Tag Archive: NSA


Yes_We_Scan_Deal_With_It_Wide

El cifrado es fundamental para el futuro“. La frase podría parecer más propia de defensores de la privacidad, pero provino de alguien que no asociaríamos con esa misión: la hizo el director de la NSA, Mike Rogers. De hecho, debatir si debíamos o no tener privacidad era para él “una pérdida de tiempo“.

Las declaraciones del máximo responsable de la agencia que lleva espiándonos durante años son sorprendentes desde luego: este es el organismo que precisamente ha invertido miles de millones de dólares en descifrar todo tipo de comunicaciones y protocolos de seguridad, así que ¿qué significa la defensa del cifrado por parte de la NSA?

> El FBI y la NSA enfrentados en este debate

Diversos gobiernos de países occidentales han abogado por la inclusión de “puertas traseras” en comunicaciones cifradas para que diversas agencias y organismos de inteligencia puedan acceder a esas comunicaciones en caso de necesidad.

Las grandes de la tecnología, encabezadas por Apple, han dejado claro que debilitar este tipo de sistemas de cifrado es un grave error, pero aún así muchos insisten en que estas medidas dificultan el trabajo que pretende evitar actos terroristas.

James Comey, director del FBI, era especialmente crítico con este tipo de protección, algo que era de esperar de una agencia que se dedica a intentar saberlo todo de todos. Y sin embargo Rogers se declaraba contrario a ese tipo de posibilidad y hablaba de cómo ese debate de sacrificar privacidad a cambio de seguridad no era el adecuado. Ambas, decía, son primordiales:

“La preocupación respecto a la privacidad nunca ha sido más importante. Tratar de hacerlo todo bien, darse cuenta de eso, significa no centrarse en una o en otra. Ni la seguridad es tan imperativa que debamos centrarlo todo en ella, ni la privacidad tampoco. Tenemos que lidiar con estos dos requisitos.”

> ¿Puede la NSA romper cualquier cifrado?

Las declaraciones de Rogers podrían apuntar a otra posibilidad: que la agencia ya fuera capaz de romper el cifrado de prácticamente cualquier comunicación. Eso haría innecesario tener que obligar a los usuarios a no poder aprovecharlo, y a la NSA le daría igual porque cifradas o no, esas comunicaciones estarían a su alcance para ser escrutadas.

Como revelan en The Next Web, un estudio (PDF) de varios organismos a finales del año pasado revelaba que ningún cifrado actual parece invulnerable.

La misma conclusión podría desprenderse de la entrevista mantenida por editores de Xataka con Phil Zimmermann el año pasado. En ella el creador del protocolo PGP para la protección de todo tipo de comunicaciones afirmaba básicamente que el hecho de usar cifrado no asegura de forma total las comunicaciones (no olvidemos nunca que la seguridad 100% no existe).

> Hacking gubernamental

La NSA podría en efecto haber logrado varios sistemas de cifrado, pero desde luego, no todos. Sin embargo la inversión de esta agencia a la hora de romper todo tipo de códigos es inmensa.

Uno de los documentos filtrados por Edward Snowden señalaba que el presupuesto para este propósito ascendía a 10.000 millones de dólares, y como señalaban en The Intercept, tanto la NSA como el FBI son capaces de superar el cifrado a través del hacking.

Así pues, no solo está el problema de que nuestras comunicaciones cifradas estén en peligro: también existe el riesgo de que los propios gobiernos de nuestros países -o de países extranjeros- podrían estar hackeando nuestros ordenadores y smartphones, algo que haría que de hecho el cifrado no sirviese de demasiado. Según esta teoría, que Rogers defienda o no el cifrado daría lo mismo, pero aún así sus declaraciones siguen dejándonos con la duda.

Fuente | Xataka

Anuncios

aa8ea68614e7735260caac400a02ca2d

Para hackear un ordenador es necesario que esté conectado a internet, o bien introducir un programa malicioso mediante dispositivos como los USB. Por eso suele pensarse que una máquina aislada de la red está a salvo. Craso error: expertos en seguridad han logrado hackear computadoras a través de un móvil cercano, gracias a las ondas de radio que emite el monitor y que el receptor FM del smartphone puede leer.

La aplicación, bautizada como AirHopper, permite robar datos a través de las ondas de radio, y ha sido presentada durante la conferencia demalware Malcon celebrada en Puerto Rico la semana pasada. El programa malicioso debe instalarse en el ordenador y en el teléfono, que puede ser propiedad del mismo hacker o de una víctima.

Para hackear un ordenador es necesario que esté conectado a internet, o bien introducir un programa malicioso mediante dispositivos como los USB. Por eso suele pensarse que una máquina aislada de la red está a salvo. Craso error: expertos en seguridad han logrado hackear computadoras a través de un móvil cercano, gracias a las ondas de radio que emite el monitor y que el receptor FM del smartphone puede leer.

La aplicación, bautizada como AirHopper, permite robar datos a través de las ondas de radio, y ha sido presentada durante la conferencia demalware Malcon celebrada en Puerto Rico la semana pasada. El programa malicioso debe instalarse en el ordenador y en el teléfono, que puede ser propiedad del mismo hacker o de una víctima.

http://smartywidget-1736116251.eu-west-1.elb.amazonaws.com/webservice/embed/9170/659794/1349/643/0/0/0

Los investigadores del laboratorio de ciberseguridad de la Universidad de Ben Gurión (Israel) responsables de este nuevo método sospechan que, si unos estudiantes han descubierto este sistema, otros profesionales con más experiencia y recursos lo habrán hecho también.

No van desencaminados, porque The New York Times ya informó de un transceptor utilizado por la NSA que permitía acceder a ordenadores no conectados a internet a través de ondas de radio.

La clave del ingenio consiste en usar la tarjeta de vídeo del ordenador para generar una señal FM que luego pueda captar y entender el móvil. En otras palabras, transmitir información a través de las interferencias.

Precisamente porque la pantalla produce una interferencia, la idea es que la transmisión solamente se produzca mientras el monitor está apagado. En caso contrario se podría sospechar que un programa malicioso ha infectado el ordenador.

La tarjeta de vídeo está hecha para hacer vídeo, y si genera otra cosa se nota. No solo eso, sino que utiliza frecuencias donde no hay emisoras para que nadie que escuche la radio cerca del ordenador se percate.

> Huir de internet ya no sirve

Los ordenadores con información sensible se encuentran aislados de internet para evitar los ataques. La única forma de infectar estos computadores es físicamente, a través de un USB. Este malware requiere tiempo, pues requiere que alguien conecte una memoria al ordenador, la extraiga y la introduzca en un ordenador con internet.

Mediante el método AirHopper el proceso se agiliza enormemente: tan solo es necesario instalar el programa maligno en el ordenador, y cualquier móvil infectado cercano comenzará a transmitir la información. A pesar de ello, todavía es necesario el contacto físico con el ordenador en algún momento.

> Lento pero efectivo

La necesidad de infectar el ordenador físicamente no es la única limitación de este sistema. La distancia a la que debe estar el móvil es bastante reducida –menos de siete metros–, y la velocidad de transmisión de hasta 60 bytes por segundo solo permite robar una línea de texto por segundo. Eso quiere decir que para robar este texto entero serían necesarias más de 10 horas.

Esto limita enormemente la cantidad de datos que se pueden robar en un breve período de tiempo, aunque sería suficiente para robar una contraseña en ocho segundos. Por último, también hay que tener en cuenta que es posible que en estos lugares tan preocupados por la seguridad no se permita entrar con móvil.

En la carrera armamentística que tiene lugar en el campo de la ciberseguridad, en ocasiones se encuentran métodos muy enrevesados de acceder a la información. Es posible utilizar un sistema similar al de AirHopper pero a través de los altavoces, que emitan un sonido como si de un código morse se tratara. Montilla explica que el problema de esta vía sería, lógicamente, que se escucharían las interferencias.

Métodos como AirHopper demuestran la creatividad de los hackers a la hora de entrar en cualquier ordenador, por mucho que este carezca de conexión a internet. Aunque se trata de un sistema lento con varias limitaciones, de repente el que Apple no incorpore radio en sus iPhones no parece tan mala idea.

Fuente | El Confidencial

 

e32cc80bf07915058ce90722ee17bb71-snowdens-advice-drop-facebook-google-and-dropbox-for-better-privacy

Hace unos días, Edward Snowden salió de nuevo en público desaconsejando servicios como Dropbox, Google o Facebook si te preocupa tu privacidad. A estas alturas ya todos conocemos el escándalo de la NSA y cómo los tentáculos de la agencia estadounidense llegan a cualquier sitio.

Pero, ¿cuál es la base técnica para esas afirmaciones? ¿Cómo podemos saber si nuestros datos son privados o no, o si alguien más aparte de nosotros puede leerlos? Vamos a tratar de dar respuesta a esas preguntas.

La teoría en este sentido es fácil: si tú no estás cifrando y protegiendo tus datos, entonces alguien más podría leerlos. Si Dropbox no te pide una clave para descifrar tus archivos, entonces es posible que puedan husmearlos. Si puedes enviar un mensaje a través de Gmail sin poner una contraseña de cifrado, entonces alguien más podría leer ese mensaje (y no sólo el destinatario).

Tus datos no son 100%* privados si no tienes tú exclusivamente la clave de cifrado de los mismos

(*) la privacidad dependerá siempre de múltiples factores, es imposible asegurar la seguridad al 100%

Alguno pensará que sí tenemos la clave: al final todas nuestras cuentas tienen una contraseña, ¿no? En realidad, muy pocas veces se usa nuestra contraseña para cifrar los datos. Sólo hay que hacer la prueba: ¿te deja el servicio en cuestión recuperar tu cuenta si has olvidado tu contraseña? Si la respuesta es sí, entonces tus datos no están cifrados con ella. Si lo estuviesen, entonces no podrías recuperar nada (ningún algoritmo de cifrado tiene una opción “He olvidado la clave”).

Por poner un ejemplo de este último caso: mirad las páginas de “Recuperación de cuenta” de Lastpass o Spideroak: hay alguna posibilidad de recuperar tu cuenta si tienes clientes todavía conectados, pero en general, si no hay contraseña, no hay datos.

> Y aparte de la clave, ¿cómo de seguros están nuestros datos?

Este apartado es el que menos dudas nos debería generar. En general, todos los datos que enviamos están cifrados desde nuestro ordenador hasta los servidores de destino. Normalmente la tecnología es HTTPS o TLS si no son páginas web. Cuando navegamos por Facebook, por ejemplo, nadie puede puede ver lo que envías porque la conexión es segura, igual que no podrían ver los archivos que subes a Dropbox, ya que usan conexiones cifradas.

Una vez que tus datos llegan a sus servidores, podemos considerar que están bastante seguros. Cada empresa implementa medidas de seguridad para evitar intrusiones en sus servidores, aparte de cualquier cifrado adicional que pueda haber. Además, tanto Google como Dropbox cifran las conexiones entre sus servidores cuando necesitan mover datos de un sitio a otro. Facebook también lo hace, pero no con todas las conexiones.

> En la práctica: que no cunda la paranoia

Está muy bien que todos nos sepamos la teoría y podamos distinguir cuándo estamos depositando nuestra confianza en un algoritmo criptográfico fiable y cuándo en una empresa que dice proteger nuestros datos. Ahora bien, tampoco debemos ponernos en un estado de paranoia 100% y empezar a buscar alternativas y cifrar nuestros datos por todas partes. Os planteo varias reflexiones:

Primera cuestión

¿De quién quieres proteger tus datos? Si es de los crackers – uno se resiste a hacerle caso a la RAE con este nombre -, tranquilo, estás a salvo. Dropbox, Google, Facebook, Microsoft y similares usan tecnología segura para transmitir tus datos. Y no porque lo diga yo: si no lo hicieran, con la cantidad de gente que hay tratando de buscarles las cosquillas ya nos habríamos enterado.

Segunda cuestión

¿Estás seguro de que los servicios que usas son el eslabón más débil de la cadena? No sirve de nada usar un servicio como SpiderOak si luego tus archivos están guardados en un portátil sin contraseña. Es un ejemplo extremo, pero sirve para ilustrar la idea.

Tercera cuestión

¿Dónde ponemos el límite de la confianza? ¿No nos fiamos de grandes empresas pero creemos que una más desconocida sí va hacer lo que promete? O mejor aún: ¿no nos fiamos de ninguna empresa pero pensamos que nosotros haremos un mejor trabajo manteniendo nuestra propia nube con soluciones como OwnCloud? No quiero arrojar dudas sobre nada, pero desde luego no deberíamos dejarnos llevar por la histeria de X es inseguro sin darle vueltas a las alternativas.

Cuarta cuestión

¿Qué datos estamos compartiendo? Muchas veces no nos importa compartir ciertos datos a cambio de recibir el servicio, y eso no tiene por qué ser necesariamente malo. Por ejemplo, Facebook sabe que vivo en Madrid y que me gustan las matemáticas. ¿Y? El problema no es tanto compartir los datos sino no ser consciente de ello.

Por último, cuando hablamos de nuestra privacidad solemos criticar el poder de ciertos gobiernos para ver nuestros datos sin autorización. En ese caso, la solución no es que nosotros tengamos que cambiar nuestros hábitos, la solución es que los gobiernos estén más controlados. Tener derecho a la privacidad no significa que tengamos que protegernos de ciertas agencias (ni de nadie) para mantenerla.

Fuente | Genbeta

A %d blogueros les gusta esto: