martes, enero 07, 2014

No Seas Así

Desde que escribí el artículo de 0wn3d! (o cómo la NSA acabó con el espíritu de Internet) han seguido sucediendo más y más noticias que tienen como protagonista a la misma Agencia de Seguridad Nacional. Algunas de ellas las he ido recopilando por aquí, como el espionaje en el Vaticano y el intento de capturar el tráfico de Google y Yahoo!,  los documentos filtrados sobre historias en las que los agentes de espionaje utilizaron el poder en su uso personal, el sistema Sinapsis para analizar todos los metadatos o el reconocimiento público del poder sin parangón en temas de ciberespionaje.

Figura 1: "- La NSA no violaría nuestra privacidad, ¿verdad?"
"-Bueno, no a proposito" 
- Así es, sería totalmente por accidente... ups!"

Muchas otras noticias no las he podido tratar por aquí porque si no éste blog se hubiera convertido en un auténtico monográfico sobre las acciones de esta agencia, pero a final del año volvieron a saltar los escándalos referidos a asuntos impactantes.

El primero de ellos es el que tiene como protagonista a Apple y su posible colaboración en el programa DropOutJeep de la NSA que fue explicado por Jacob Applebaum en la ya pasada 30th del CCC en Alemania. En su presentación se hablaba de este sistema para troyanizar el 100% de los terminales iPhone con software de espionaje controlado por la NSA, algo que según el ponente no podría hacerse sin la colaboración de Apple.

Figura 2: Programa de espionaje de iPhones DropOutJeep

Apple respondió que ni lo ha hecho, ni lo hará, ni lo haría en una contestación en la que se le notaba bastante molesto ya con el tema. No hay que olvidar que a las empresas tecnológicas norte-americanas todos estos escándalos les ha costado un autentico dineral en pérdida de negocio por culpa de pérdida de confianza y regulación estatal contraria a sus intereses de expansión.

El segundo de los escándalos tuvo que ver con la supuesta colaboración de la RSA con la NSA para poder meter un backdoor en los algoritmos de cifrados utilizados a cambio de una suma de dinero. La noticia hizo mucho daño a la empresa y una de las conferencias más importantes del sector, la famosa RSA de San Francisco se vio seriamente perjudicada bajo las críticas de profesionales reconocidos del sector.

Mikko Hypponen (@mikko), cabeza visible de F-Secure y reconocido experto en seguridad informática, renunció a participar en las conferencias por este escándalo. Tuve la suerte de tomarme algo con Mikko en una fiesta de la BlackHat USA 2012 y no me sorprendió una respuesta así, que de hecho ha llevado más allá, dando conferencias sobre el derecho a la privacidad, como en la última TEDxBruselas.

Figura 3: Mikko Hypponen "Privacy is not negotiable"

La forma en que la NSA podría haber puesto un backdoor en el código de cifrado de RSA se explica de una manera magistral por Nick Sullivan, ex-ingeniero de Apple especializado en criptografía y miembro actual de CloudFlare dentro de un artículo titulado "How the NSA (may have) put a backdoor in RSA's Cryptography: A technical primer".

En su artículo - que se entiende mucho mejor si has leído el libro de Criptografía: de la cifra clásica a RSA - explica cómo se puede introducir un factor de error el uso de cifrados de curva elíptica haciendo que los dos números base estén relacionados entre sí, haciendo que sea prácticamente indetectable, y al mismo tiempo factible, descifrar cualquier código cifrado.

Figura 4: Esquema básico de generación de números pseudoaleatorios

La demostración feaciente de que una falta de aleatoriedad puede ayudar al descifrado de las claves tiene su exponente en el ejemplo del bug en OpenSSL descubierto por Luciano Bello que le hizo merecedor de un Pwnie Award.

Para poder descifrar todos estos códigos la noticia final de esta historia es que la NSA está trabajando en un computador cuántico, algo que lleva décadas siendo algo teórico pero que muchos apuntan a su posible existencia en corto espacio de tiempo. La posibilidad de que se pudiera crear un computador cuántico de estas capacidades supuestamente permitiría a la NSA romper cualquier sistema de cifrado actual, debido a la potencia de cálculo, aunque sin embargo, como explican en detalle en el Whashington Post, esto aún no es realidad.

Estas tres noticias, más todos lo demás trucos que se han ido publicando con backdoors en firmware, faxes con troyanos, cables infectados, BIOS controladas con software de espionaje, troyanizar satélites según los Emiratos Árabes, etcétera, etcétera, hacen que las películas de ciencia-ficción necesiten pensar en cosas que a día de hoy no hayan sido implementadas, ya que muchas de las cosas que hemos visto en los últimos meses han sido, cuanto menos, sorprendentes.

Figura 5: Edward Snowden recibiendo un premio en Moscú

Por último, no me gustaría terminar este artículo sin hablar de la transformación que han sufrido durante los últimos meses las imágenes públicas de la NSA - que tuvo el valor de ponerse delante de los expertos de seguridad para decir que hacían lo correcto - y de Edward Snowden - que partía como el enemigo del pueblo de los EEUU número 1 -. A día de hoy, hasta el presidente Barack Obama ha sido claro al decir que la NSA debe cambiar y no espiar todo solo porque pueda hacerlo, y Edward Snowden comienza a tener una vida pública recibiendo premios y reconocimientos a su valor por una gran parte del público de Internet.

Saludos Malignos!

2 comentarios:

Anónimo dijo...

La verdad que Snowden es un héroe no merece ser olvidado nunca

Anónimo dijo...

El bueno y el malo depende siempre del punto de vista jajaj

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares