Edward Snowden revela que la NSA y el GCHQ hacen un mapa global de la internet

Edward Snowden publicó documentos secretos de la Agencia de Seguridad Nacional de EE. UU. (NSA) y del Cuartel General de Comunicaciones del Gobierno británico (GCHQ) que explican la ejecución de Treasure Map, un programa dedicado a hacer un mapa global de la internet. A través de este programa, la NSA y el GCHQ han penetrado a los datos de los satélites de varias compañías que proveen acceso a internet a lugares remotos del mundo.

«Los servicios de inteligencia podrían utilizar estos datos para apagar la internet en países africanos enteros que reciben acceso mediante nuestras conexiones satelitales», reaccionó el ingeniero ejecutivo de Stellar PCS, una compañía alemana de comunicaciones satelitales, al descubrir que su empresa ha sido blanco de Treasure Map.

El GCHQ está vigilando a empresas satelitales de Alemania.

Un documento secreto del GCHQ detalla una lista de «empleados centrales» de Stellar, identificados como «agendados». En jerga de inteligencia, agendar a alguien significa establecer vigilancia electrónica. El presidente ejecutivo de Stellar Christian Steffen y otros nueve empleados se encuentran en la lista de personas agendadas por el GCHQ. Steffen, que reaccionó con la malsonante interjección anglosajona fuck! al leer los documentos secretos, identificó en estos un ataque contra el servidor central y el servidor de correo de la empresa, los cuales aparentemente fueron jaqueados por el GCHQ. El documento también detalla esfuerzos de espionaje hacia clientes específicos de la compañía, ante lo que Ali Fares, técnico ejecutivo de Stellar, comentó que «esos son secretos empresariales e información sensible». «Es muy pertubador», continuó Fares al descubrir que el documento incluye la contraseña del servidor central de uno de sus clientes más importantes.

Steffen declaró que considera que los documentos son prueba de que los sistemas de su compañía han sido violados. «El servidor jaqueado siempre ha estado tras el cortafuegos de la compañía. Solo se puede acceder a él si primero se logra violar nuestra red. Nuestro tráfico de clientes no opera a través de redes convencionales de fibra óptica. A los ojos de los servicios de inteligencia, aparentemente es difícil acceder a nosotros, [aunque] eso no le da a nadie el derecho a ingresar a la fuerza. Un ciberataque de esta magnitud claramente es una ofensa criminal de acuerdo a la ley alemana. Quiero saber por qué somos un blanco y cómo exactamente se realizó el ataque, aunque sea solo para ser capaz de evitar que a mí y a mis clientes nos suceda de nuevo».

Edward Snowden aseguró que Treasure Map crea un mapa interactivo de la internet global casi a tiempo real.

Otras compañías alemanas vigiladas mediante el programa son Deutsche Telekom AG y NetCologne. Esta última opera una red de fibra óptica y provee servicios telefónicos y de internet a 400 000 usuarios, y Deutsche Telekom provee servicios de telefonía móvil, internet y líneas terrestres a 60 millones de usuarios. Los documentos no especifican cómo fue que la NSA obtuvo acceso a estas redes. Un portavoz de Deutsche Telekom expresó que «el acceso a nuestras redes de parte de agencias extranjeras de inteligencia sería completamente inaceptable». Las operadoras satelitales alemanas CETel e IABG también son blancos de Treasure Map, y ambas ofrecen conexión satelital a internet a regiones remotas.

Sin embargo, Treasure Map no se limita a registrar flujos de datos en canales de tráfico de comunicaciones, sino que también identifica y ubica todo dispositivo que esté conectado a la internet en cualquier parte del mundo (todos los teléfonos inteligentes, tabletas y computadoras), «en cualquier lugar, todo el tiempo», de acuerdo a los documentos secretos de la NSA. Estos documentos también demuestran que el programa se usa para monitorizar el tráfico y los dispositivos aun dentro de los Estados Unidos, aunque el Gobierno estadounidense asegura que solo se utiliza en redes extranjeras y que no tiene la capacidad de monitorizar todos los dispositivos conectados a la internet.

Según Snowden, la meta de Treasure Map es crear un «mapa interactivo de la internet global casi a tiempo real». Los empleados de la alianza de inteligencia Cinco Ojos (Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda) pueden instalar y utilizar el programa en sus propias computadoras para ver el tráfico global de datos.

La NSA se negó a comentar al respecto y el GCHQ simplemente determinó que todas sus actividades son legales.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Encabezado: Ministry of Defence, An aerial image of the Government Communications Headquarters (GCHQ) in Cheltenham, Gloucestershire, OGL 1.0
Imagen: Laura Poitras / Praxis Films, Edward Snowden-2, CC BY 3.0

Fuentes: «Map of the Stars: The NSA and GCHQ Campaign Against German Satellite Companies», «Treasure Map: The NSA Breach of Telekom and Other German Firms».

Advertisements

Edward Snowden revela que Nueva Zelanda sí tiene un programa de vigilancia masiva

Edward Snowden reveló que en 2012 y 2013 el Departamento Gubernamental de Seguridad de las Comunicaciones de Nueva Zelanda (GCSB) implementó un sistema de vigilancia masiva a la vez que el Gobierno constantemente negaba públicamente la existencia de tal sistema y aseguraba que algo semejante sería ilegal.

John Key afirmó que «no hay ni habrá jamás vigilancia masiva».

Los documentos provistos por Snowden demuestran que el Gobierno trabajó en secreto para erigir una nueva ley de vigilancia por internet para recolectar los metadatos de las comunicaciones electrónicas de los neozelandeses, todo en contra de lo asegurado por el primer ministro John Key del Partido Nacional.

Snowden afirmó que «la aseveración del primer ministro, que “no hay ni habrá jamás vigilancia masiva”, es falsa, y la GCSB, de cuyas operaciones él es responsable, está involucrada directamente con la interceptación masiva y aleatoria y el análisis algorítmico de las comunicaciones privadas enviadas por internet, satélite, radio y redes teléfonicas».

Snowden explicó más al respecto: «Si vives en Nueva Zelanda, estás siendo vigilado. En la NSA [Agencia de Seguridad Nacional de EE. UU.] me topé rutinariamente con las comunicaciones de los neozelandeses en mi trabajo con una herramienta de vigilancia masiva que compartimos con el GCSB llamada XKEYSCORE. El GCSB proveyó a XKEYSCORE datos recolectados mediante vigilancia masiva. También proveyó a la NSA acceso a las comunicaciones de millones de neozelandeses en instalaciones tales como el edificio de la GCSB en Waihopai, y el primer ministro estaba personalmente al tanto de esto».

De acuerdo a los documentos ultrasecretos revelados por Snowden, el GCSB y la NSA iniciaron la fase 1 del programa de vigilancia masiva, llamado Speargun, en 2012. Speargun involucra la instalación encubierta de un equipo para acceder al Cable de la Cruz del Sur, el principal cable submarino de internet del país. Tras finalizar este proceso, el programa avanzó a la fase 2 a mediados de 2013, bajo la cual se insertaron captadores de medatados en ese cable.

Rutas del Cable de la Cruz del Sur. Las azules son submarinas y las rojas son terrestres.

Este tipo de captadores de metadatos es usado a menudo por la NSA para recolectar una gigantesca cantidad de información de los cables de comunicación a tiempo real, permitiéndoles extraer fechas, horas, remitentes y destinatarios de los mensajes de correo electrónico, llamadas teléfonicas y otras comunicaciones similares.

La NSA se negó a comentar estas afirmaciones y un portavoz del GCSB se limitó a decir: «No comentamos asuntos que podrían o no ser operacionales». Key finalmente admitió que el GCSB sí planeó un programa de vigilancia masiva dirigida hacia sus propios ciudadanos, aunque aseguró que él mismo rechazó el programa antes de su implementación.

En su reportaje, Snowden concluyó que «la seguridad nacional se ha convertido en la seguridad del Partido Nacional. Lo que hoy vemos es que en Nueva Zelanda la balanza entre el derecho del público a saber y la propiedad de un secreto está determinada por un simple factor: la ventaja política que ofrece a un partido específico o a un político específico […] ¿Qué sucederá si mañana un nuevo líder asume el mismo poder de velarle o develarle cosas a la ciudadanía sin basarse en lo que requieren las sociedades libres sino en lo que necesita decir para mantenerlas bajo su poder?».

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Encabezado: United Nations Development Programme, UNDP Helen Clark meeting with New Zealand Prime Minister John Key, CC BY-NC-ND 2.0
Imagen: J.P.Lon, Mysid, Southern Cross Cable route, CC BY-SA 3.0

Fuentes: «New Zealand Launched Mass Surveillance Project While Publicly Denying It», «Snowden: New Zealand’s Prime Minister Isn’t Telling the Truth About Mass Surveillance».

El ampliamente usado algoritmo SHA-1 para sitios web se vuelve inseguro

Aproximadamente el 90 % de los sitios web que utilizan el protocolo criptográfico SSL (o sea, cuya dirección inicia con https) utiliza un algoritmo llamado SHA-1 para evitar la suplantación del sitio. Aunque esto garantiza que al ingresar a https://wordpress.com uno visite el verdadero sitio de WordPress.com y protege las contraseñas de los usuarios, SHA-1 ha sido desde hace mucho peligrosamente débil, y cada año es más débil.

La solución es SHA-2, un algoritmo tan compatible como el otro, y los administradores de los sitios web simplemente deben actualizar los certificados de seguridad. Los certificados le indican a los navegadores web que el sitio web es real (siempre importante, pero más cuando se visita los sitios de entidades financieras, correos electrónicos y redes sociales) y cifra la conexión entre los usuarios y el sitio web.

Pero en los navegadores como Firefox esto no es suficiente, pues aunque cualquier certificado sirve para cifrar la conexión, el navegador verifica si este ha sido emitido por una autoridad de certificación (CA). Las CA normalmente cobran para emitir a los dueños de sitios web este archivo, y los navegadores han sido programados para confiar en ciertas CA e intermediarias, las cuales van desde entidades comerciales a agencias gubernamentales.

Los navegadores como Iceweasel, que están basados en Firefox, heredarán las mismas pautas de seguridad.

Desde 2005 se sabe que SHA-1 es un algoritmo vulnerable, y esto se demostró con el malware Flame, presuntamente creado por los Estados Unidos y el Reino Unido para atacar el programa nuclear de Irán en 2012. Y aunque Flame es un software sofisticado, no es muy difícil vulnerar al algoritmo SHA-1, y un atacante podría crear un certificado SHA-2 falso a partir de un certificado SHA-1, lo que reduce enormemente la seguridad de los usuarios. En concreto, la única manera de prevenirlo es retirando de nuestros navegadores la compatibilidad con SHA-1, y en algunos navegadores ya se está tomando medidas: Firefox e Internet Explorer dejarán de confiar en certificados SHA-1 después de 2016, y Google Chrome y Opera emitirán alertas acerca de la inseguridad de SHA-1 cuando se visiten sitios con estos certificados.

Para comprobar si un sitio web utiliza SHA-2, los administradores y los usuarios pueden visitar SHAAAAAAAAAAAAA.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Encabezado: Fabio Lanari, Internet2, CC BY-SA 4.0
Imagen: Mantenedores de paquetes relacionados con Mozilla, Iceweasel, MPL 1.1

Fuente: «Why Google is Hurrying the Web to Kill SHA-1».

Evitando clientes inseguros en Debian GNU/Linux

A los fanáticos de la seguridad en Debian GNU/Linux podría interesarles harden-clients, un software para sistemas normales de escritorio que proporciona una manera fácil de evitar la instalación de clientes que son inseguros en algún sentido.

Al intentar instalarlo, recibí la advertencia de que entra en conflicto con otro paquete ya instalado: telnet. Este es precisamente el comportamiento de harden-clients: Para proporcionar la seguridad que promete, desinstalará aquellos clientes que considere inseguros. Si luego uno desea instalar algún cliente que harden-clients considere inseguro, el sistema advertirá que hay conflicto entre el software en cuestión y harden-clients.

Por supuesto, desinstalé a ese «malvado» telnet para poder instalar harden-clients en mi sistema. Hasta la actualidad no he recibido más advertencias de conflicto, y me siento más seguro con él.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.

Encabezado: Mutante, Chaos Communication Camp 2007 – ftp telnet tshirt, CC BY-SA 3.0

Instalando Debian GNU/Linux

Relacionado: «Descargando Debian GNU/Linux» (2014-10-28)

El instalador de Debian GNU/Linux

La versión en DVD tiene la ventaja de ofrecer distintos ambientes de escritorio, así que pude instalar Debian GNU/Linux con el ambiente de KDE, mi preferido. También me gusta controlar tantos detalles de la instalación como me sea posible, así que escogí el modo experto. Este modo hace demasiadas preguntas, así que configurar la instalación conlleva mucho más tiempo, pero me encanta.

Pude deshabilitar la cuenta de root, configurar las particiones de mis discos duros con LVM y cifrar el sistema con Twofish (así de seguro me gusta que quede mi sistema).

La forma más rápida de instalar Debian es mediante el modo automático, pero el modo experto es más interesante. Y en caso de que consideres que el modo experto es solo para usuarios muy avanzados, pues, te comento que soy un usuario normal con apenas un poco de experiencia en GNU y en instalación de sistemas operativos (para esto está VirtualBox, para probar y probar y probar), y con acceso a Wikipedia, donde dicen que hay que ser valiente.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.

Encabezado: PetrohsW, DebConf6 ohs00, CC BY-SA 4.0
Imagen: Joey Hess, Debian installer, GPL 2

Wikidata cumple dos años

Wikidata, la base de datos y conocimiento que cualquiera puede editar, nació el 29 de octubre de 2012. Siete meses antes de su nacimiento, por sugerencia de un colega wikimedista publiqué un reportaje en Wikinoticias acerca del desarrollo de Wikidata, y me alegra haber sido parte del proyecto desde poco antes de su publicación, ¡especialmente cuando el 29 de octubre de este año celebró su segundo aniversario!

El equipo de desarrollo de Wikidata

Con mucha alegría, Micru (editor activo de Wikidata) y Lydia Pintscher (gerente de producto de Wikidata) expresaron sus emociones respecto al avance de este gran proyecto en los dos años de su existencia y que actualmente es editado por más 13 000 personas al mes. Ambos hicieron notar que aunque se ha logrado mucho en 2 años, todavía falta más por hacer.

Por supuesto, hubo regalos de cumpleaños: Una pintura hecha por un donante anónimo y una bonita animación que muestra todas las ediciones realizadas en Wikidata en tiempo real.

Si deseas colaborar con Wikidata pero lo encuentras difícil, te recomiendo que entonces edites jugando con el Wikidata Game. Solo da un vistazo… sé que te gustará.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Imagen: Wikidata team and painting, CC BY-SA 4.0

La DEA suplanta la identidad de una mujer y crea un perfil falso en Facebook

La Administración para el Control de Drogas de los Estados Unidos (DEA) incautó el teléfono celular de una mujer, la cual voluntariamente cedió permiso para mirar su teléfono. Pero, sin el consentimiento ni el conocimiento de la mujer, la DEA tomó fotos de su teléfono y las usó para crear un perfil falso de Facebook con su nombre.

Algún nuevo perfil de Facebook que veas hoy podría ser el de un agente encubierto.

La mujer demandó al Gobierno estadounidense, pero la defensa dijo que «los acusados admiten que Plaintiff [la mujer] no cedió un permiso expreso para el uso de las fotografías en su teléfono en una página encubierta de Facebook, pero declaran que Plaintiff lo consintió implícitamente al ceder acceso a la información almacenada en su teléfono celular y al consentir el uso de esa información para facilitar una investigaciones criminales en curso [sic.]».

El perfil en Facebook fue retirado temporalmente mientras el Departamento de Justicia de los Estados Unidos revisa el caso.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Imagen: LPS.1, Facebook Headquarters Entrance Sign Menlo Park

Fuente: «Government Set Up A Fake Facebook Page In This Woman’s Name».

Edward Snowden revela que la NSA coloca agentes en compañías extranjeras

Edward Snowden

Edward Snowden reveló documentos que demuestran que la Agencia de Seguridad Nacional (NSA) realiza operaciones encubiertas en entidades comerciales fuera de EE. UU., principalmente en China, Alemania y Corea del Sur. Este programa de operaciones se llama Sentry Osprey.

El documento revelado por Snowden no especifica si los agentes encubiertos son empleados a tiempo completo en tales compañías o si solo visitan instalaciones comerciales con falsos pretextos. Tampoco queda claro si estas entidades comerciales son estadounidenses o extranjeras, o ambas, y la NSA se ha negado a evacuar esta duda.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Imagen: TheWikiLeaksChannel, Edward Snowden speaks about government transparency at Sam Adams award presentation in Moscow, CC BY 3.0

Fuentes: «Core Secrets: NSA Saboteurs in China and Germany», «NSA May Have Undercover Operatives in Foreign Companies».

Descubren una gran cantidad de torres telefónicas falsas en EE. UU.

Lo que parece una torre telefónica ordinaria podría ser un sistema de vigilancia oculto a plena vista.

A lo largo de todos los Estados Unidos se ha descubierto una gran cantidad de torres telefónicas falsas. Se cree que son captoras de IMSI (el código de identificación único de cada teléfono celular) operadas por el Gobierno, similar al dispositivo de vigilancia de celulares StingRay producido por Harris Corporation. También se descubrieron torres similares en sitios de interés político en Washington D. C.

En ambos casos hubo investigadores independientes que utilizaron el software de seguridad incluido en el criptófono que produce la compañía alemana GSMK, y en ambos casos no se pudo determinar quién opera estas torres telefónicas falsas.

Los ciudadanos estadounidenses no solo ignoran quién les vigila mediante estas torres, sino que son incapaces elegir no ser vigilados.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Imagen: Joe Ravi, Cell Phone Tower, CC BY-SA 3.0

Fuentes: «Impostor Cell Phone Towers Could Be Controlling Your Mobile», «Mysterious Phony Cell Towers Could Be Intercepting Your Calls», «Phone Firewall Identifies Rogue Cell Towers Trying to Intercept Your Calls», «Phony Cell Towers Could Be Intercepting Your Data», «Tech firm tries to pull back curtain on surveillance efforts in Washington», «Who is putting up ‘interceptor’ cell towers? The mystery deepens».

Descargando Debian GNU/Linux

Actualización: «Instalando Debian GNU/Linux» (2014-10-30)

Los usuarios de PGP deberán adquirir la clave 0xDA87E80D6294BE9B para verificar el archivo SHA512SUMS

Dado que no cuento con una rápida conexión a internet, descargué una copia de Debian GNU/Linux en un sitio público. Para descargarlo todo, hay que obtener las tres imágenes de disco en DVD, que son casi 12 GiB (sí, es mucho para mi conexión…).

Con el propósito de tener un sistema seguro y confiable, decidí que instalaría la versión estable. En ese entonces era la subversión 7.6.0, pero actualmente está disponible la subversión 7.7.0, así que explicaré cómo lo descargué basándome en la más reciente.

Lo hice mediante HTTP (BitTorrent es otra buena opción). La versión más reciente está disponible en http://cdimage.debian.org/debian-cd/current/

En mi caso, como la edición para mi hardware debe ser AMD64 y quiero las imágenes para DVD, el enlace que me interesa es http://cdimage.debian.org/debian-cd/current/amd64/iso-dvd/

Descargué los tres archivos cuyos nombres inician con «debian-7» y verifiqué las firmas SHA-512 de los archivos. Estas se pueden leer en el archivo llamado SHA512SUMS, el cual ha sido firmado digitalmente con PGP (descárguese el archivo SHA512SUMS.sign), otra firma que también verifiqué.

Ambas verificaciones las hice con GtkHash y Seahorse en el sistema operativo Tails, donde están preinstalados. Estos programas están disponibles para cualquier distribución de GNU/Linux y son fáciles de usar. No es necesario realizar estas verificaciones, pero si deseas estar absolutamente seguro de que estás descargando una copia íntegra de Debian GNU/Linux, esta es la mejor forma.

Con las imágenes de disco descargadas y grabadas en DVD, procedí a la instalación del sistema operativo.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.

Encabezado: Acracia, Debian-tshirt, CC BY-SA 3.0
Imagen: Jose Carlos Garcia Sogo, Jacob Perkins, Nate Nielsen, Adam Schreiber, Stef Walter; Seahorse, GPL 2