Edward Snowden revela que la NSA y el GCHQ hacen un mapa global de la internet

Edward Snowden publicó documentos secretos de la Agencia de Seguridad Nacional de EE. UU. (NSA) y del Cuartel General de Comunicaciones del Gobierno británico (GCHQ) que explican la ejecución de Treasure Map, un programa dedicado a hacer un mapa global de la internet. A través de este programa, la NSA y el GCHQ han penetrado a los datos de los satélites de varias compañías que proveen acceso a internet a lugares remotos del mundo.

«Los servicios de inteligencia podrían utilizar estos datos para apagar la internet en países africanos enteros que reciben acceso mediante nuestras conexiones satelitales», reaccionó el ingeniero ejecutivo de Stellar PCS, una compañía alemana de comunicaciones satelitales, al descubrir que su empresa ha sido blanco de Treasure Map.

El GCHQ está vigilando a empresas satelitales de Alemania.

Un documento secreto del GCHQ detalla una lista de «empleados centrales» de Stellar, identificados como «agendados». En jerga de inteligencia, agendar a alguien significa establecer vigilancia electrónica. El presidente ejecutivo de Stellar Christian Steffen y otros nueve empleados se encuentran en la lista de personas agendadas por el GCHQ. Steffen, que reaccionó con la malsonante interjección anglosajona fuck! al leer los documentos secretos, identificó en estos un ataque contra el servidor central y el servidor de correo de la empresa, los cuales aparentemente fueron jaqueados por el GCHQ. El documento también detalla esfuerzos de espionaje hacia clientes específicos de la compañía, ante lo que Ali Fares, técnico ejecutivo de Stellar, comentó que «esos son secretos empresariales e información sensible». «Es muy pertubador», continuó Fares al descubrir que el documento incluye la contraseña del servidor central de uno de sus clientes más importantes.

Steffen declaró que considera que los documentos son prueba de que los sistemas de su compañía han sido violados. «El servidor jaqueado siempre ha estado tras el cortafuegos de la compañía. Solo se puede acceder a él si primero se logra violar nuestra red. Nuestro tráfico de clientes no opera a través de redes convencionales de fibra óptica. A los ojos de los servicios de inteligencia, aparentemente es difícil acceder a nosotros, [aunque] eso no le da a nadie el derecho a ingresar a la fuerza. Un ciberataque de esta magnitud claramente es una ofensa criminal de acuerdo a la ley alemana. Quiero saber por qué somos un blanco y cómo exactamente se realizó el ataque, aunque sea solo para ser capaz de evitar que a mí y a mis clientes nos suceda de nuevo».

Edward Snowden aseguró que Treasure Map crea un mapa interactivo de la internet global casi a tiempo real.

Otras compañías alemanas vigiladas mediante el programa son Deutsche Telekom AG y NetCologne. Esta última opera una red de fibra óptica y provee servicios telefónicos y de internet a 400 000 usuarios, y Deutsche Telekom provee servicios de telefonía móvil, internet y líneas terrestres a 60 millones de usuarios. Los documentos no especifican cómo fue que la NSA obtuvo acceso a estas redes. Un portavoz de Deutsche Telekom expresó que «el acceso a nuestras redes de parte de agencias extranjeras de inteligencia sería completamente inaceptable». Las operadoras satelitales alemanas CETel e IABG también son blancos de Treasure Map, y ambas ofrecen conexión satelital a internet a regiones remotas.

Sin embargo, Treasure Map no se limita a registrar flujos de datos en canales de tráfico de comunicaciones, sino que también identifica y ubica todo dispositivo que esté conectado a la internet en cualquier parte del mundo (todos los teléfonos inteligentes, tabletas y computadoras), «en cualquier lugar, todo el tiempo», de acuerdo a los documentos secretos de la NSA. Estos documentos también demuestran que el programa se usa para monitorizar el tráfico y los dispositivos aun dentro de los Estados Unidos, aunque el Gobierno estadounidense asegura que solo se utiliza en redes extranjeras y que no tiene la capacidad de monitorizar todos los dispositivos conectados a la internet.

Según Snowden, la meta de Treasure Map es crear un «mapa interactivo de la internet global casi a tiempo real». Los empleados de la alianza de inteligencia Cinco Ojos (Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda) pueden instalar y utilizar el programa en sus propias computadoras para ver el tráfico global de datos.

La NSA se negó a comentar al respecto y el GCHQ simplemente determinó que todas sus actividades son legales.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Encabezado: Ministry of Defence, An aerial image of the Government Communications Headquarters (GCHQ) in Cheltenham, Gloucestershire, OGL 1.0
Imagen: Laura Poitras / Praxis Films, Edward Snowden-2, CC BY 3.0

Fuentes: «Map of the Stars: The NSA and GCHQ Campaign Against German Satellite Companies», «Treasure Map: The NSA Breach of Telekom and Other German Firms».

Anuncios

Edward Snowden revela que Nueva Zelanda sí tiene un programa de vigilancia masiva

Edward Snowden reveló que en 2012 y 2013 el Departamento Gubernamental de Seguridad de las Comunicaciones de Nueva Zelanda (GCSB) implementó un sistema de vigilancia masiva a la vez que el Gobierno constantemente negaba públicamente la existencia de tal sistema y aseguraba que algo semejante sería ilegal.

John Key afirmó que «no hay ni habrá jamás vigilancia masiva».

Los documentos provistos por Snowden demuestran que el Gobierno trabajó en secreto para erigir una nueva ley de vigilancia por internet para recolectar los metadatos de las comunicaciones electrónicas de los neozelandeses, todo en contra de lo asegurado por el primer ministro John Key del Partido Nacional.

Snowden afirmó que «la aseveración del primer ministro, que “no hay ni habrá jamás vigilancia masiva”, es falsa, y la GCSB, de cuyas operaciones él es responsable, está involucrada directamente con la interceptación masiva y aleatoria y el análisis algorítmico de las comunicaciones privadas enviadas por internet, satélite, radio y redes teléfonicas».

Snowden explicó más al respecto: «Si vives en Nueva Zelanda, estás siendo vigilado. En la NSA [Agencia de Seguridad Nacional de EE. UU.] me topé rutinariamente con las comunicaciones de los neozelandeses en mi trabajo con una herramienta de vigilancia masiva que compartimos con el GCSB llamada XKEYSCORE. El GCSB proveyó a XKEYSCORE datos recolectados mediante vigilancia masiva. También proveyó a la NSA acceso a las comunicaciones de millones de neozelandeses en instalaciones tales como el edificio de la GCSB en Waihopai, y el primer ministro estaba personalmente al tanto de esto».

De acuerdo a los documentos ultrasecretos revelados por Snowden, el GCSB y la NSA iniciaron la fase 1 del programa de vigilancia masiva, llamado Speargun, en 2012. Speargun involucra la instalación encubierta de un equipo para acceder al Cable de la Cruz del Sur, el principal cable submarino de internet del país. Tras finalizar este proceso, el programa avanzó a la fase 2 a mediados de 2013, bajo la cual se insertaron captadores de medatados en ese cable.

Rutas del Cable de la Cruz del Sur. Las azules son submarinas y las rojas son terrestres.

Este tipo de captadores de metadatos es usado a menudo por la NSA para recolectar una gigantesca cantidad de información de los cables de comunicación a tiempo real, permitiéndoles extraer fechas, horas, remitentes y destinatarios de los mensajes de correo electrónico, llamadas teléfonicas y otras comunicaciones similares.

La NSA se negó a comentar estas afirmaciones y un portavoz del GCSB se limitó a decir: «No comentamos asuntos que podrían o no ser operacionales». Key finalmente admitió que el GCSB sí planeó un programa de vigilancia masiva dirigida hacia sus propios ciudadanos, aunque aseguró que él mismo rechazó el programa antes de su implementación.

En su reportaje, Snowden concluyó que «la seguridad nacional se ha convertido en la seguridad del Partido Nacional. Lo que hoy vemos es que en Nueva Zelanda la balanza entre el derecho del público a saber y la propiedad de un secreto está determinada por un simple factor: la ventaja política que ofrece a un partido específico o a un político específico […] ¿Qué sucederá si mañana un nuevo líder asume el mismo poder de velarle o develarle cosas a la ciudadanía sin basarse en lo que requieren las sociedades libres sino en lo que necesita decir para mantenerlas bajo su poder?».

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Encabezado: United Nations Development Programme, UNDP Helen Clark meeting with New Zealand Prime Minister John Key, CC BY-NC-ND 2.0
Imagen: J.P.Lon, Mysid, Southern Cross Cable route, CC BY-SA 3.0

Fuentes: «New Zealand Launched Mass Surveillance Project While Publicly Denying It», «Snowden: New Zealand’s Prime Minister Isn’t Telling the Truth About Mass Surveillance».

El ampliamente usado algoritmo SHA-1 para sitios web se vuelve inseguro

Aproximadamente el 90 % de los sitios web que utilizan el protocolo criptográfico SSL (o sea, cuya dirección inicia con https) utiliza un algoritmo llamado SHA-1 para evitar la suplantación del sitio. Aunque esto garantiza que al ingresar a https://wordpress.com uno visite el verdadero sitio de WordPress.com y protege las contraseñas de los usuarios, SHA-1 ha sido desde hace mucho peligrosamente débil, y cada año es más débil.

La solución es SHA-2, un algoritmo tan compatible como el otro, y los administradores de los sitios web simplemente deben actualizar los certificados de seguridad. Los certificados le indican a los navegadores web que el sitio web es real (siempre importante, pero más cuando se visita los sitios de entidades financieras, correos electrónicos y redes sociales) y cifra la conexión entre los usuarios y el sitio web.

Pero en los navegadores como Firefox esto no es suficiente, pues aunque cualquier certificado sirve para cifrar la conexión, el navegador verifica si este ha sido emitido por una autoridad de certificación (CA). Las CA normalmente cobran para emitir a los dueños de sitios web este archivo, y los navegadores han sido programados para confiar en ciertas CA e intermediarias, las cuales van desde entidades comerciales a agencias gubernamentales.

Los navegadores como Iceweasel, que están basados en Firefox, heredarán las mismas pautas de seguridad.

Desde 2005 se sabe que SHA-1 es un algoritmo vulnerable, y esto se demostró con el malware Flame, presuntamente creado por los Estados Unidos y el Reino Unido para atacar el programa nuclear de Irán en 2012. Y aunque Flame es un software sofisticado, no es muy difícil vulnerar al algoritmo SHA-1, y un atacante podría crear un certificado SHA-2 falso a partir de un certificado SHA-1, lo que reduce enormemente la seguridad de los usuarios. En concreto, la única manera de prevenirlo es retirando de nuestros navegadores la compatibilidad con SHA-1, y en algunos navegadores ya se está tomando medidas: Firefox e Internet Explorer dejarán de confiar en certificados SHA-1 después de 2016, y Google Chrome y Opera emitirán alertas acerca de la inseguridad de SHA-1 cuando se visiten sitios con estos certificados.

Para comprobar si un sitio web utiliza SHA-2, los administradores y los usuarios pueden visitar SHAAAAAAAAAAAAA.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Encabezado: Fabio Lanari, Internet2, CC BY-SA 4.0
Imagen: Mantenedores de paquetes relacionados con Mozilla, Iceweasel, MPL 1.1

Fuente: «Why Google is Hurrying the Web to Kill SHA-1».

Evitando clientes inseguros en Debian GNU/Linux

A los fanáticos de la seguridad en Debian GNU/Linux podría interesarles harden-clients, un software para sistemas normales de escritorio que proporciona una manera fácil de evitar la instalación de clientes que son inseguros en algún sentido.

Al intentar instalarlo, recibí la advertencia de que entra en conflicto con otro paquete ya instalado: telnet. Este es precisamente el comportamiento de harden-clients: Para proporcionar la seguridad que promete, desinstalará aquellos clientes que considere inseguros. Si luego uno desea instalar algún cliente que harden-clients considere inseguro, el sistema advertirá que hay conflicto entre el software en cuestión y harden-clients.

Por supuesto, desinstalé a ese «malvado» telnet para poder instalar harden-clients en mi sistema. Hasta la actualidad no he recibido más advertencias de conflicto, y me siento más seguro con él.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.

Encabezado: Mutante, Chaos Communication Camp 2007 – ftp telnet tshirt, CC BY-SA 3.0

Instalando Debian GNU/Linux

Relacionado: «Descargando Debian GNU/Linux» (2014-10-28)

El instalador de Debian GNU/Linux

La versión en DVD tiene la ventaja de ofrecer distintos ambientes de escritorio, así que pude instalar Debian GNU/Linux con el ambiente de KDE, mi preferido. También me gusta controlar tantos detalles de la instalación como me sea posible, así que escogí el modo experto. Este modo hace demasiadas preguntas, así que configurar la instalación conlleva mucho más tiempo, pero me encanta.

Pude deshabilitar la cuenta de root, configurar las particiones de mis discos duros con LVM y cifrar el sistema con Twofish (así de seguro me gusta que quede mi sistema).

La forma más rápida de instalar Debian es mediante el modo automático, pero el modo experto es más interesante. Y en caso de que consideres que el modo experto es solo para usuarios muy avanzados, pues, te comento que soy un usuario normal con apenas un poco de experiencia en GNU y en instalación de sistemas operativos (para esto está VirtualBox, para probar y probar y probar), y con acceso a Wikipedia, donde dicen que hay que ser valiente.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.

Encabezado: PetrohsW, DebConf6 ohs00, CC BY-SA 4.0
Imagen: Joey Hess, Debian installer, GPL 2