trabajo práctico de Ingeniería Electrónica o Informática Forense sería armar una disquetera/zip/cd reader, los programas y el preparado para lidiar con el agujero en el disco.

Proveyendo anonimato

Antes de leer esta entrada, quizás te convenga leer la primera parte:

• Guía conceptual a la anonimización en Internet
• Medidas contra el anonimato

 if you want an english version, feel free to ask me for it

 
Las revelaciones de Snowden, que para cualquiera que esté en informática en general y en seguridad informática en especial, más que revelaciones son tan solo pruebas de algo hace rato intuido, nos dejan en muy malas condiciones para poder proveer anonimato.

Como prueba de la falta de novedad, Echelon [1] existe desde hace décadas y hace unos quince años migró sus fines militares a algo más generales, por lo cual no es ninguna sorpresa la revelación de la existencia de PRISM. Es bueno sin embargo saber gracias a Snowden cual es el estado actual de la tecnología, poder separar la realidad de la fantasía.

¿Por qué estoy mencionando todo esto, qué tiene que ver con anonimato?

Muy sencillo, para poder ser anónimo hay que poder confiar en que no se pueda rastrear a la identidad original la actividad anónima. Eso ya lo vimos en las otras entradas, tanto desde el punto de vista del que pretende anonimato como del que quiere atacarlo, falta ver como proveer anonimato.


¿Por qué querríamos proveer anonimato?


Recordemos un ejemplo en que el anonimato es indiscutiblemente legal y vital, el caso del sistema de denuncias anónimas de la policía de una ciudad de Sudáfrica, que ganó una lamentable notoriedad cuando se divulgó la base de datos[2]. La falta de destreza de los guardianes de esa información, afectó el anonimato de centenares o miles de personas, muchas de ellas víctimas.

Desarrollo de caso teórico

Veamos esta foto e intentemos implementarlo, le sumanos un canal por mail y otro web, para hacerlo más completo.

Supondré que no existe la amenaza de un ataque de denegación de servicio por medio de denuncias falsas, lo cual hace prácticamente inútil a fines prácticos todo lo que sigue, el objetivo es diseccionar el problema. Toda medida que intente utilizar para evitar esa denegación, atentará contra el anonimato.

Primero ¿cómo puedo contar con que no me rastreen al llamar? Desde que existen las centrales telefónicas digitales se acabó el problema de rastrear llamadas y si pensás que con marcar *31# alcanza, eso es sólo para llamar a lineas comunes, no hay ningún anonimato si la telefónica no quiere. La persona denunciante se ve obligada a llamar desde un teléfono público, donde no hayan cámaras.

Si fuera mail o web, nos comprometemos a no guardar ningún dato,
pero si el equipamiento que hay entre la persona que quiere anonimato y nuestro servicio está comprometido, no hay nada que podamos hacer, queda en manos del denunciante, que debe ser entonces un experto.

Supongamos entonces que nuestra llamada fué anónima y que no hay nada comprometido en el camino. La conversación queda grabada en el sistema. Como muchas veces ocurre, los datos de hoy son información de mañana, en [3] hay una explicación de la diferencia entre "datos" e "información", como para no repetir. Hoy la voz es dato, pero en el mundo pesadilla de control total de mañana, nuestra voz nos identificará. Es menester entonces que la llamada se convierta en texto y se descarte. Mientras, el denunciante debe usar un programa que modifique la voz. Una vez hecho texto, confluye con una denuncia vía mail o web.

Luego, por análisis de texto, quizás no seamos identificados 100% mañana, pero seguramente sí pasado mañana. Nosotros no podemos descartar el mensaje, así que el denunciante se ve obligado a escribir primero el mensaje, luego reescribirlo quitando las formas que lo identificarían y en caso de llamar, leerlo usando el scrambler con voz monocorde.


¿Alcanza? Depende, si uno dice "el policia XXX en tal día me detuvo e intentó plantarme evidencia", ¿qué tiene eso de anónimo? El policía XXX sabe a quien detuvo y sabe a quien avisarle quien soy por más que esté bajo la mira de la justicia, si no, pregúntenle a Julio López[4]. Y eso fué hace ocho años. La fuerzas armadas suelen tener uno códigos de lealtad muy fuertes...

Una vez que está dentro de nuestro sistema, puede haber un compromiso que
puede venir por el hardware, el sistema operativo, el framework o nuestro mismísimo proceso de desarrollo. Puede ser tanto por una vulnerabilidad como por malware o por un backdoor. Aquí empalmó lo de Snowden.

En este caso hay una ventaja para el atacante, que es que no necesita tomar el control, lo que hace que sea más difícil de detectar, basta con que registre en algún lado la información en que nosotros creemos descartada. Eventualmente la puede transmitir o simplemente pasar a buscarla.


Aún si tuvieras todo esto solucionado, queda el aspecto legal. Al menos dos empresas de mail seguro[5] [6] han cerrado sus actividades adelantándose a tener problemas, argumentando que no podían garantizar la seguridad de sus operaciones ante un requerimiento legal.

Experiencia de caso real

Yo tuve una micro experiencia, relacionada con una encuesta de tratamiento de llaves[7]. Aunque no creo que hubiera manera de que un ratero pudiera aprovechar la información, por disciplina obré como si si pudiera. Fue tomada vía email y la información que quería eran tres respuestas acotadas y una libre para un comentario. Además, no quería ni necesitaba que quedaran relacionadas las primeras con la última.

Tuve que enviar mail con copia oculta, aclarando que me respondan a mi en caso de haberlo recibido por una lista. Las respuestas tuve que eliminarlas del mail tras haberlas pasado a una planilla y asegurarme que no quedaran en la papelera.

En esa lista, sólo copié las respuestas, eliminando algunas palabras que daban indicios de la identidad del remitente.

Por supuesto que me equivoqué y tuve que tomar medidas correctivas. Normalemente publico, explico y me regodeo en mis errores, pero esta vez mejor no, le contaré en persona a quien me lo pregunte. Además, si mi cuenta de correo o mi máquina hubiesen estado comprometidas (cosa que, por cierto, no puedo negar categóricamente), todas las precauciones hubiesen sido en vano.

No fue sólo por disciplina, si no por que como bien dije "Hacer esta encuesta es muy incómodo para ambos, si alguien pierde pronto sus llaves y su casa es saqueada no va a haber manera de quitarle una desagradable sensación de desconfianza hacia mi por el resto de su vida, asi que agradezco mucho a quienes confiaron en mi.". Lo menos que puedo hacer es tomármelo en serio. Y aquí entra en juego otra vez la confianza moral vs la técnica [8]

Conclusión

El panorama que pinto no es alentador. La verdad es que sólo veo que el anonimato quizás sea factible llevado adelante por el interesado, con un gran esfuerzo y conocimiento técnico. No estoy en posición de proporcionar una solución categórica como en el caso de Camus el "hacker": no te saques fotos en pelotas.

Sí pienso que este, como cualquier problema extremo, nos sirve para comprender y lidiar con los más comunes, como por ejemplo seguridad y privacidad: no pedir ni guardar información inútil, protegerla en caso de que sea inevitable guardarla, tanto en el transporte como en el almacenamiento y el procesamiento (repitiendo la teoría, no?).

No me parece correcto razonar: "como no tengo manera de saber si mi sistema está comprometido o no, no me importa, igual cualquier cosa que haga es en vano".



¿Es sombrío el panorama? Y, si.



[1] http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A5-2001-0264+0+DOC+PDF+V0//EN&language=EN No lo leí todo, sólo como evidencia de lo viejo que es el asunto
[2] http://seguridad-agile.blogspot.com.ar/2013/05/leak-mortal.html
[3] http://seguridad-agile.blogspot.com.ar/2014/01/camus-el-hacker-y-el-escenario.html
[4] http://es.wikipedia.org/wiki/Jorge_Julio_L%C3%B3pez
[5] http://lavabit.com/ o https://web.archive.org/web/20140210042748/http://lavabit.com/
[6] http://silentcircle.wordpress.com/2013/08/09/to-our-customers/
[7] http://seguridad-agile.blogspot.com.ar/2014/01/la-vida-real.html
[8] http://seguridad-agile.blogspot.com.ar/2013/09/confianzas.html

Medidas contra el anonimato

Antes de leer esta entrada, quizás te convenga leer la primera parte:

• Guía conceptual a la anonimización en Internet

 if you want an english version, feel free to ask me for it

 

 ¿Cómo se combate la anonimización?

Verlo como el contrincante es útil, si esta vez nos ha tocado anonimizarnos, veamos que nos harían:
 

Análisis de tráfico

Durante la segunda guerra mundial la criptografía tenía una cierta madurez, pero el criptoanálisis estaba en pañales, por ello cobró un cierto relieve el análisis de tráfico [1]. También he oido por ahí la capacidad de las empresas de comunicaciónes de correlacionar lineas de teléfono a una misma persona por su patrón de actividad. Esto se traduce en que si tirás tu chip y tu teléfono y los reemplazás por unos sin relación con tu identidad, tras unos pocos días de uso generás un patrón de comunicaciones que te relaciona con el equipamiento anterior. También sabemos de los sistemas de los banco que hacen análisis de operaciones para detectar fraude y sabemos que en EEUU se admite al menos que se hace ese análisis "sin ver el contenido", jeje.

Análisis del texto.

El estilo, la selección de palabras, frases y las estructuras utilizadas tienen un cierto aire a huella digital, que permite que es pueda reconocer al escritor aunque este no se identifique. Es algo parecido a lo que ocurría con los operadores de morse, que su modo de transmitir los hacía únicos. Como anécdota, cuando un operador era tomado prisionero por el enemigo y este tenía el propósito de contaminar al sistema de inteligencia ajeno, era de primordial importancia que siguiera operando pues no si no los otros operadores se daban cuenta.

Logs.

Las aplicaciones pueden ir dejando escrito en algún lado "cuando", "quien", hizo "que". Las aplicaciones incluyen desde servidores web al equipamiento de los ISP. La correlación entre los logs de distintas aplicaciones pueden dar un panorama bastante completo de que ocurre, reduciendo el anonimato.

Por ejemplo, ayer (cuando) le quitaste a otra persona (quien) en tu trabajo las credenciales del proxy para poder bajarte porno (que)... pero lo hiciste desde tu estación de trabajo, pillín, mirando la dirección ip "quien" sos vos.


Resumiendo, si estás en algun log, perdiste.

Malware.

La inyección de programas en los sistemas de las personas u organizaciones bajo vigilancia, facilita enormemente la labor del atacante, ya que no importa que medidas se tomen, el ejercer el control sobre el equipamiento hace que aunque ante Internet las acciones sean anónimas, estas queden registradas de todos modos.

Hay un interesante artículo donde se vé el malware aplicado en distintos componentes de una red, pasando de aplicaciones a firmware, gentileza de NSA

http://www.spiegel.de/international/world/a-941262.html

 

Infiltración

Esto ya cae fuera del alcance de esta entrada, pero es obvio que si una organización cuenta con un miembro infiltrado en otra, aunque puedan no haber pruebas, la primera sabe cuales son las acciones anónimas de la segunda.

