Tomas Bradanovic

NULLA DIES SINE LINEA. Filosofía barata, historias, historietas, mecánica, moralejas, chamullos, relatos absurdos, la vida de un vago, cosas de Arica, literatura, música, pornografía, política, física, cocina regional, minas, copete y cosas por el estilo. The awesome, absurd and often bored adventures of our Man of Mistery in Arica, from the trenches, in the Northern Front. Sacar a mil, sacar a mil. Streams of brilliance often springs from boredom. Atendido por su propio dueño, dentre nomás.

Lo mismo puede pasar en Chile

domingo, 17 de junio de 2012

Yo pensaba que en Arica pasaban las cosas más raras del mundo, pero me equivocaba, Argentina nos gana. Hace tiempo que quería escribir sobre los Leakymails, miles de correos electrónicos, fotos y documentos que comprometen a las más altas autoridades argentinas, desde el secretario personal de la presidencia para abajo, a jueces y por supuesto a los altos cargos de la Secretaría de Inteligencia (ex SIDE).

Es increíble la cantidad y la variedad de temas: los mail entre una hermosa jueza -casada- y su amante; los negocios de Antonio Stiuso, el super espía argentino, Director General de Operaciones de la SI y su socio Horacio García, relacionados con servicios sexuales pagados: los mail ente ellos y sus "trabajadoras", en fin, debe ser un festín en estos momentos para la prensa argentina.

Lo que más me llamó la atención fueron los mail referentes a la extradición de Galvarino Apablaza, muchos mensajes diplomáticos conversando de temas muy delicados sin usar encripción. Y no solo del lado argentino sino también del chileno. Altas autoridades y gente de inteligencia usando correos gmail ¿nadie les habrá dicho que no existe nada más inseguro que eso? Bueno, ahora lo saben, lo aprendieron de mala manera. Los invito a que le den un vistazo, las fichas de inteligencia y policiales son imperdibles.

Dicen que los consiguieron por una falla de seguridad de los Blackberry, que habría un "maletin" capaz de interceptarlos, tal vez usando Bluetooth, lo dudo, yo creo que simplemente entraron a los servidores. Todos los mail que alguna vez se han enviado por Yahoo, Google, Hotmail y similares están almacenados, indexados y son fácilmente accesibles para las personas con los contactos adecuados.

Bueno, esto pasó en Argentina pero es cuestión de tiempo que se convierta en una moda y empiece a pasar en todo el mundo. Existen millones de millones de mails enviados y recibidos desde las más altas autoridades hasta por cualquiera de nosotros, con la despreocupación de creer que eran tan confidenciales como una carta.

No es así, cada mensaje, conversación de chat o archivo que hayamos enviado o recibido en nuestra vida está bien guardado e indexado en servidores y estará así por muchos años más, tal vez siglos, esperando que alguien los resucite y los difunda. No es un asunto de hackers ni criptografía recuperarlos, porque están en texto claro, basta con tener acceso a los servidores.

Claro que todo eso se solucionaría si nos acostumbraramos a usar comunicaciones bien encriptadas, pero vaya uno a convencer a los flojos.

Etiquetas:

24 Comments:

Anonymous Sigfridus said...

Maldición...los mail con mis diversas amantes los envié sin encriptar!!!...casa de herrero...

16 de junio de 2012, 22:34

 
Blogger Tomas Bradanovic said...

A los muchachos de la muni los metieron a la jaula por hablar por celular. Por algo yo no tengo celular, no hago ni recibo llamadas telefónicas y por mail mando puras recetas de cocina como dijo una amiga de twitter :D

16 de junio de 2012, 22:38

 
Anonymous Sigfridus said...

Nunca le dijeron a los muchachos de la muni sobre los teléfonos con encriptación???

16 de junio de 2012, 22:44

 
Blogger Tomas Bradanovic said...

Todas las llamadas de celulares son encriptadas (GSM) pero ese tipo de encriptación tal como los DVD, las consolas, satelitales, etc. es muy facil de quebrar por estar incluída en un hardware

16 de junio de 2012, 22:48

 
Blogger Tomas Bradanovic said...

Años atrás PGP tenía un sistema de encriptación para comunicaciones de voz punto a punto, pero era complicado de usar y se descontinuó. La policía y otros organismos (incluso privados) pueden escuchar -y de hecho escuchan- lo que se les antoje, con o sin orden judicial porque tienen los equipos para hacerlo

16 de junio de 2012, 22:50

 
Anonymous Sigfridus said...

Precisamente a eso me refiero, las comunicaciones GSM igual pueden ser pinchadas en las celdas, conozco a un gallo que vende de estos aparatitos con encriptación.

16 de junio de 2012, 23:01

 
Blogger Tomas Bradanovic said...

Eso es algo que aprendí/entendí recién en el curso de criptología, todos esos esquemas de encriptación en hardware en ralidad no se desencriptan, sino que es mucho más sencillo, le haces ing reversa al hardware ¡es como si tuvieran "la clave cableada"!

16 de junio de 2012, 23:14

 
Anonymous Sigfridus said...

Al final es lo mismo que descompilar un programa, muchos de estos gallos dejan la seguridad "en duro" pensando que los crackers no pueden hacer ingeniería reversa, y si se usa criptografía simétrica, está rota inmediatamente la seguridad.

16 de junio de 2012, 23:23

 
Blogger Tomas Bradanovic said...

Claro, es infinitamente más sencillo romper un aparato físico que un algoritmo, para ingeniería reversa no hay que saber casi nada de encriptación. Todo sistema comercial de "uno a muchos" (teléfonos, satelites, DVD, juegos) debe ser simétrico ¡hasta el PGP usa encriptación simétrica internamente, la clave pública se usa solo para intercambiar las claves!

16 de junio de 2012, 23:41

 
Blogger Ulschmidt said...

Ni sabia de estos temas. Acá ningún periodista lo usó, o yo veo pocos noticieros.
¿no hay fotos de la hermosa jueza?
NO se porqué apañan a Apablaza aquí, segurmanente porque se congració con el círculo presidencial. Y con los comuneros incendiarios mi tesis es que los tratan un-poco-mejor acá para que usen Neuquén de refugio y no extiendan fechorías mayores allí. Como hacían los franceses con los vascos etarras.
Aparte de comprarle una cifradora a las embajadas supongo que lo que no puede certificarse acá es el real orígen y real destino de los mensajes. Acá no hay firmas, huellas digitales, nada. Sólo el el sistema oficial de correo puede relacionar los mensajes con direcciones eletrónicas, pero ellos no pueden espiar !!! Y el que espía no puede certificar porque robó los datos. Seguro que la jueza se valdrá de eso...

17 de junio de 2012, 08:13

 
Blogger Tomas Bradanovic said...

Ulshmidt, una foto de la jueza en http://www.leakymails.com/2012/05/sandra-elizabeth-arroyo-salgado-la.html

Lo de Apablaza parece que es solo un asunto personal, su conviviente es secretaria de prensa y muy cercana a la presidenta.

Para cifrar mensajes ni necesitan máquinas ni nada, solamente agregar algunos plug-in a sus correos y darse el trabajo de intercambiar las claves, claro que por flojera eso nadie lo hace.

Claro que los contenidos de los mensajes pueden haber sido alterados, pero es igual que con las intercepciones telefonicas: uno las cree o no por el contexto. Los aludidos rara vez las desmienten, solo tratan de impedir que se difundan y controlar los daños.

En Argentina ya sacaron una ley prohibiendo la difusión de esos sitios, seguramente por eso la prensa se cuida mucho de no comentar sobre ellos. Igual se van a difundir por boca a boca

17 de junio de 2012, 10:37

 
Anonymous Anónimo said...

claro, además, necesitarían sinnúmero de claves !
- Para el trabajo
- para los colegas del trabajo conque uno defenestra o complota contra otros colegas del trabajo
- para los amantes , etc...

17 de junio de 2012, 11:46

 
Blogger Tomas Bradanovic said...

Anónimo, no, solo necesitas un par de claves (una pública-una pprivada) que te sirven para todo.

Ah y no hay que confundir las claves con el password o párrafo secreto, son dos cosas distintas, el password solo se usa para entrar a generar las claves.

Yo por ejemplo uso dos password, no diré porqué solo que uno es mucho más seguro que el otro ;) Bue, ya di demasiada información por hoy

17 de junio de 2012, 11:52

 
Blogger Un Oso Rojo said...

A veces ni siquiera es necesario acceso a los servidores. Acá en Perú el periodista Rudy Palma averiguó que en ciertos ministerios a los funcionarios les asignaban correos .gob.pe con el mismo nombre de usuario como password por defecto con la "sugerencia" de que lo cambiaran de inmediato. Muchos no lo hacían, incluidos algunos ministros cuyos correos servian a este periodista como fuente de primicias. El problema fue que por un chantaje que uno de esos ministros empezó a recibir (no de Rudy Pama, sino de un tercero no identificado), los técnicos rastrearon los accesos a la cuenta del ministro y descubrieron el IP de la computadora del periodista, quien ahora enfrenta un juicio.

17 de junio de 2012, 12:21

 
Blogger Tomas Bradanovic said...

ah, es que poner el mismo usuario y password jajaja. Si, se da el caso de passwords muy simples y cosas así. En este caso de los mail argentinos todos son de Google, Yahoo y Hotmail, no creo que tanta gente, especialmente de gobierno e inteligencia haya usado password débiles, tal vez alguien bien contactado simplemente sacó los mail que están guardados en los servidores para siempre.

17 de junio de 2012, 12:35

 
Blogger Ulschmidt said...

Yahoo, por ejemplo, te daba su propo password, generado no se cómo. Por lo menos era así hace años.

17 de junio de 2012, 14:56

 
Blogger Tomas Bradanovic said...

Lo de los password no pertenecen propiamente a la encriptación, hay una confusión común entre el password y la clave. El password es principalmente un medio de identificación, para asegurar que soy yo y tener acceso a ciertas tareas y su único requisito es que sea difícil que otra persona lo deduzca. Por ejemplo malos passwords son 12345, acuario1959, etc.

un buen password debe ser largo (lo más largo posible) y mientras más aleatorio es más seguro, los password de administrador de servidores son normalmente 4 o 5 grupos de 4 letras al azar cada uno, algo así como ETRS-F52C-DTP8-FAFA-SDRT y el administrador los anota en un papelito que lleva en su billetera, además lo cambia todas las semanas.

Los password que sugería Yahoo probablemente eran secuencias al azar, eso debe haber sido hace años porque ahora el password lo coloca uno.

Para seguridad normal, basta que usemos cualquier texto largo que conozcamos de memoria, por ejemplo:
"Muchachoslacontiendaesdesigualperoanimoyvalorladransanchoseñaldeque avanzamos" No es de gran seguridad ante un ataque de diccionario pero es suficiente para el uso común.

17 de junio de 2012, 15:14

 
Blogger Tomas Bradanovic said...

Otra curiosidad es como se ocultan normalmente las contraseñas en los discos o servidores. En servidores Unix se toman las primeras 8 cifras del password y se encriptan varias veces con el algoritmo DES que es irreversible, el resultado de esta encriptación se guarda en /etc/passwd en un archivo que guarda todas estas claves encriptadas

Si uno baja ese archivo a su equipo, le puede hacer un ataque de diccionario offline con miles o millones de combinaciones que supone que podrían ser el password, cada una de esas combinaciones se pasan por el mismo proceso de encriptación DES y se comparan con las claves encriptadas que estan en el archivo, si se encuentran dos resultados iguales entonces ese es el password.

Es un método bien simple y hay muchos programas que lo hacen PERO el atacante tiene que tener de antemano el password entre sus miles de suposiciones, exactamente igual, si no lo tiene está frito.

17 de junio de 2012, 15:32

 
Blogger Tomas Bradanovic said...

En el ejemplo de password largo que yo di por ejemplo, tendría que tener entre su lista de intentos "Muchachoslacontiendaesdesigualperoanimoyvalorladransanchoseñaldeque avanzamos" idéntico, incluyendo el espacio antes de la palabra avanzamos que le incrementa mucho la seguridad

17 de junio de 2012, 15:35

 
Anonymous Wilson said...

Sabrosisimo el nivel de sapeo.
Esperemos que la moda cunda en chilito.
¿Los archivos con clave de acceso, la guardan en algun lugar predeterminado del archivo o en sitios variables?

17 de junio de 2012, 16:19

 
Anonymous Anónimo said...

En chilito al parecer ya ocurrio. Se trata de una intervencion a los mails del senador Horvath, supuestamente por Anonymous. Habria hecho pasar por asesorias legales un dinero que en realidad fue para pagar su defensa personl en un caso. Bueno, estos muchachines declararon que tienen 4 similares denuncias listas para sacarlas a la luz. Que tal?
ivanr

17 de junio de 2012, 18:12

 
Blogger Tomas Bradanovic said...

Wilson, normalmente los archivos se guardan en cualquier carpeta que se haya definido para eso. En el caso de los email los servidores tiene carpetas ad-hoc, lo que pasa es que si tienes acceso al password puedes usar la cuenta con todos los privilegios de usuario, partiendo por el de cambiar el password si se te antoja ;)

Anónimo, habría que ver cuanto hay de cierto, como no se puede probar nada igual podría ser mail verdaderos como falsos, habría que verlos y hacerse una idea si son confiables en el contexto. El 99% de los que se ponen "anonimous" son unos pendejos que no saben donde están parados, trolls o macucos haciendo alguna clase de op sicologica

17 de junio de 2012, 19:14

 
Blogger Ulschmidt said...

Todavia estoy mareado por su clase magistral de llaves públicas y privadas. NO podría usarse eso para mayor seguridad de las comunicaciones?
Y lo más interesante: No podría alguien jugar el papel de intermediario seguroa, administrando las claves privadas y públicas de de emisor y receptor? Tanto como para simplificarles la vida.

17 de junio de 2012, 20:29

 
Blogger Tomas Bradanovic said...

Ulschmidt, me temo que esa no fue una de mis explicaciones más claras, un día de estos intentaré dar una mejor.

En todo caso en este link http://bradanovic.cl/tareapgp/tareapgp.html coloqué un procedimiento paso a paso para tenr un correo seguro, con encriptado automático, que usa gmail solo coo pasarela y guarda todos los mensajes en el disco duro usando el viejo, seguro y olvidado POP3.

Claro que todavía usa a gmail pero lo hice así pensando en que la mayoría tenemos nuestra cuenta en gmail y sería un problema cambiarla. Pero le podemos activar la opción "borrar los correos del servidor después de decargar" lo que dejaría el sistema bastante seguro.

A menos que uncle Sam entre en sospechas y mande a la compañía de las tres letras a que les den una copia de los mail que pasan por el servidor. Pero como no creo que nuestros pobres asuntos interesen a las altas esferas, creo que la seguridad de ese sistema es bastante buena. Yo lo uso desde hace tiempo sin problemas.

17 de junio de 2012, 20:54

 

Publicar un comentario

<< Home