Recibí los dados de la Fundación Fronteras Electrónicas

La Fundación Fronteras Electrónicas es una organización sin fines de lucro con el objetivo de conservar los derechos de libertad de expresión, como los protegidos por la Primera Enmienda a la Constitución de Estados Unidos, en el contexto de la era digital.

Este año me afilié a esta fundación, y como parte de una promoción temporal recibí de regalo unos dados diseñados para poder generar contraseñas muy seguras mediante la generación aleatoria de números.

Es muy sencillo: se lanza los cinco dados, se obtiene un resultado de cinco números (por ejemplo, 26216), con ese número se busca una palabra en la lista larga de palabras de la fundación (por ejemplo, exit), y se repite el proceso hasta obtener seis palabras. El resultado será que, al unir las seis palabras en una sola, se obtendrá una contraseña muy segura. Las palabras serán fáciles de recordar si uno inventa alguna frase con todas ellas.

Altísima seguridad al alcance de la mano.

Con este método, las alternativas para descubrir la contraseña son de una en 221 073 919 720 733 357 899 776 (más de 221 073 trillones). Esto quiere decir que la contraseña será muy difícil de descubrir mediante la fuerza bruta.

¡Puedes intentarlo con tus propios dados! Solo mira las instrucciones (en inglés) en la dirección https://www.eff.org/dice

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Advertisements

Un sistema de vigilancia canadiense bloquea las llamadas al 911

La Real Policía Montada de Canadá ha estado utilizando un dispositivo portátil que vigila las llamadas de los teléfonos móviles. Sin embargo, lo han estado utilizando para vigilar a supuestos criminales aun a sabiendas de que este dispositivo bloquea las llamadas al 911 que podrían ser realizadas por terceros ajenos a la situación.

La vigilancia de la policía montada afecta a personas inocentes.

Desde 2011, los oficiales han sido advertidos sobre esta situación. En un juicio reciente se demostró que se les ha solicitado utilizar el dispositivo durante un período menor a tres minutos para evitar bloquear las llamadas de «terceros inocentes».

Estos dispositivos son captadores de IMSI con un alcance de 500 metros, los cuales funcionan como redes telefónicas falsas capaces de extraer identificadores únicos de un teléfono GSM (incluyendo los identificadores de terceros inocentes), y con estos la policía es capaz de interceptar el teléfono, registrar los números de las llamadas salientes y entrantes, y escuchar las conversaciones. El Servicio Policíaco de la Ciudad de Montreal ha estado estado utilizando esta técnica de vigilancia durante cinco años para identificar los teléfonos operados por mafiosos involucrados en posibles conspiraciones de homicidio.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Imagen: Jamie McCaffrey, RCMP Sunset Ceremony 2012, CC BY-NC 2.0

Fuente: «RCMP listening device capable of knocking out 911 calls, memo reveals».

China anuncia que no tiene suficientes hackers para atacar a EE. UU.

A pesar de invertir grandes cantidades de recursos, el Gobierno chino anunció que el país afronta dificultades para contratar hackers suficientes para abarcar las vulnerabilidades de los sistemas de seguridad de EE. UU. que descubre constantemente.

«Con las nuevas vulnerabilidades que encontramos a diario en las redes de Estados Unidos, simplemente no poseemos la mano de obra necesaria para explotar cada falla en sus protocolos de seguridad», indicó Liu Xiang, ministro de Seguridad. Liu afirma que los miles de expertos informáticos dedicados a explotar las fallas en el sistema de datos estadounidense superan en gran medida la vigilancia digital de Estados Unidos.

«No podemos estar al tanto de todas las deficiencias de su cortafuegos, y mucho menos contratar suficientes hackers para atacar cada una […] Solo las fallas en los sistemas de seguridad del Departamento de Estado requieren casi la mitad de mi fuerza de trabajo». Liu indicó que se ha visto forzado a contratar hackers en Rusia para mantener el ritmo necesario.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Encabezado: Poa Mosyuen, HK 石塘咀市政大廈 Shek Tong Tsui Municipal Services Building 電腦鍵盤 Chinese input keyboard Jan-2012, CC BY-SA 3.0

Fuente: «China Unable To Recruit Hackers Fast Enough To Keep Up With Vulnerabilities In U.S. Security Systems».

Varios bancos detectan un fraude en los hoteles de Donald Trump

Varios bancos radicados en los Estados Unidos detectaron un fraude en los hoteles del empresario Donald Trump. Según estos bancos, hay rastros de un patrón de actividades ilegítimas en los cargos realizados a las cuentas de tarjetas de cédito y débito que han sido utilizadas en todos los hoteles Trump.

El fraude fue realizado con las cuentas de tarjetas de crédito y débito que han sido utilizadas en los hoteles Trump.

«Tal como virtualmente cualquier otra empresa de la actualidad, hemos sido alertados de una potencial actividad sospechosa relacionada con tarjetas de crédito y estamos en medio de una investigación rigurosa para determinar si involucra a alguna de nuestras propiedades. Estamos comprometidos a salvaguardar la información personal de todos los huéspedes y continuaremos haciéndolo con esmero», declaró Eric Trump, vicepresidente ejecutivo de Desarrollo y Adquisiciones.

El periodista de investigación Brian Krebs fue el primero en informar acerca de estas actividades fraudulentas. Según las fuentes financieras de Krebs, hay «poca duda» acerca de que las propiedades de Trump en varios lugares de los Estados Unidos han estado lidiando con filtración de información de tarjetas de crédito y débito, la cual parecer suceder desde febrero en Chicago, Honolulú, Las Vegas, Los Ángeles, Miami y Nueva York.

La Colección de Hoteles Trump es una lujosa compañía hotelera propiedad del actual candidato presidencial republicano Donald Trump.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Imagen: Ingfbruno, 4118-NYC-Columbus Circle, CC BY-SA 3.0

Fuentes: «Banks: Card Breach at Trump Hotel Properties», «Donald Trump’s hotel collection under possible credit card breach: blog», «Trump Hotels probes potential credit card breach».

Kaspersky reporta sobre las actividades de DarkHotel

Kaspersky Lab, una organización que desarrolla sistemas de seguridad informática, ha estado reportando las actividades de DarkHotel, una organización de cibercriminales que ha infectado las redes wifi de diversos hoteles para atacar las computadoras de los empresarios que se hospeden allí. Cuando las víctimas se conectaron a la internet inalámbrica de su hotel y aceptaron el aviso de que su aplicación de Adobe Systems debía ser actualizada, en realidad recibieron en sus computadoras un código malicioso.

Los atacantes son tan sofisticados que suben el software malicioso al servidor del hotel días antes de que la víctima se hospede allí, y luego lo eliminan varios días después de que la víctima deja el hotel. Finalmente, el software malicioso no se activa inmediatamente, sino que permanece inactivo en el dispositivo infectado durante seis meses antes de completar el ataque. DarkHotel ha estado activo al menos desde 2007, realizando ataques a víctimas específicas que se hospedan en hoteles de lujo principalmente en Asia.

Costin Raiu, director del Equipo de Investigación y Análisis Globales de Kaspersky, asegura que DarkHotel «se vuelve cada día más grande. Atacan [sic] cada vez más hoteles». Aunque la mayoría de los hoteles se encuentran en Asia, algunos también están ubicados en EE. UU.

Los ataques, dirigidos principalmente a ejecutivos, consisten en una sofisticada extracción de datos que afecta tanto los documentos contenidos en sus dispositivos electrónicos como lo que digitan con los teclados. También han logrado jaquear firmas digitales débiles para generar certificados de autoridad falsos para poder validar su software malicioso, haciéndolo pasar por software legítimo.

«Obviamente no estamos tratando con un atacante promedio», continúa Raiu. «Es un atacante de altísimo nivel de amenaza. Su habilidad para registrar digitaciones a nivel de kernel es poco común, la ingeniería inversa del certificado […] eso les coloca [sic] en una categoría especial. [Sus objetivos son] todas las naciones nucleares de Asia. Sus objetivos están relacionados con lo nuclear, pero también han [sic] atacado la base de la industria militar en los Estados Unidos y ejecutivos importantes de todo el mundo en todos los sectores relacionados el desarrollo y las inversiones económicos». Recientemente, DarkHotel ha aumentado sus ataques contra la industria militar estadounidense.

DarkHotel ataca a víctimas hospedadas en hoteles de lujo.

Los atacantes han contado con cerca de doscientos servidores de comando y control para realizar sus operaciones. Kaspersky ha logrado desactivar veintiséis de sus dominios e incluso ha obtenido acceso a algunos de sus servidores, donde encontraron registros sin protección donde se identifican a miles de sistemas infectados.

DarkHotel desactivó gran parte de su infraestructura de comandos en octubre, posiblemente debido al descubrir que los investigadores de Kaspersky los estaban rastreando. «Hasta donde puedo ver, fue un apagón de emergencia. Creo que hubo mucho pánico al respecto», comentó Raiu.

Los investigadores subrayan que una variante del software malicioso utilizado por los atacantes fue diseñado para apagarse a sí mismo si el idioma de las máquinas infectadas es coreano, y que su código contiene caracteres coreanos y aparentemente está relacionado con un cierto programador de Corea del Sur. Además de esto, el alto grado de sofisticación indica que DarkHotel probablemente sea una campaña de una nación, lo que hace muy posible que se trate de una actividad del estado surcoreano, el cual irónicamente es un aliado de EE. UU.

Kaspersky ha detectado ataques de DarkHotel principalmente en Japón, Taiwán, China, Rusia y Corea del Sur; pero también en los Estados Unidos, los Emiratos Árabes Unidos, Singapur, Kazajistán, Filipinas, Hong Kong, India, Indonesia, Alemania, Irlanda, México, Bélgica, Serbia, Albania, Pakistán, Grecia e Italia.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Imagen: Ksl.communications, Deluxe harbour view room, CC BY-SA 3.0

Fuentes: «DarkHotel: A Sophisticated New Hacking Attack Targets High-Profile Hotel Guests», «DarkHotel: Indicators of Compromise», «The Darkhotel APT: A Story of Unusual Hospitality», «The DarkHotel APT: A Story of Unusual Hospitality».

La inseguridad de la aplicación para libros Adobe Digital Editions

Adobe Digital Editions (ADE), una aplicación de Adobe Systems para leer libros electrónicos y archivos en PDF, registra y reporta a Adobe Systems todos los libros que un usuario tiene en su computadora (no solo los que lee con la aplicación). Al enviar los registros, ADE lo hacía sin cifrar los datos, lo que permitía a cualquier persona que estuviese monitorizando el tráfico de la red interceptarlos. Los datos se envían a un servidor ubicado en la dirección https://adelogs.adobe.com/.

Si has instalado ADE, todos tus hábitos de lectura están siendo reportados a Adobe Systems.

La aplicación no solo reporta cuáles libros hay en la computadora, sino también los metadatos y los hábitos de lectura, incluyendo las páginas que el usuario ha leído, los títulos de los libros, el tiempo dedicado a la lectura, cuáles libros han sido añadidos a la biblioteca y cuáles han sido borrados. Los metadatos enviados incluyen aun los de los libros que no se han abierto con ADE. Esta violación de privacidad fue confirmada por Ars Technica, Safari Books Online y Electronic Frontier Foundation. La última lo comprobó con Wireshark.

Además, en los términos de uso de ADE no se menciona esta actividad ni se indica por cuánto tiempo Adobe Systems almacenará los registros. No está claro de qué modo Adobe Systems mantiene almacenados estos datos, pero cada registro está asociado con una identificación única de cada instalación de ADE, lo que implica la identificación de cada usuario y su dirección IP.

En respuesta a esta noticia y a las críticas, Adobe Systems actualizó el programa. En ADE 4.0.1, Adobe Systems continúa registrando los datos de los usuarios, aunque esta vez los obtiene mediante una transmisión segura, utilizando HTTPS.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Imagen: Rgaudin, Sakina découvre «Le Petit Prince»

Fuentes: «Adobe is Spying on Users, Collecting Data on Their eBook Libraries», «Adobe’s e-book reader sends your reading logs back to Adobe—in plain text [Updated] ― Digital Editions even tracks which pages you’ve read. It might break a New Jersey Law», «What We Can Learn From The Adobe E-Reader Mess».

La forma de ataque del malware Scangate

Las computadoras sin acceso a internet son consideradas una de las mejores maneras de defender de ciberataques a los sistemas informáticos importantes o con datos sensibles; pero el reconocido criptógrafo Adi Shamir, coinventor del ampliamente utilizado sistema criptográfico RSA, junto a los investigadores Yuval Elovici y Moti Guri de la Universidad Ben-Gurión del Néguev en Israel descubrió métodos para instalar software malicioso en estas computadoras.

Si un ataque lograse instalar un software malicioso a las computadoras sin internet, no podría robar sus datos, pero Shamir descubrió que si una impresora multifuncional se encuentra conectada a dicha computadora un atacante podría ejecutar el software enviando comandos con un láser infrarrojo a través del panel del escáner cuando se encuentre abierto. Cuando Shamir dio una presentación respecto a este modo de ataque en octubre en Ámsterdam, en la conferencia de seguridad Black Hat Europe, lo denominó Scangate.

Adi Shamir asegura que con Scangate es posible exfiltrar claves de cifrado.

Para comprobarlo, Shamir, Elovici y Guri ejecutaron un ataque Scangate en un edificio en Beerseba, específicamente en una impresora HP Officejet Pro 8500. Descubrieron que con un láser azul podían enviar señales desde más de un kilómetro de distancia que podría ser interpretado por cualquier software malicioso que ya se encuentre instalado en la impresora. Además, si se utilizara un láser infrarrojo de alta potencia, la distancia se puede incrementar hasta cinco kilómetros, lo que lograría que el ataque sea virtualmente indetectable.

Scangate también puede ser utilizado para recibir datos desde la impresora. Dado que el software malicioso puede iniciar y cancelar operaciones con el escáner, los atacantes son capaces de interpretar códigos binarios mediante la pulsación de luz del escáner, lo que sirve para exfiltrar archivos y otros datos. «La operación puede ser repetida hasta finalmente exfiltrar información crítica, como claves de cifrado. [También se puede utilizar] un dron de cuatro hélices para acercarse y observar el escáner desde un mejor ángulo», dijo Shamir.

Las computadoras sin acceso a internet se han utilizado desde hace mucho para almacenar información ultrasecreta y en ambientes críticos. A través de una de estas computadoras fue que se instaló el virus Stuxnet, desarrollado para atacar las centrífugas de enriquecimiento nuclear en Natanz (Irán), presumiblemente mediante un dispositivo USB que alguien contrabandeó.

La advertencia final de Shamir es simple: «No conecten una impresora multifuncional a la red».

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Encabezado: WhisperToMe, HewlettPackardHarrisCoTX
Imagen: Erik Tews, Adi Shamir at TU Darmstadt (2013), CC BY-SA 3.0

Fuentes: «All-in-one printers can be used to control infected air-gapped systems from far away», «Black Hat Keynoter: Beware of Air Gap Risks ― Drone, Laser Attack Penetrate Secure Environment», «Side Channel Attacks – Past, Present, and Future».

La inseguridad de la aplicación de mensajería Whisper

Whisper, una aplicación para iOS y Android que permite a sus usuarios enviar y recibir mensajes anónimamente, en realidad monitoriza a sus usuarios, aun a aquellos que han desactivado la opción de ubicación geográfica. Además, la información de los usuarios se almacena indefinidamente y se comparte con el Departamento de Defensa de EE. UU. Todo esto sucede a pesar de que la compañía que creó la aplicación promete privacidad a sus usuarios.

Edificio del periódico The Guardian

Esta revelación hecha por el periódico británico The Guardian fue negada por los desarrolladores de Whisper, quienes aseguran que la aplicación «no sigue ni rastrea a sus usuarios» y que tal afirmación es «falsa». Sin embargo, días antes de que The Guardian publicara la historia, las condiciones de uso de la aplicación fueron modificadas para incluir la autorización de rastrear a los usuarios que han desactivado la ubicación geográfica.

Además, la compañía creó una herramienta que le permite a su personal buscar y filtrar datos de GPS, rastreando los mensajes emitidos a un radio de 500 metros de donde han sido enviados. Esta herramienta les ha permitido incluso monitorizar mensajes enviados desde El Pentágono y la Agencia de Seguridad Nacional. Y aunque los usuarios hayan desactivado la ubicación geográfica, la compañía puede extraer los datos sobre direcciones IP normalmente emitidos por los teléfonos inteligentes.

La compañía no tiene acceso a los nombres de los usuarios ni a sus números telefónicos, pero almacena lo que publican en una base de datos, incluyendo la hora exacta y la ubicación aproximada de todos los mensajes. Y a pesar de que Whisper asegura que los datos solo se almacenan temporalmente, esta base de datos, establecida permanentemente en las Filipinas, contiene registros que se remontan al lanzamiento de la aplicación en 2012.

A pesar de estas afirmaciones, Michael Heyward, cocreador de Whisper, ha indicado que «Whisper en realidad no oculta la identidad, sino que provee una completa ausencia de identidad». Él mismo asegura que Whisper es el «lugar más seguro de la internet» y que la aplicación es un lugar seguro en el que sus usuarios deberían sentirse libres de expresar sus sentimientos y confesiones más profundos.

En la actualidad, Whisper está valorada en más de 200 millones de dólares y sus usuarios publican 2.6 millones de mensajes diariamente.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Imagen: Bryantbob, The Guardian Building in London, CC BY-SA 3.0

Fuentes: «Analyzing the Whisper CEOs Response To The Guardians Allegations», «How the ‘safest place on the internet’ tracks its users», «How Whisper app tracks ‘anonymous’ users (theguardian.com)», «How Whisper Tracks Users Who Don’t Share Their Location», «Im the CTO of Whisper. This is really bad reporting. A few notes», «Revealed: how Whisper app tracks ‘anonymous’ users», «What Whisper Is All About», «Whisper chief executive answers privacy revelations: ‘We’re not infallible», «Whisper: the facts».

Cómo atraparon en realidad al creador de Silk Road

Relacionado: «El creador de Silk Road es capturado mediante el servicio CAPTCHA» (2014-11-04)

El FBI había informado que Ross Ulbricht, creador del mercado negro en línea Silk Road, fue atrapado mediante los rastros dejados por su utilización del servicio CAPTCHA para evitar ataques contra el sitio web. Sin embargo, Brian Krebs, un periodista de investigación conocido por sus reportajes sobre criminales cibernéticos, afirma que la historia no es convincente:

«El FBI asegura que encontró el servidor de Silk Road tras examinar el tráfico de internet en texto simple que entraba y salía del CAPTCHA de Silk Road, y que visitó la dirección con un navegador normal e ingresó a la página del CAPTCHA. Pero [el científico informático Nicholas] Weaver dice que los registros del tráfico del servidor de Silk Road que también fueron publicados por el Gobierno […] cuentan una historia diferente.

Este aviso del FBI ahora reemplaza el contenido del sitio web de Silk Road

»“Los registros del servidor provistos por el FBI como evidencia demuestran que, no, lo que sucedió es que el FBI no vio ninguna filtración de datos proveniente de esa IP”, dijo. “Lo que sucedió fue que contactaron directamente con esa IP y obtuvieron la página de configuración del phpMyAdmin, [la herramienta para configurar la base de datos del sitio web]” […]

»Esto no satisface la respuesta acerca de cómo los investigadores del FBI identificaron los servidores de Silk Road. Después de todo, si los investigadores del FBI contactaron la página phpMyAdmin directamente, ¿cómo sabían hacerlo en primer lugar?

»“Esa es la pregunta de los 64 000 USD”, dijo Weaver. “Así que el CAPTCHA no podría filtrar esa configuración ni la IP que el Gobierno visitó estaba proveyendo el CAPTCHA, sino que fue una interfaz de phpMyAdmin. Por lo tanto, la historia de un CAPTCHA que filtra datos está llena de agujeros”».

El criptógrafo Bruce Schneier supone que la Agencia de Seguridad Nacional (NSA) le dio al FBI toda esta información, dado que la NSA así lo hace con el FBI y la Administración para el Control de Drogas bajo la condición de mentir en una corte sobre el origen de los datos. William Binney, ex director técnico de la NSA, explica cómo lo hacen: «Cuando no se puede usar los datos, hay que salir y utilizar una construcción paralela, lo que significa que hay que utilizar lo que normalmente se consideraría técnicas de investigación, [y] hallar los datos. Aunque con una pequeña pista: La NSA está indicando dónde se encuentran los datos».

Relacionado: «William Binney explica las operaciones de vigilancia de la NSA» (2014-11-11)

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Encabezado: DOJ, DOS, Ross Ulbricht’s Passport photo
Imagen: FBI, Silk Road

Fuente: «Silk Road Lawyers Poke Holes in FBI’s Story».

William Binney explica las operaciones de vigilancia de la NSA

En una entrevista, William Binney, un exfuncionario de inteligencia de alto rango que fungió de director técnico en la Agencia de Seguridad Nacional de EE. UU. (NSA), explicó lo expuesto en los documentos inicialmente publicados por Edward Snowden.

William Binney, ex director técnico de la NSA

Su resumen del modo en que la NSA opera indica una forma de vigilancia que se realiza a través de las corporaciones estadounidenses, requiriendo cooperación, lo que implica acceso a la fibra óptica de sus telecomunicaciones para registrarlas y para hacer duplicados de la fibra. Como beneficio por su cooperación, la NSA paga a las corporaciones por el acceso a las comunicaciones y por los datos provistos.

También se realiza acuerdos con compañías extranjeras para llevar a cabo relaciones directas entre estas y la NSA, eludiendo por completo la intervención de sus Gobiernos.

Otra forma de vigilancia se hace mediante acuerdos con los Gobiernos para que estos permitan la instalación local de los sistemas de espionaje de la NSA, lo que representa el acceso inmediato a la fibra óptica de esos países.

Puntos en los que la NSA accede a la internet para recolectar información

Finalmente, en relación con la vigilancia de ciudadanos estadounidenses, se ha hecho acuerdos gubernamentales entre Estados Unidos, Canadá, el Reino Unido, Australia y Nueva Zelanda, lo que ha permitido la vigilancia unilateral por EE. UU. de empresas comerciales, de otros Gobiernos y de subagencias de los mismos Gobiernos que componen este grupo (por ejemplo, del Cuartel General de Comunicaciones del Gobierno británico).

Binney asegura que todo esto significa que la NSA es capaz de vigilar todas las telecomunicaciones del mundo encubierta o clandestinamente, y así fue cómo ha creado más de cincuenta mil puntos de acceso para vigilar la internet de todo el planeta. «Esto significa que son dueños de la internet», concluyó Binney.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Encabezado: ioerror, William Binney in the offices of Democracy Now! in New York City, CC BY-SA 2.0
Imagen: NSA, Driver 1: Worldwide SIGINT/Defense Cryptologic Platform

Fuente: «Retired NSA Technical Director Explains Snowden Docs».