Cookies

Este es un aspecto técnico, es como una mezcla entre malware e infiltración. Una vez que nuestro navegador tiene un cookie, dependiendo de las reglas lo enviará a diversos sitios a los que nos conectemos. Hace muy mal al anonimato que al publicar una noticia el servidor reciba un cookie con un secretito tomado en nuestra navegación previa.

Honey pots

Si estás ansioso por navegar anónimamente, cuando te enteres que hay vpns y proxys anonimizadores estarás muy feliz, hasta que te preguntes, ¿quién puso ese proxy?

Ejemplo de análisis de logs

Esta noticia nos cuenta de que manifestantes en Kiev recibieron un mensaje SMS por haber estado en una manifestación. ¿Cómo los descubrieron? Muy sencillo, los celulares están conectándose permanentemente con las antenas más cercanas, lo cual permite calcular con bastante precisión donde están en cada momento.

http://www.theguardian.com/world/2014/jan/21/ukraine-unrest-text-messages-protesters-mass-riot

Si te interesa ver otro ángulo de este tema, seguiré con

• Proveyendo anonimato

[1] http://www.governmentattic.org/8docs/NSA-WasntAllMagic_2002.pdf página 53 del documento, 69 del pdf

Guía conceptual a la anonimización en Internet

Recuerda en todo momento que anonimato no es secreto, si te interesa que no se descubra tu actividad, es otro tema. Esto se trata de que una actividad no se pueda relacionar contigo.

if you want an english version, feel free to ask me for it

Motivos

Pueden haber diversos motivos para desear el anonimato en Internet. Como es un terreno muy subjetivo y lo que en un lugar se considera libertad de expresión en otro crimen, me limito a enumerar algunos que se me ocurren vagamente, en desorden y sin tomar ninguna postura:

• Políticos: denunciar fraude electoral.
• Denuncia criminal: tal persona cometió un crimen.
• Acción criminal: quiero vender o comprar drogas o armas.
• Acción anticriminal: infiltración en organizaciones criminales.
• Investigación: si encontrás un sitio web que tiene un problema y lo reportás pero no estás seguro de cómo pueden tomar tu aporte, quizás lo más prudente es que uses un alias y que anonimices la exploración. Si además de aportar quisieras recibir algún crédito, es mejor que pidas permiso y hagas una suerte de contrato como si fuera un PenTesting
• Artísticos: quizás J. K. Rowling querría mantenerse separada de Robert Galbraith.
• Represalias puntuales: me robaste la novia, te robo la cuenta de mail y divulgo tus secretos.
• Vandalismo: no es buena idea que tras hacer un defacement uno sea rastreable.
• Gustos personales reñidos con las buenas costumbres: los hay.
• Protección de información personal identificable: es la que de caer en manos apropiadas, puede ser utilizada para ser atacado.
• Por el mero gusto: a veces, a uno no le gusta que el resto sepa lo que uno hace. Hay a quienes les molesta que gobiernos u empresas puedan perfilarlos.

Tipos de anonimización

Encuentro que hay distintos tipos de anonimización, que se me ocurre llamar "total", "alias" y "promiscua". Las clasificación de los ejemplos que doy es ilustrativa, sólo responde a necesidad puntual de explicar los siguientes puntos,  siempre se podrán clasificar de distinto modo:

Total

No sólo una acción es anónima, si no que no debe haber manera de correlacionarla con otras acciones anónimas. Es apropiada para denuncias, vandalismo, represalias puntuales, experimentación e investigación.

Alias

Se conforma un grupo de acciones anónimas tras un seudónimo, dado que hay alguna relación temporal o conceptual a mantener. Por ejemplo con fines artísticos, venta ilegal de algo, negociación, infiltración. El colectivo Anonymous es un ejemplo real.

Promiscua

Las acciones quedan ligadas a un grupo en lugar de a una persona, con lo cual se destruye el principio de no repudiación. Ocurre cuando se usa una cuenta de twitter compartida. Sirve para denuncia.

No sé que protección legal provea y si sé que no proveé defensa contra una acción de tipo terrorista contra el grupo entero.



No olvidemos que en ningún momento estamos considerando otros factores como Confidencialidad o Autenticidad, es ortogonal, puedo enviar mensajes Autenticos o Confidenciales con un alias siguiendo los mismos mecanismos que con una identidad real.

Ahora me voy a concentrar en el tipo "alias". Tú, lector o lectora, si llegaste hasta acá, extrapolarás a los otros tipos.

El problema principal del alias es que debe evitar por todos los medios relacionarse con otros alias y fundamentalmente con la identidad real.

Anonimato legal vs real

Un aspecto a considerar del anonimato es si es real o nominal. Lo que quiero decir es que hay situaciones en las cuales hay una acción anónima y no queda evidencia, pero aun así está claro quien fue. Este es el caso del análisis de texto, no se puede demostrar quien ha sido, pero a fines prácticos, te han descubierto. No es como en las películas, donde la agencia gubernamental, el policía o el bueno de turno tiene arrinconado al malo pero como no consigue evidencia que pueda ser presentada ante la corte, este logra huir indemne. Al Capone encarcelado por evadir impuestos es de una era más ingenua. Es como en la realidad donde las personas mueren en manos de drones, se ven en el medio de denuncias legales fraguadas, aparecen muertas o simplemente no aparecen.

Descartemos algunas ideas ingeniosas:

Las ideas siguientes pueden parecer útiles, pero deben ser tomadas más como recursos de emergencia que solución final.

 

 

 Contaminando filtros

Para evitar las reglas de búsqueda en Internet, se debería incluir en todos los mensajes que uno escribe algunas palabras claves de un conjunto selecto, sin relación con el mensaje actual. Esta idea ha tenido poligénesis pues la he visto escrito en alguna ocasión. El problema que trae es uno está atrayendo la atención por obstruir la eficacia de los filtros y a menos que lo haga una parte considerable de la población, esta atrayendo DEMASIADO la atención. 

Otro problema que tiene es que sólo puede funcionar de modo masivo y sin intención de ofender a nadie, la mayor parte de las personas que usa Internet no tiene el conocimiento ni le da la cabeza  para lidiar con esto. Terminarían cortando y pegando siempre el mismo texto o mejor aún bajando un programa que lo haga por uno. Ese programa probablemente contendría malware y estaría diseñado para no afectar los filtros, nuevamente los mensajes que queremos que pasen desapercibidos brillarían como si estuvieran pintados de rosa fluo.

Hay que adquirir previamente una cierta capacitación y práctica, para que lo que uno haga no termine siendo un indicador de que está tratando de pasar desapercibido. Como dijo el maestro Oogway:

"One often meets his destiny on the road he takes to avoid it."

pero me gusta más como lo tradujeron al español latino:

"Para evitar su destino tomaron la senda que los condujo a él"

Lo mejor que he encontrado con respecto a los filtros es esta noticia:




http://www.lavanguardia.com/vida/20140124/54400455903/un-palestino-detenido-tras-llamar-a-su-hijo-mohamed-mursi.html

 

 

Robar redes de vecinos

Dejando de lado que es de mal gusto, las tenés cerca, no es buena idea. Es mejor usar accesos públicos, lo cual de paso es menos ilegal. El simple hecho de atacar una red para obtener credenciales puede disparar algún mecanismo compensatorio que cancele el anonimato, como que alguien preste atención a quienes estaban cerca.

Usar servicios de anonimización

Existen diversos servicos como proxy y vpn de anonimización, pagas y gratis. El problema es que actualmente, una de las más populares, tor, no parece ser tan confiable. No olvidemos que tor es resultado de una organización gubernamental, [1].


Personalmente, no confiaría en una gratuita, ya que bien puede ser un honeypot y una paga tiene mis datos para que pueda pagar.

Cambio de mac address en placa wifi

Todos los tutoriales de robo de redes wifi dicen como primer paso "no olvides cambiar la mac address de tu placa". La verdad es que las veces que yo quise, con fines investigativos atacar mi propia red, al cambiar la mac address falló el proceso. Pudo haber sido falta de destreza o justo haber usado placas no aptas, pero eso es secundario. Si usás la misma placa, el problema radica en que el día que te equivoques, perdiste, quedó relacionada tu tráfico normal con el anónimo. Es por eso que hay que usar tails y placas descartables, que tras reiniciar olvida todo, no queda librado a tu esfuerzo.

Hay tanto tráfico que es imposible que me vean

Aunque incorrecto, eso pudo haber sido cierto hace un tiempo. Las últimas noticias dicen que los ingleses capturan todo el tráfico durante tres días y luego lo tiran. ¿Tiran todo? Los norteamericanos dicen que sólo hacen análisis de tráfico, quizás.

Que no haya capacidad de procesamiento para hallar y correlacionar tu tráfico ahora, no significa que dentro de unos años no lo haya. No importa, cuando llegue el momento vemos. El problema con ese enfoque es que se pueden estar guardando datos ahora y que puedan ser procesados dentro de unos años.

¿Qué hacemos entonces?

Hay que copiar a los que ya lo saben hacer: los criminales. Lamentablemente, para poder ser normal hay que pensar como criminal.

Un ejemplo

Los criminales comunes usan celulares descartables o robados. Esto es en vano si tenemos el celular prendido todo el día, en el momento en que se identifique como sospechoso, quedan revelados todos los lugares donde estuvo.

Aqui vemos por ejemplo la traza del celular de un diputado alemán.



Seguí el link, apretá el boton de play y divertite. Se maneja como un google map, de hecho lo es.

http://www.zeit.de/datenschutz/malte-spitz-vorratsdaten

Breve recetario

Las recetas del anonimatos vienen en dos sabores, uno bien técnico:

• todas las operaciones deben efectuarse sin usar ips asociadas de algún modo a un domicilio, trabajo, amigos o parientes. Tampoco debe haber relación con cuentas a nombres de los anteriores.

• no navegar otros sitios de modo tal que no de no dejar un rastro de cookies

• que ser filmado en un access point ajeno

• no usar la misma mac address para esta y otras actividades en redes ajenas

Y otro menos técnico, pero más difíciles de cumplir:

• redactar los mensajes o artículos de un modo radicalmente distinto a los que se pueda redactar con la identidad real.

• tener una absoluta claridad acerca de la (separación del) tráfico

Todo se reduce a una sola frase, que es justamente "anonimato":

• no debe haber ninguna relación con la identidad real

Como verás, el esfuerzo de separar las identidades, que es en última instancia la única manera de poder hacer algo realmente anónimo, es todo un proyecto en sí, requiere una disciplina muy extricta e incluso usar máquinas físicas distintas. En el caso del tráfico, se parece al trabajo de un químico manipulando sustancias peligrosas.

Si te interesa ver otros ángulos de este tema, seguiré con

• Medidas contra el anonimato
• Proveyendo anonimato

Glosario

Cookies: son unos trocitos de información que los sitios web dan a los navegadores y estos se los devuelven en cada conexión y sirven para que el sitio web sepa de quien es cada conexión.

Mac address: cada placa de red, sea por cable o wifi tiene un número de serie que usa como parte de la comunicación y por lo general se puede cambiar

Proxy: un programa que está en el medio entre un navegador e Internet y permite anonimizar.

Tor: una red que permite anonimizar, aunque a veces hay serias dudas.



[1] https://www.torproject.org/about/overview

camus el hacker y el escenario alternativo

Tras haber visto superficialemente el asunto y habido tenido algunas conversaciones, la verdad es que no me he podido resistir y voy a tener que construir algo al respecto. De todos modos, como siempre, el objetivo de este blog es aprender algo, ver con otros ojos, no necesariamente acertar.

Viene Camus el hacker y twitea algunas fotos, tiene algunos cruces, lo agarran o se deja agarrar, niega, no importa.


Hay un post en taringa [1] con comentarios que son muy interesantes. Primero opina gente que parece entender algo de seguridad informática y lo caracteriza como un tarado.

Luego hay un comentario de un tal @cyniko, que aunque quizás sea en extremo conspirativo, me parece totalmente factible. No concuerdo en que esté todo armado, no veo la necesidad de armar una banda narco con gente de la farándula y luego reventarla. Si es factible que la banda exista y se aproveche a fondo que haya sido descubierta.

Lo que @cyniko propone es que en realidad es una jugada de alguna productora multimediática, que es un gil al que le tiraron unos pesos y unas fotos para alimentar la fogata del circo/escándalo permanente que nos distrae de las cosas importantes.

Un amigo mío que es famoso, cuando recién estaba empezando me comentó que la mayor parte de los chimentos, que tal se pelea o se acuesta con tal es puro circo. Le he preguntado recientemente y no ha cambiado de opinión. Esto bien podría encuadrarse en esa visión.

Al comienzo, otra noticia importante era que la policía no quiso meterse mucho[2], compatible con que no querrían quedar pegados en una maniobra de publicidad, pero eso parece que ha cambiado.


Sea un autentico criminal informático, un héroe antifarándula, un bobo o un cadete, lo que me interesa es como se obtiene el material.

Escenario tradicional

Un escenario posible es que la persona haya caido víctima de un phishing y el atacante haya podido instalar un programa en su computadora para controlarla. Una vez logrado esto, pudo haber bajado todas las fotos como por ejemplo la del muchacho sosteniéndose la salchicha. Tambien puedo sacar fotos nuevas con la webcam como el caso de la chica usando la toalla. Esto es  factible, se hace con un programa del cual hay libros escritos y se baja gratis y legalmente de Internet. Para que no sea necesario que el atacante sepa mucho, basta con que el software de la máquina esté lo suficientemente desactualizado.

Ahora bien, para poder atacar a todas esas persona ya hace falta un cierto talento, pero no es indispensable. Una vez que lográs que caiga una, la usás para facilitar que caigan las otras, lo he visto y es muy efectivo.

Escenario alternativo

El otro escenario: hace no mucho leí un artículo[3] acerca de un estudio que dice haber descubierto que la propagación de la información en Internet no necesariamente alcanza a todos, que pueden quedar "bolsones" desconectados, en constraste con la propagación de enfermedades, que es un modo como se modela la difusión de información en una red, todo esto según el artículo.

Démoslo por cierto y hagamos el camino inverso: en Internet pueden haber bolsones de información inalcanzables, no por que estén protegidos por firewalls y mecanismos de autenticación, lo que se suele llamar darknet o porque no esté indexada, deep web, sino por una barrera lingüística.

Si uno sólo sabe español y busca algo, dependiendo de como le funcione la mente y un conocimiento previo, no va a tener dificultades con lo que esté en español. Se podrá más o menos manejar con italiano, portugués, francés. Un poco menos con inglés y alemán. Menos aún con polaco, holandés, sueco. En el momento en que cambie de alfabeto, con griego, ruso o árabe ya está en el horno y al pasar a los ideogramas chinos en el infierno.

Ahora bien, el mundo está lleno de personas intentando explotar las vulnerabilidades de todas las máquinas que están conectadas a Internet. En el momento en que logra alguno entrar a la máquina de un famoso de acá y le saca sus recuerdos más íntimos y un par de fotos, eso va a parar a un foro en ruso, donde nadie está al tanto de la celebridad de la víctima. Es muy improbable que alguien que conozca a la víctima pueda encontrar ese material, pues no va a tener ninguna etiqueta ni texto que lo relacione con la identidad, va a ser bastante anónimo.

Así que hay que armarse de tiempo y paciencia, poner cosas como  Обнаженная женщина веб-камера y quemarse los ojos buscando un rostro conocido.

Como defenderse

No te saques fotos ni videos que no quieras que nadie vea. Si te gusta verte, comprate una cámara sin wifi, que grabe directo a dvd o rescatá la que graba a vhs y evitá perder los dvds y cintas. Los dvds velos en el reproductor. No uses un smartTV, son computadoras conectadas a Internet con un sintonizador de TV y una pantalla grande. En pocas palabras, evitá digitalizar tus secretos y si no lo podés evitar, no los pongas al alcance de Internet.

Hay que aprender de los errores, si son ajenos, mejor.

Durante una capacitación de seguridad informática a la que asistí hace poco dictada por Nahuel Grisolía de Cinta Infinita [4], vi algo bastante normal. Uno de los asistentes tenía una cinta sobre la webcam. Esta persona lo hacía por que a veces no se puede confiar mucho en las personas que te rodean y estando en la misma red es más fácil explotar alguna vulnerabilidad que en Internet.

Mi evaluación de amenazas en ese caso no puso énfasis en quienes me rodeaban si no a lo que había de valor en esa capacitación o en cualquier otra similar, que es lo que se dice y no está en el material impreso o digital. Las anécdotas tanto del que expone como las de los que participan. Me parecía más provechoso para un atacante tener comprometida una máquina y obtener el audio de la capacitación en lugar de unas pocas imágenes de un boludo mirando por encima de la pantalla.

Adaptándolo al tema actual, la verdad es que las fotos y videos en pelotas no muestran casi nada que estas víctimas no muestren de todos modos cuando les pagan, sólo que el atacante no suele usar photoshop.

Abriré un breve paréntesis académico: la distinción entre datos e información. Los primeros no tienen significado, los segundo si. Por ejemplo

+6000, -190, -200, -500, -5000, -5, +6000,

no significa nada, pero si te digo que es el resumen de operaciones de una cuenta bancaria, sí significa.

Por más que una imagen vale más que mil palabras, las fotos proveen poca información. Si, todos nos secamos con una toalla. Si, todos nos toqueteamos. Si, todos nos revolcamos. Ahora bien, si te estás revolcando con quien no tenías que hacerlo, ahí empieza a haber información. El audio puede traer mucha, mucha información. Puedo estar contando con quien me revolqué que no debía, que compré droga y a quién, que tengo o sé de algún negociado, cosas que no debería escribir en un mail y prefiero conversar por teléfono mientras navego.


La evaluación previamente mencionada condujo a un proyecto abandonado antes de empezar que ahora vuelve a tomar protagonismo.

La idea es conectar un micrófono externo mudo, no he tenido tiempo de investigar si con poner un conector alcanza o hay que poner una resistencia o qué.

El conectar un micrófono externo por lo general anula el micrófono incorporado y eso lo hace por medios físicos, es un switch que se mueve, no puede ser burlado por software del mismo modo que obstruir físicamete la webcam anula efectivamente el video. Aun así, con la cámara tapada alguien podría medir el nivel de radioactividad[5], pero bueno, no se puede todo.


Si te interesa saber de anonimato, seguí leyendo

---------

[1] http://www.taringa.net/posts/info/17512281/La-famosa-Mentira-de-Camus-Hackers.html

[2] http://www.clarin.com/sociedad/famosos-espiados-dicen-denunciaran-hacker_0_1073892660.html
[3] https://medium.com/the-physics-arxiv-blog/1dd050e875e0
[4] http://ar.linkedin.com/in/nahuelgrisolia, http://cintainfinita.com
[5] http://arxiv.org/abs/1401.0766

Por que no biometría

Es muy profesional mencionar los factores de autenticación y para no ser menos, los mencionaré:

• Algo que sé: una clave
• Algo que tengo: un token, tarjeta de coordenadas
• Algo que soy: biometría

Se está tendiendo a utilizar múltiples factores, de modo tal que si alguien se apodera de nuestra clave, no le alcance, pues le falta la tarjeta de coordenadas, por ejemplo.

if you want an english version, feel free to ask me for it

Algo que sé

Las claves son difíciles de recordar, moderadamente fáciles de robar. Si no tenés una cierta paranoia, fáciles de adivinar.

Las claves mal ingresadas suelen bloquearse tras algunos intentos fallidos, el proceso de desbloqueo o recuperación es incómodo. Alguien te puede bloquear la cuenta conociendo sólo tu identidad.

Las claves bien administradas son reemplazadas cada mes, lo que te obliga a tener patrones de claves que las debilitan.

Si respetás poner un símbolo y estás usando un teclado que no corresponde a tu configuración regional habitual, estás en problemas.

Atacantes obtienen bases de datos llenas de claves mal protegidas o directamente en texto plano.

En los ATMs se roban claves mediante cámaras ocultas y teclados falsos colocados sobre el teclado verdadero.

En Internet circulan claves en texto plano, tenés que prestar atención donde ponés tus claves.

No podés confiar en ningún servicio, así que tenés que usar claves distintas en distintos lugares.

Si tu máquina está comprometida, unos programitas llamados keyloggers capturan lo que escribís, por ejemplo al ingresar la clave de tu home banking.

Cuando escribís tus claves, pueden ser vistas por personas por sobre tu hombro.

Algo que tengo

Tarjeta de coordenadas, se gasta, se puede fotografiar o fotocopiar. La podrías ingresar completa en un sitio de phishing. No vos, claro, pero ocurre todos los dias.

Token, es caro. Es incómodo tener uno por cada identidad.

Todo lo que tengo se puede perder o ser robado.

Si lo pierdo o me lo roban, lo puedo dar de baja. Sólo en Misión Imposible me lo copian sin que me de cuenta.

La zona grís entre lo que sé y lo que tengo

Es evidente que no puedo saber cuarenta credenciales distintas, entonces las anoto... ¿las sé o las tengo?

Puedo usar un programa tipo KeePass y usar claves correctas en cada cuenta (las tengo), con el único riesgo de que sea comprometida la clave del almacén (la sé).

Algo que soy

La biometría es cool, apoyás el dedo, una cámara ve tu iris y entraste.

Si te asaltan ya no hace falta llevarte de paseo por los cajeros, con la tarjeta, la clave y tu dedo tibio recién cortado alcanza. ¿Otra vez Misión Imposible, en versión adultos? No, cada tanto le cortan un dedo a algún colectivero gratis  [1][2].

Si alguien compromete tu clave usás otra. Si alguien copia tu factor biométrico, fuiste.

¡Ah, pero eso es de re-espía! te convido un martini y me llevo tus huellas digitales.

No hace falta, con una foto alcanza. En vísperas del Lockpicking Village de la Ekoparty 2013, he comprobado que a partir de una impresión laser en poliester, se puede hacer una huella falsa que un lector más o menos normal acepta encantado. Yo no sólo disto de ser un experto en el tema, sino que fue mi primer, único y último intento, no basta con la suerte de principiante, evidentemente es fácil. Decenas de visitantes copiaron en pocos minutos sus propias huellas y pudieron burlar el mecanismo.

No he estudiado a fondo el asunto, pero según me han contado las otras personas del Lockpicking Village, lo que se almacena no es una imagen de la huella sino una representación. Supongo que a partir de esa representación se podría regenerar una huella que no engañaría a un perito pero sí a un lector de huellas.

Así como hay leaks de bases con claves, habrán leaks con bases de huellas.

Cambiando el cristal

Hasta aquí hemos visto el asunto desde el punto de vista del usuario, ¿cuál puede ser el del proveedor?

Obviamente, si da plata y todos se suben a la movida, el proveedor se ve obligado a adherirse. Pero, ¿qué va a pasar cuando haya un leak de la base de huellas y el usuario inicie acciones legales? Pues no es lo mismo perder las contraseñas [3][4] que algo que el usuario no puede reemplazar. El usuario podría argumentar que el proveedor le ha perdido la identidad. Se parece a haber perdido el anonimato [5].

Y luego, una vez que un proveedor ha perdido tus factores biométricos y te ha indemnizado, ¿qué pasa con el próximo que los pierda? ¿Te vuelve a indemnizar? Yo como proveedor quizás no querría aceptar la responsabilidad (o mejor dicho el costo) y me vería en necesidad de influir y manipular las leyes para que me sean favorables y esto podría llevar a "social unrest" si no fuera por que la humanidad parece embarcada en un tren de completa idiotez en lo que respecta a espejitos de colores digitales y las ventajas de la interconectividad.

Como proveedor no me preocuparía mucho.

Sí es sabido que es mala práctica repetir contraseñas en distintas cuentas, tambien lo es con los demás factores. La tarjeta de coordenadas o un token sólo sirven para una cuenta y esto es razonable, ya que los bancos no confian en los otros bancos para unificar la autenticación, son MIS clientes, ¿no? ¿Por qué el usuario final debe confiar SUS huellas, su iris o su adn?

Es que la autenticación biométrica se debe reservar para las cosas importantes, diría alguien con buen sentido. Pero como reza el dicho "con paciencia y con saliva, el elefante...", así como pasamos de tener cable sin cortes publicitarios a tenerlos, de un sellito del canal arriba a la derecha a un ocasional flash a un mensaje permanente, vamos a pasar de que las huellas se ponen en los documentos, a que en las credenciales de acceso a edificios inteligentes, a que desbloquean el smartphone, ese mismo que cambiás cada dos años o menos y lo vendés, regalás o perdés con tus huellas adentro [6].

Una opción que se me ocurre para poder convivir con la autenticación biométrica es restarle valor a los factores biométricos. Dictaminar que no basta como evidencia hallar una huella digital para relacionar a alguien con la escena del crimen, tambien debe estar en video. Estaba por decir "en el futuro" pero me parece que este ha ya llegado: el arte cinematográfico, modelado y animación 3D permite adulterar esa evidencia tambien. Pronto, la única manera de delinquir y poder ser acusado va a ser cometer el crimen en presencia de un escribano.



[1] http://www.ambito.com/noticia.asp?id=729777
[2] http://www.clarin.com/policiales/Asaltan-colectivero-plata-cortan-dedo_0_900510126.html
[3] http://seguridad-agile.blogspot.com.ar/2012/06/leak-linkedin.html
[4] http://seguridad-agile.blogspot.com/2013/11/leak-adobe.html
[5] http://seguridad-agile.blogspot.com.ar/2013/05/leak-mortal.html
[6] In two years your new smartphone could be little more than a paperweight http://smallbusiness.chron.com/life-expectancy-smartphone-62979.html

Privacidad y buenas intenciones

BABYLSCRIPT

Cuando me dispuse a criticar la iniciativa de traducir el lenguaje de programación javascript a una docena de idiomas [babylscript], consulté a diversas personas intentando traer agua a mi molino o al menos quitar las piedras y me encontré con que el agua vino con piedras y como no soy un experto en lingüistica, sociología, sicología ni aprendizaje y sólo tengo mi experiencia propia en varios lenguajes y paradigmas de programación, no puedo hacer una Gran Teoría. [Argerich][docentes][embed32]

Mi idea era decir algo asi como "Si una persona tiene dificultad en comprender un lenguaje de programación, no pienso que sea por los símbolos del lenguaje, aunque pueda ayudar, sin duda es más sencillo para alguien que usa un alfabeto latino que para el resto, pero aún así, la dificultad principal está en comprender la programación.", que es algo que a mi me parece razonable pero no puedo sustentar mediante opiniones expertas.

Esto me fuerza a ir a las piñas sin pensar mucho, al grano. Cito: "Babylscript allows people to write programs in a mix of different languages. A programmer can take a library written in French, mix it with their own program written in Spanish, and use code snippets they found on a Chinese help forum"

Asi que ahora no sólo hay que comprender un lenguaje, sino... ¡doce! ¿Cómo hago para saber que 

 

если

إذا

যদ্যপি

如果

अगर

もし

만약

dacă

wenn

se

si

if

son todo lo mismo? Yo entiendo sólo los tres últimos, si el código viene en coreano, no tengo ninguna manera de saber que hace, es como si me dieran código objeto, ya compilado. Esto no sirve para integrar, sólo para fragmentar. A medida que las comunidades crezcan, comenzarán a separarse. No quiero ponerme bíblico, pero es realmente Babel, aunque el castigo se recibe al poner el cimiento, no al alcanzar el cielo.

Lo que el párrafo citado dice es "usá código que suponés que hace lo que dice la documentación", pero ¿en qué idioma está esa documentación?, tendríamos que establecer un idioma común para la documentación, para poder compartir nuestros componentes.

Aunque a muchos no les guste, el idioma inglés es el idioma común al menos de la tecnología. ¿Es eso justo y democrático? Pues a aprender chino.

Sin embargo, no se puede negar que esta iniciativa tiene algo bueno, se acabó eval().

Pero...

...supongo que a esta altura cualquiera se preguntará que tiene que ver que unos pobres infelices reescriban javascript en un montón de idiomas con el título "privacidad". ¿Por que me estoy ensañando con gente bien intencionada con la cual ni siquiera me he contactado (ni lo voy a hacer) para advertirles del peligro que implican para la humanidad programadora?

Caso dos

En el año 1930, en Holanda se hizo un censo y uno de los datos era religión. La intención de los encuestadores era poder dar entierro de acuerdo a sus creencias a quien muriera careciendo de parientes [censo]. Cuando en el año 1940 los alemanes invadieron, se apoderaron de este censo y lo usaron para sus fines. Vemos aqui de modo mucho más concreto y "definitivo" como las buenas intenciones pueden traer consecuencias imprevistas y desagradables.

Caso tres: Amo de tus silencios, esclavo de tus twits

Para este caso, del cual disto tanto como de los otros ser descubridor, no voy a citar fuentes ya que sobran. 

Cuando al hablar decís algo, ya es tarde, lo has dicho, quienes te escucharon lo tienen en sus mentes, quizas se olviden, probablemente. De todos modos, la gente tergiversa sus recuerdos, no es tan terrible. Uno debe cuidar lo que dice, pero no podemos estar todo el día tan pendientes, hay que vivir.

Cuando escribís algo en papel (sin computadora de por medio), aunque es más fidedigno, ese papel y sus fotocopias se pueden perder, deteriorar, son difíciles de hallar y de relacionar. Hay que prestar un poquito más de atención, no firmar cheques en blanco. De todos modos, el escribir en papel permite tomarse su tiempo, reflexionar sobre lo que se va a decir.

Escribir en la computadora es parecido, salvo que no tenés nunca certeza de que no haya un bichito tomando nota o que el editor que usas no deje temporarios que luego puedan recuperarse.

Cuando das el salto final y ponés tu información en Internet, la que nunca olvida, perdés completamente el control sobre ella y además puede ser increiblemente fácil de encontrar.

Cuando ponés información personal en tu blog, facebook, twitter, le estás dando a la posteridad la capacidad de conocerte, lo cual en términos filosóficos y sensibles podría ser bueno, lograste una cierta trascendencia, salvo que, como dijo Syndrome: "Everyone can be super! And when everyone's super... [chuckles evilly] no one will be." [Syndrome]

No sólo la posteridad te conoce, tambien te conoce la banda de criminales informáticos que te hace un spear phishing, la de criminales comunes que te vacía la casa cuando tu GeoTrackMe.com dice que estás ausente.

No estoy cuestionando la actividad profesional o académica, sería incoherente de mi parte estar escribiendo esto. Se hace una evaluación de riesgo, que ganás y que perdés al poner tu cv en linkedin, al opinar en un foro profesional. En esos casos obtener trabajo en el futuro, compartir información o enseñar algo, que es la mejor manera de aprender.

Cuando dás tu ubicación, tus gustos y relaciones personales, supongo que lo hacés por relaciones personales, para alimentar tu ego, para no ser menos que el resto. Por mi está ok, pero ¿hiciste una evaluación de riesgo?

Quien no me crea, que use Internet contra si mismo, a ver que resultados consigue.

Referencias:

• [babylscript] http://www.babylscript.com/
• [Docentes - mi pregunta] "Se podría afirmar que es más fácil cambiar de lenguaje (Haskell <-> Erlang, C <-> Pascal, Asm Pic <-> Asm 360, Java <-> C++) que de paradigma (bajo nivel, estructurado, objetos, funcional)?"
  
  
• [embeb32 - mi pregunta] "¿Se podría afirmar que quien aprende a programar en assembler de cualquier arquitectura tiene menos dificultad en cambiar de arquitectura que en cambiar de paradigma? Por ejemplo pasar de Asm 360 a Asm Pic vs. pasar de assembler a programación funcional." https://groups.google.com/forum/?hl=es#!topic/embebidos32/ckFwftHsd5U
• [Argerich - correspondencia privada] "En base a mi filosofia de que los paradigmas de programacion en realidad no existen y son solo una excusa para vender libros, cursos y demas cuestiones diria que no. Desde la epoca del Fortran que programar es meter una linea de codigo debajo de otra, es el area de la computacion mas estancada por lejos."
• [censo holanda] http://en.wikipedia.org/wiki/History_of_the_Netherlands_%281939%E2%80%931945%29#High_Jewish_death_toll
• [censo] Lamentablemente de esto no tengo la cita precisa, pués me parece que lo leí hace mucho en algún diario, pero no recuerdo bien.  Me contó alguien que lo vió en un documental sobre Internet de la BBC, emitido en Film&Arts, ya lo voy a encontrar.
• [Syndrome] http://www.imdb.com/title/tt0317705/quotes