Tag Archive: Edward Snowden


Yes_We_Scan_Deal_With_It_Wide

El cifrado es fundamental para el futuro“. La frase podría parecer más propia de defensores de la privacidad, pero provino de alguien que no asociaríamos con esa misión: la hizo el director de la NSA, Mike Rogers. De hecho, debatir si debíamos o no tener privacidad era para él “una pérdida de tiempo“.

Las declaraciones del máximo responsable de la agencia que lleva espiándonos durante años son sorprendentes desde luego: este es el organismo que precisamente ha invertido miles de millones de dólares en descifrar todo tipo de comunicaciones y protocolos de seguridad, así que ¿qué significa la defensa del cifrado por parte de la NSA?

> El FBI y la NSA enfrentados en este debate

Diversos gobiernos de países occidentales han abogado por la inclusión de “puertas traseras” en comunicaciones cifradas para que diversas agencias y organismos de inteligencia puedan acceder a esas comunicaciones en caso de necesidad.

Las grandes de la tecnología, encabezadas por Apple, han dejado claro que debilitar este tipo de sistemas de cifrado es un grave error, pero aún así muchos insisten en que estas medidas dificultan el trabajo que pretende evitar actos terroristas.

James Comey, director del FBI, era especialmente crítico con este tipo de protección, algo que era de esperar de una agencia que se dedica a intentar saberlo todo de todos. Y sin embargo Rogers se declaraba contrario a ese tipo de posibilidad y hablaba de cómo ese debate de sacrificar privacidad a cambio de seguridad no era el adecuado. Ambas, decía, son primordiales:

“La preocupación respecto a la privacidad nunca ha sido más importante. Tratar de hacerlo todo bien, darse cuenta de eso, significa no centrarse en una o en otra. Ni la seguridad es tan imperativa que debamos centrarlo todo en ella, ni la privacidad tampoco. Tenemos que lidiar con estos dos requisitos.”

> ¿Puede la NSA romper cualquier cifrado?

Las declaraciones de Rogers podrían apuntar a otra posibilidad: que la agencia ya fuera capaz de romper el cifrado de prácticamente cualquier comunicación. Eso haría innecesario tener que obligar a los usuarios a no poder aprovecharlo, y a la NSA le daría igual porque cifradas o no, esas comunicaciones estarían a su alcance para ser escrutadas.

Como revelan en The Next Web, un estudio (PDF) de varios organismos a finales del año pasado revelaba que ningún cifrado actual parece invulnerable.

La misma conclusión podría desprenderse de la entrevista mantenida por editores de Xataka con Phil Zimmermann el año pasado. En ella el creador del protocolo PGP para la protección de todo tipo de comunicaciones afirmaba básicamente que el hecho de usar cifrado no asegura de forma total las comunicaciones (no olvidemos nunca que la seguridad 100% no existe).

> Hacking gubernamental

La NSA podría en efecto haber logrado varios sistemas de cifrado, pero desde luego, no todos. Sin embargo la inversión de esta agencia a la hora de romper todo tipo de códigos es inmensa.

Uno de los documentos filtrados por Edward Snowden señalaba que el presupuesto para este propósito ascendía a 10.000 millones de dólares, y como señalaban en The Intercept, tanto la NSA como el FBI son capaces de superar el cifrado a través del hacking.

Así pues, no solo está el problema de que nuestras comunicaciones cifradas estén en peligro: también existe el riesgo de que los propios gobiernos de nuestros países -o de países extranjeros- podrían estar hackeando nuestros ordenadores y smartphones, algo que haría que de hecho el cifrado no sirviese de demasiado. Según esta teoría, que Rogers defienda o no el cifrado daría lo mismo, pero aún así sus declaraciones siguen dejándonos con la duda.

Fuente | Xataka

e32cc80bf07915058ce90722ee17bb71-snowdens-advice-drop-facebook-google-and-dropbox-for-better-privacy

Hace unos días, Edward Snowden salió de nuevo en público desaconsejando servicios como Dropbox, Google o Facebook si te preocupa tu privacidad. A estas alturas ya todos conocemos el escándalo de la NSA y cómo los tentáculos de la agencia estadounidense llegan a cualquier sitio.

Pero, ¿cuál es la base técnica para esas afirmaciones? ¿Cómo podemos saber si nuestros datos son privados o no, o si alguien más aparte de nosotros puede leerlos? Vamos a tratar de dar respuesta a esas preguntas.

La teoría en este sentido es fácil: si tú no estás cifrando y protegiendo tus datos, entonces alguien más podría leerlos. Si Dropbox no te pide una clave para descifrar tus archivos, entonces es posible que puedan husmearlos. Si puedes enviar un mensaje a través de Gmail sin poner una contraseña de cifrado, entonces alguien más podría leer ese mensaje (y no sólo el destinatario).

Tus datos no son 100%* privados si no tienes tú exclusivamente la clave de cifrado de los mismos

(*) la privacidad dependerá siempre de múltiples factores, es imposible asegurar la seguridad al 100%

Alguno pensará que sí tenemos la clave: al final todas nuestras cuentas tienen una contraseña, ¿no? En realidad, muy pocas veces se usa nuestra contraseña para cifrar los datos. Sólo hay que hacer la prueba: ¿te deja el servicio en cuestión recuperar tu cuenta si has olvidado tu contraseña? Si la respuesta es sí, entonces tus datos no están cifrados con ella. Si lo estuviesen, entonces no podrías recuperar nada (ningún algoritmo de cifrado tiene una opción “He olvidado la clave”).

Por poner un ejemplo de este último caso: mirad las páginas de “Recuperación de cuenta” de Lastpass o Spideroak: hay alguna posibilidad de recuperar tu cuenta si tienes clientes todavía conectados, pero en general, si no hay contraseña, no hay datos.

> Y aparte de la clave, ¿cómo de seguros están nuestros datos?

Este apartado es el que menos dudas nos debería generar. En general, todos los datos que enviamos están cifrados desde nuestro ordenador hasta los servidores de destino. Normalmente la tecnología es HTTPS o TLS si no son páginas web. Cuando navegamos por Facebook, por ejemplo, nadie puede puede ver lo que envías porque la conexión es segura, igual que no podrían ver los archivos que subes a Dropbox, ya que usan conexiones cifradas.

Una vez que tus datos llegan a sus servidores, podemos considerar que están bastante seguros. Cada empresa implementa medidas de seguridad para evitar intrusiones en sus servidores, aparte de cualquier cifrado adicional que pueda haber. Además, tanto Google como Dropbox cifran las conexiones entre sus servidores cuando necesitan mover datos de un sitio a otro. Facebook también lo hace, pero no con todas las conexiones.

> En la práctica: que no cunda la paranoia

Está muy bien que todos nos sepamos la teoría y podamos distinguir cuándo estamos depositando nuestra confianza en un algoritmo criptográfico fiable y cuándo en una empresa que dice proteger nuestros datos. Ahora bien, tampoco debemos ponernos en un estado de paranoia 100% y empezar a buscar alternativas y cifrar nuestros datos por todas partes. Os planteo varias reflexiones:

Primera cuestión

¿De quién quieres proteger tus datos? Si es de los crackers – uno se resiste a hacerle caso a la RAE con este nombre -, tranquilo, estás a salvo. Dropbox, Google, Facebook, Microsoft y similares usan tecnología segura para transmitir tus datos. Y no porque lo diga yo: si no lo hicieran, con la cantidad de gente que hay tratando de buscarles las cosquillas ya nos habríamos enterado.

Segunda cuestión

¿Estás seguro de que los servicios que usas son el eslabón más débil de la cadena? No sirve de nada usar un servicio como SpiderOak si luego tus archivos están guardados en un portátil sin contraseña. Es un ejemplo extremo, pero sirve para ilustrar la idea.

Tercera cuestión

¿Dónde ponemos el límite de la confianza? ¿No nos fiamos de grandes empresas pero creemos que una más desconocida sí va hacer lo que promete? O mejor aún: ¿no nos fiamos de ninguna empresa pero pensamos que nosotros haremos un mejor trabajo manteniendo nuestra propia nube con soluciones como OwnCloud? No quiero arrojar dudas sobre nada, pero desde luego no deberíamos dejarnos llevar por la histeria de X es inseguro sin darle vueltas a las alternativas.

Cuarta cuestión

¿Qué datos estamos compartiendo? Muchas veces no nos importa compartir ciertos datos a cambio de recibir el servicio, y eso no tiene por qué ser necesariamente malo. Por ejemplo, Facebook sabe que vivo en Madrid y que me gustan las matemáticas. ¿Y? El problema no es tanto compartir los datos sino no ser consciente de ello.

Por último, cuando hablamos de nuestra privacidad solemos criticar el poder de ciertos gobiernos para ver nuestros datos sin autorización. En ese caso, la solución no es que nosotros tengamos que cambiar nuestros hábitos, la solución es que los gobiernos estén más controlados. Tener derecho a la privacidad no significa que tengamos que protegernos de ciertas agencias (ni de nadie) para mantenerla.

Fuente | Genbeta

114710

TOR lleva muchos meses en boca de los usuarios que pueblan la red de redes. Desde que Edward Snowden publicó algunos documentos en los que afirmaba que estábamos siendo vigilados por diversas agencias gubernamentales, no han sido pocos los internautas que han estado utilizando la herramienta con el fin de proteger sus comunicaciones. Pero, a la vez, ha habido gente que ha estado intentando vulnerarla. Y parece que recientemente lo han conseguido.

Según han anunciado en su blog oficial, se ha descubierto que alguien ha estado intentando comprometer la red mediante la monitorización de los usuarios que utilizan el servicio. Y dicho ataque, tal y como se ha afirmado, ha tenido un cierto éxito al poder obtener información sobre los internautas que han estado navegando utilizando las “trampas” que se han puesto.

Concretamente, alguien habría colocado servicios trampa con el fin de que, si alguien se conectaba a ellos, podrían obtener la información que pasara por los mismos. De hecho, se ha afirmado que “quienes hayan operado o utilizado servicios ocultos desde el mes de febrero hasta el 04 de julio podrían estar afectados“. En otras palabras, si habéis estado utilizando el servicio durante esas fechas, os recomendamos que tengáis muchísimo cuidado, ya que vuestros datos podrían haber sido comprometidos.

> Disponible una nueva versión

vidalia

Por supuesto, teniendo en cuenta que desde TOR ya saben la existencia del ataque y los métodos que se han usado para monitorizar la actividad de los usuarios, no han dudado un momento en ponerse a trabajar y poner a disposición del público una nueva versión que arregla el desaguisado. No obstante, también han avisado de que, aunque han solucionado el fallo, no pueden garantizar el completo anonimato de los usuarios.

Recordemos que, hace unas semanas, investigadores de la universidad Carnegie Mellon comentaron que sabían una técnica para identificar a cientos de usuarios de la red. Sin embargo, aunque iban a desvelarla, la conferencia gracias a la cual se iban a conocer los detalles nunca tuvo lugar. Por otra parte, recientes documentos informan de que la NSA ha estado guardando direcciones IP y correos electrónicos de muchos de los usuarios del servicio.

Parece que la red TOR no pasa por su mejor momento. Por un lado, la red podría ser vulnerable a nuevos ataques y, aunque se están intentando solucionar los fallos encontrados, muchos internautas ya han sido investigados, e incluso se ha obtenido información sobre ellos. ¿Cual será el siguiente movimiento que tendrán que realizar los propietarios de la red?

Fuente | Routers

A %d blogueros les gusta esto: