China: Políticos aplican censura de contenido en Internet

La importancia de nacer en un lugar u otro va a ser crucial para el resto de tu vida. Tus expectativas de futuro están más que ligadas a tu origen de cuna y al lugar donde esa cuna estuviera. No es más que una sencilla ecuación matemática que tiene que ver con el dinero y el poder que floten al rededor de la cuna. Son los menos los que, con esfuerzo, tesón y haciendo algo de magia, consiguen burlar al destino y camuflarse en lugares en los que no se les esperaba y - me atrevo a decir - no se les tenía en estima.

Una de las herramientas más utilizadas por los de cuna de cartón es, por supuesto, la información. El conocimiento del medio que les rodea, el saber qué es qué, quién es quién y cómo funcionan las cosas, desde las más pequeñas y sencillas - como un bolígrafo - hasta las más complicadas y escondidas - como el sistema financiero - es lo que les permite actuar en pro de otro destino. Conocer da poder, pero también energía para querer cambiar las cosas cuando se descubre uno engañado.

Las castas gobernantes de los pueblos sometidos, buscan controlar la información, por todos los medios, e Internet se convirtió en un canal que atenta contra su control dejando fluir información de todo tipo a todo el mundo. Las dictaduras - y algunas no tan catalogadas como tal -, procuran controlar ese flujo de información, ya sea cortando el acceso a la misma o por medios tan variopintos como matándola en origen - por ejemplo rompiendo los equipos de informáticos de un periódico con la esperanza de destrozar las fuentes originales de información -.

En el caso de China, la censura es clara y directa - no como en otros países -. Aquí no hay trampa ni cartón. Ellos deciden qué se puede leer en Internet y qué no se puede leer de forma clara. Los vídeos publicados ahora deben ir con nombre y apellidos, para evitar que alguien diga algo que no guste al gobierno, y cuando salga una información en Internet  que no guste, como el informe del ICIJ que habla de cómo se han llevado y se llevan el dinero los que mandan en China - se bloquea y punto.

Figura 1: Bloqueo del informe del ICIJ en China

El bloqueo se puede constatar con Greatfire.org, donde basta con poner una dirección URL y ver si está siendo cortado su acceso o no. En el caso del periódico The Guardian, que también se hizo eco de la noticia en un extenso artículo, se pudo ver cómo la dirección donde se había publicado dicho informe estaba bloqueada totalmente.

Este sitio, GreatFire.org, monitoriza el número de URLs que desde China se bloquean utilizando el Great Firewall of China, y puede verse que no se escapa casi ningún lugar de Internet. En el Top de Alexa, páginas de la Wikipedia, búsquedas en Google y más de 20.000 dominios. Por supuesto, los sitios con SSL que hagan uso de Certificate Pinning y no permitan la inspección tampoco son muy bien vistos.

Figura 2: Listas de sitios bloqueados

Por suerte, mi rincón de Internet personal aún sigue siendo un lugar que puede ser visto desde China, lo que deja a las claras lo que le importa a lo que mandan allí lo que yo publique. Y como se puede comprobar, para que la gente esté tranquila, se sigue permitiendo el porno... pero no la privacidad.

Figura 3: El lado del mal se ve en China. Hola!

Creo que deberíamos trabajar para que en la ONU - o en la organización mundial que sea donde no haya derecho a veto por parte de los más poderosos - se debería empezar a tratar Internet como lo que debería ser: Algo que garantice la libertad de comunicación del ser humano a través de las tecnologías. No sería suficiente, seguro, pero ayudaría un poco a esos que que quieren escaparse de la cuna que los vio nacer.

No se debería permitir que a su antojo, un gobierno de un país pudiera tomar la decisión de coartar que información debiera ser vista o no por sus ciudadanos. O aún peor, vulnerar Internet mancillando su funcionamiento o matarlo desconectando la red del país tal y como ya se ha hecho en alguna ocasión. Y que se deberían aplicar sanciones de algún tipo a todos los países que lo dañen de alguna manera.  Por desgracia, hay tantos derechos aún que defender, que el derecho a un Internet como debiera ser parece quedar aún muy lejos de poder conseguirse.

Saludos Malignos!

Osiris SPS: Portales en la Deep Web sin usar servidores web

Cuando estuvimos trabajando en DUST-RSS, el sistema de distribución de feeds RSS utilizando P2P y PGP, una de las alternativas que estuvimos evaluando fue Osiris SPS (Serverless Portal System), ya que la idea era similar. En nuestro caso queríamos hacer que la publicación de un feed RSS estuviera asociado a una clave PGP que se distribuía por una red P2P, mientras que en su caso lo que hacen es que un portal web esté compuesto por un montón de ficheros que se distribuyen vía una red P2P.

En el caso de Osiris SPS, hace que los portales estén copiados en todos los nodos de la red que están suscritos a él, por lo que no existe realmente una dirección IP de un servidor que pueda ser cerrado o atacado para censurar el sitio. Además, el sistema permite conectarse a través de conexiones TOR, lo que ayudaría al usuario a tener más anonimato en la red. Con la suma de estas dos características se tendría una red TOR para las conexiones clientes pero con servidores distribuidos sobre sistemas P2P

Figura 1: Sitio web del proyecto Osiris SPS

Para poder conectarse a la red hace falta descargarse el software, que está disponible para Linux, Windows o Mac OS X, y funciona como un cliente P2P al uso, que hará de servidor Proxy para el navegador en local, permitiendo suscribirse a diferentes portales publicados en esta red P2P.

Figura 2: Cliente P2P de Osiris SPS para Windows

El proyecto tiene un punto de conexión en la web, por medio de un conector escrito en PHP llamado Isis Gateway, que está disponible en la propia web del proyecto, y conecta con los portales publicados por medio de Osiris SPS.

Figura 3: Lista de portales publicados en Osiris SPS accesibles vía Isis Gateway

Las páginas web de los portales que se ven a través de esas URLs realmente no están en ningún servidor web concreto, sino distribuidos por toda la red P2P de Osiris SPS, lo que impediría un bloqueo o censura del sistema. Es perfecto para crear foros y portales de denuncia social que no puedan ser quitados de Internet si no quieren sus usuarios.

El gestor de portales está especialmente pensado para foros de usuarios, y tiene un sistema de valoración de usuarios en modo Monarquía o Anarquía, prohibiendo que una vez que se cree el portal se cambia de sistema de gobierno. Si hay Anarquía no hay ningún usuario por encima de los demás, y puede valorar a cualquier otro, si hay Monarquía, el creador sigue teniendo un lugar predominante.

Figura 4: Foro de Anime publicado en Osiris SPS visible vía Isis Gateway

Ahora mismo, el proyecto se encuentra en fase de hibernación, y no hay muchos usuarios conectados al sistema - más bien está cuasi despoblado - pero el concepto sigue resultándome maravilloso e ingenioso, y espero desde hace tiempo la nueva versión, que me tiene intrigado. Este trabajo con Osiris SPS e Isis Gateway lo llevan Berserker y Clodo los principales desarrolladores del proyecto - con alguna ayuda extra -.

Esta es otra de esas redes, como la de CJDNS e Hyperboria, que están al margen de la web tradicional, y que podrían considerarse de la "Deep Web". Como puede verse, sirven para realizar otro tipo de cosas que no tiene que ver con cosas malas. 

Saludos Malignos!

Siria desaparece de Internet

No es la primera vez que pasa esto, ya que en Noviembre de 2012 Siria desapareció también de Internet, perdiéndose contacto con todas las redes del país. Ahora ha vuelto a suceder otra vez, y desde la página de Transparencia de Google para evaluar la conectividad de sus servicios desde cada país, se puede ver que es imposible acceder a ningún servicio desde Siria.

Figura 1: Informe de conexiones a Google desde Siria

Esto mismo se puede ver en las gráficas de Akamai que ha publicado en Twitter al respecto en las que se aprecia que el tráfico cayó a 0 en todas las gráficas de medición. Por el momento, los servidores TLD de Siria ns1.tld.sy y ns2.tld.sy están inalcanzables, y por tanto cualquier dominio .sy automáticamente desconectado de la Red.

Figura 2: Grafico publicado por Akamai de conexiones desde Siria

Siria ya estaba en la lista negra de países enemigos de Internet, ya había desconectado su país de Internet en el pasado como hiciera también Egipto, así que todo hace pensar que puede haber sido intencionado y no fruto de un incidente provocado por la guerra civil que existe en el país. Es decir, de una maniobra de censura de la red masiva. No obstante, aún son todo especulaciones y habrá que ver qué informaciones se reciben - y por qué vía -.

Saludos Malignos!

En China se permite el porno pero no la privacidad

Realmente iba a titular a este post algo como "Mastúrbate pero que yo lo vea" pero algun@ podría pensar que estoy haciendo alguna proposición voyeurista a alguien. De hecho, con ese título, las respuestas en Twitter podrían haber sido de lo más curiosas. Al final, haciendo uso de un poco de mesura, decidí no usar ese título aunque bien podría haber sido ese, ya que parece que en China está permitido casi todo en Internet, a excepción de la privacidad, que está bloqueada por el Great Firewall of China.

Figura 1: Web para comprobar si un sitio está censurado en China

Para probar esto, puedes irte a esta web, y comprobar si el sitio que quieres visitar sería posible verlo desde una conexión en China. El primer sitio que he elegido, como no, es de "contenido adulto", y como podéis ver, el porno no está censurado.

Figura 2: Sitio no censurado en China

Eso sí, si lo que quieres es comprarte una conexión VPN que te permita conectarse con privacidad a esas webs de relajo momentaneo, la cosa cambia y mucho, ya que como podéis ver están bloqueadas.

Figura 3: Sitio censurado en China

Por suerte, El lado del mal no está bloqueado, así que cualquier hispanoparlante allí podrá leer mis artículos antes o después de ver porno.

Figura 4: El Lado del Mal no está bloqueado en China

Primero se quejó Google por la operación Aurora, después las acusaciones de intrusión en los satélites américanos, luego las organizaciones pro-Tibet sufren el acoso de los ataques dirigidos - según ellos desde China - . Después llegó la publicación del informe Mandiant sobre APT1 y desde China publicaron un vídeo ridicularizando la idea de que pudieran estar haciendo espionaje industrial desde el ejercito. De estos tres casos todo lo que hay son negaciones desde China, pero está claro que las comunicaciones internas del país las quieren tener bien controladas, como el resto de los "enemigos de Internet".

No solo hay un montón de sitios bloqueados, sino que también se bloquean los puertos de conexión tradicionales L2TP y PPTP, además de aplicaciones que puedan hacer conexiones VPN-SSL, es decir, sobre HTTP-s. De hecho, en la App Store estaban prohibidas todas las apps para hacer redes privadas virtuales hasta hace no mucho en que Apple puso HTTPs a su tienda. No obstante, no creo que se tarde mucho en volver a aplicar un esquema de Bridging-HTTPs a iTunes para filtrar las apps de VPNs otra vez.

Saludos Malignos!

Enemigos de Internet: Ciberespionaje nacional a disidentes

Me pasaron por correo electrónico el informe titulado "Enemigos de Internet" que han realizado en Reporteros Sin Fronteras y que fue publicado el día 12 de Marzo - elegido Día contra la censura en Internet -, y creo que lo deberíais leer todos, ya que completa la visión de los incidentes de ciberespionaje, centrándose en el que realizan los gobiernos sobre sus ciudadanos. Recoge algunos datos en un solo documento, que dejan claras algunas técnicas de ciberespionaje y actos de censura en Internet hechas por parte de algunos países. El comienzo del documento os lo dejo aquí, que merece la pena su lectura.

Figura 1: El informe de Reporteros sin fronteras sobre Enemigos de Internet 2013

"“Mi ordenador fue interceptado antes que yo”, es el testimonio de un activista sirio detenido y torturado por el régimen de Bachar Al-Assad. Karim Taymour, explica a un periodista de Bloomberg cómo le presentaron, en su interrogatorio, más de 1.000 páginas que detallaban sus conversaciones electrónicas y sus archivos intercambiados por Skype. Sus verdugos sabían manifiestamente tanto de él como si hubiesen estado en su habitación o en su ordenador. La vigilancia en Internet representa un peligro enorme para los periodistas, blogueros, periodistas ciudadanos y defensores de los derechos humanos."

En él informe se apunta a países como China, Siria, Bahréin, Vietnam e Irán como los países que más control y censura por Internet están aplicando a sus ciudadanos para acallar las críticas y a los detractores de sus regímenes. También se apuntan a las empresas que les venden productos para que consigan sus objetivos, donde se encuentran algunas como Gamma - la archiconocida empresa de FinFisher y FinSpy cuyos paneles de control han aparecido ya en 25 países-, Trovicor, Hacking Team, Amesys y Blue Coat.

Algunas estratégias sorprendentes usadas dan miedo. En Bahréin se alerta de que se crean cuentas Twitter falsas simulando las cuentas de los disidentes que buscan desenmascarar. A partir de ese momento, si alguien hace clic en ella, solicitan la dirección IP de la cuentas que han hecho clic para sacar toda la información posible de esa dirección IP y localizar a las personas detrás, con el objetivo de llegar al disidente. Para ello, antes censuran en todo el país las opciones de anonimato, tirando abajo conexiones Proxy, VPNs y acceso a la red TOR desde dentro del país. Es lo que tiene controlar toda la infraestructura de comunicaciones de un país.

De hecho, en Bahréin, el centro de comunicaciones de Nokia - Siemens Network, fue comprado por Trovicor, una de las empresas denunciadas en el informe y que vende software de espionaje para terminales móviles. Desde 1990 se dice que el estado de Bahréin cuenta con sus productos comprados e instalados en todo el país.

En el caso de China, sin contar los innumerables ataques a los miembros de organizaciones Pro-Tibet con malware dirigido, ni las acusaciones de ciberespionaje industrial en el informe Mandiant sobre APT 1 o la operación Aurora contra Google, es archiconocido su Gran Firewall y sus estructuras de man in the middle con entidades de certificación controladas por el gobierno - usar SSLCop es una buena idea si vas a China - donde se permite casi todo menos la privacidad.  En el informe se relatan muchas de las actividades de espionaje que realizan a través de las compañías que ofrecen los servicios de Internet y el espionaje de redes de VoIP como Skype.

Figura 2: Requisitos de los servicios de monitorización de Internet en Siria

El informe desgrana el resto de los países, como Siria o Irán, y dan recomendaciones que se pueden tomar para protegerse en ellos. En Siria se ha implantado un sistema de monitorización de todo Internet en el país - aunque luego veríamos como en Noviembre de 2012 tiraban abajo la conexión del país a Internet algo que volverían a hacer otra vez en Mayo de 2013 - y la Electronic Freedom Frontier alerta del uso de Darkomet y otras RAT para vigilar los equipos de los activistas contrarios al regimen. Algo similar a lo que se descubrió que sucedía en Egipto con FinFisher.

Figura 3: La factura de FinFisher y FinSpy descubierta en el gobierno de Egipto

No obstante, el informe da recomendaciones de uso de VPNs o TOR cuando sea posible para evitar las técnicas de Deep Packet Inspection, pero en ningún momento hace referencia a protegerse contra las JavaScript Botnets y el Browser Caché Poisoning que afecta hasta los sistemas con VPN, Proxy o TOR. Ya cuando presentamos esta técnica, contamos que habíamos visto que mucha gente usaba Facebook a través de Proxys anónimos en Internet, y uno de los motivos por lo que lo hacía era precisamente por esto, para evadir la censura en sus países.

De hecho, ya conté este año en RootedCON que había recibido una petición de ayuda para montar una JavaScript Botnet con soporte para SSL en Irán  para hacer ataques dirigidos con la botnet en JavaScript, y una oferta de compra de los datos que se capturaron durante el test de la JavaScript Botnet - que se borraron tras dar las charlas -, lo que evidentemente no hicimos.

En definitiva, el documento es digno de su lectura y análisis, pues aporta muchos datos que puede que te hagan cambiar la visión del control que pueden llegar a ejercer los gobernantes de un país cuando se vuelven en contra de sus ciudadanos. Si este tema te interesa, no dudes en visitar a menudo la web Spy Files de Wikileaks, donde se informa de todo lo acaecido en esta materia.

Saludos Malignos!

Paneles de control de FinFisher localizados en 25 países

El kit FinFisher es una herramienta profesional que ha aparecido en muchos incidentes de ciberespionaje. Se vende como una solución para ayudar a los cuerpos de seguridad para controlar a los malos, pero lo cierto es que acaban siempre por aparecer en regímenes dictatoriales en los que se coartan libertades, como por ejemplo en Egipto, donde fue localizado tras la revolución ciudadana.

La versión para terminales móviles de FinFisher se llama FinSpy, y utiliza sistemas de infección de terminales usando las propias operadoras de comunicaciones, tal y como se puede ver en este anuncio viral usado para promocionar el producto.

Figura 1: Anuncio promocional de FinSpy mobile

La versión de FinSpy, para terminales iPhone, tiene soluciones para malware que se va a instalar en equipos que tengan realizado el jailbreak - es decir, sin la validación de code signing de Apple - lo que le permite instalarse como los troyanos al uso que se venden para uso "domestico" tipo iKeyGuard o FlexiSpy, o para instalarse en equipos sin jailbreak por medio de ataques dirigidos, usando los famosos provisioning profiles de los desarrolladores de Apple.

Este software utiliza unos paneles de control con unas características especiales que están siendo monitorizados por Citizen Lab, la misma organización que analizó FinSpy en su primera aparición para terminales iPhone. En su análisis, han descubierto que estos paneles de control de esta herramienta comercial de espionaje se pueden encontrar ya en 25 países, tal y como han reflejado en este mapa.

Figura 2: Los paneles de control de FinSpy aparecen en 25 países

Como se puede ver en el mapa, Indonesia y Estados Unidos es donde más paneles de control hay, aunque se puede encontrar en países como Qatar, Malaysia, Canada, México o Alemania, por citar algunos de los países donde hay algún grupo o persona que se ha gastado el dinero en montar la infraestructura que requiere este software de espionaje.

Hace tiempo que los ataques dirigidos a grupos de presión utiliza las herramientas de ciberespionaje, como en el caso del acoso de malware dirigido que sufren los grupos Pro-Tibet y el Dalai Lama, que día tras día sufren ataques dirigidos con nuevas versiones de malware, así que es difícil imaginar un mundo donde no haya alguien con recursos y poder que quiera utilizar este tipo de herramientas para conseguir sus objetivos.

Saludos Malignos!

IGP, EGP & BGP: Desconectar un país de Internet

Siempre que alguien me pide consejo para aprender TCP/IP le recomiendo un libro al que tengo un cariño especial, y que os juro que me enseño casi todo lo que sé a día de hoy de comunicaciones. El libro está escrito por Douglas Eart Comer - reconocido autor en la materia - y en Español se llama Redes Globales de Información con Internet y TCP/IP. Con este libro fue con el que realmente aprendí como funcionaban los protocolos IGP (Interior Gateway Protocol), los EGP (Exterior Gateway Protocol) y los BGP (Border Gateway Protocol).

Figura 1: Libro de Douglas E. Comer sobre TCP/IP

Tal vez a todos los que estáis comenzando con el enrutamiento de TCP/IP estaréis disfrutando de los IGP, donde destacan los algoritmos de vector-distancia - como RIP (Routing IP) o IGRP - o los de estado de enlace - tipo OSPF (Open Shortest Path First) o IS to IS -. Esos protocolos son fundamentales para el mantenimiento de un sistema autónomo, pero cuando hay que comunicar una red totalmente autónoma con otra en Internet, es necesario tirar de los EGP y los BGP.

Los protocolos EGP sirven para que mediante un sistema de "saludo" y "te escucho", dos sistemas autónomos sepan que están aún conectados. Esta conexión se utiliza para pasarse las rutas de uno a otro, donde se utilizan los famosos algoritmos de la patata caliente y la patata fría para saber por qué punto de todas las conexiones entre ellos hay que pasarse la información.

Lógicamente, la información que tiene que pasarle un sistema autónomo a otro es la lista de redes accesible por cada punto de conexión, para que al sistema autónomo que envía el paquete le sea totalmente transparente la infraestructura interna del sistema autónomo que recibe el paquete. Para ello, se utiliza un sistema de publicación de redes de un sistema autónomo a otro usando el protocolo BGP.

Si un sistema autónomo no responde a los EGP y no publica las rutas por BGP, por mucho que esté enrutando el tráfico internamente con los IGP, habrá desaparecido de Internet. Y esto es lo que puede haber hecho Siria ahora mismo con sus sistemas autónomos.

Figura 2: Los sistemas autónomos de Siria han dejado de existir

Todo el mundo está reportando que no hay conexión, así que pueden haber optado por deshabilitar la publicación de rutas, o por apagar directamente los routers que le interconectan con Internet. Sea como fuera, en cualquiera de los dos casos, otra vez un "gobierno" acaba de quitar a sus ciudadanos uno de los mayores bienes de nuestra época: Internet.  Eso no debería consentirse, y habría que hacer algo para que esto no pueda hacerse tan a la ligera.

Saludos Malignos!