08 julio 2015

Otro tiro por la culata



Una historieta antigua
Años atrás por esas cosas de la vida conocí a los tipos de una empresa en Boulder, Colorado, que se dedicaban a la seguridad privada y contraterrorismo. Era muy interesante, una empresa chiquita pero con grandes clientes, querían hacer un negocio por estos remotos lugares. Y cuando fui averiguando más me di cuenta que estaban armados en una increible cadena de mentiras, exageraciones, antecedentes falsos, ofrecimiento de cosas que no podían dar y esa especie de infantilismo que parece típico de la mayoría de la gente que le gusta la "inteligencia".

El negocio al final nunca se concretó pero me quedaron buenos recuerdos y alguna experiencia, además me quedé con una empresa armada acá a nombre de puros palos blancos, al final debe haber sido para mejor que no pasara nada, aunque casi no vi un peso, igual tuve mis delirios de grandeza económica por casi un año.

La PDI "se moderniza"
Hoy leo sobre la compra del software "Galileo" por parte de la Policía de Investigaciones  en casi 3 millones de dólares, estuve chequeando a la empresa Hacking Team y me acordé de Archangel, igualitos, me dio la impresión que son un grupito de tipos medio mitómanos y buenos para autopromoverse que tuvieron una racha de buenas ventas, aunque con lo que les pasó dudo mucho que la racha se mantenga.

¡Hackearon a los hackers!
Resulta que el domingo pasado en la noche, un hacker, que aseguró ser la misma persona que hackeo a FinFisher (competidor de Hacking Team) el año pasado, colocó en su cuenta de  Twitter links a 400 GB de datos internos de Hacking Team.

Así fue como apareció la noticia de la compra del software por la PDI. Entre la información hay código fuente de Galileo y cosas que ni siquiera los clientes de Hacking Team sabían, como por ejemplo que el propio software Galileo tenía una puerta trasera que permite desactivar remotamente el software sin permiso del cliente y -lo que es peor- una watermark que permite robar datos a cualquiera que esté usando Galileo y ahora el método está a disposición de cualquiera.

Como siempre, lo mejor en seguridad informática práctica se encuentra en el sitio de Bruce Schenier que comenta en unas pocas y sarcasticas líneas la situación de extrema gravedad que enfrentan la empresa y sus clientes.

¿Y que era el famoso Galileo?
Por lo que entendí de la propaganda de Hackers Team, Galileo es un software de control remoto, que permite duplicar y grabar la pantalla de otro equipo mientras lo están usando, sin que este lo advierta. Los que alguna vez usaron el VNC en los buenos viejos tiempos sabrán a que me refiero. Parece ser un VNC enchulado de casi 3 millones de dólares.

Años atrás yo instalé el VNC en el equipo del Rapa Nui para ver desde la casa lo que estaban haciendo en el bar, hasta que mi buen amigo Stephen Gutcknecht me advirtió de los riesgos del asunto, entonces dejé de usarlo así como el ftp en modo automático para enviar datos, no eran para nada seguros.

Que ignorantes
Que la PDI haya comprado ese humo muestra la gran ignorancia que hay en temas de seguridad a nivel de organismos del estado. Todo mal, confiar en una empresa que vende código cerrado y dice "confíe en nosotros" en su publicidad, es algo que no haría nadie que tenga conocimiento elemental de seguridad informática. La confianza en esas cosas, desde hace muchos años, dejó de ser asunto de fe y hoy se basa en el código abierto y ampliamente examinado, mientras más examinado más confianza.

La privacidad dejó de existir
Esto también sirve para recordarnos que la privacidad hace tiempo que no existe. El que crea que tiene derecho a la privacidad es un chiflado y el que crea que la PDI o Carabineros solo usan las escuchas telefónicas y la intercepción de computadores "con orden judicial" sufre de una credulidad bien cercana a la estupidez. Resulta que no existe ningún prtotocolo de auditoría en el uso de esos equipos así es que cualquier funcionario aburrido, en cualquier momento puede colocarse a espiar las conversaciones o la actividad de cualquiera de nosotros por Internet.

¿A prueba de encriptación?
Galileo era marketeado como una solución a los que encriptaban sus mensajes porque veía las pantallas en tiempo real, antes que las cosas se encriptaran. Bueno, desde hace muchos años, el uso de encriptación fuerte supone que siempre que uno tenga que escribir un texto plano para encriptar o abrir un archivo encriptado a texto plano, debe desconectarse físicamente de Internet: sacar el cable, apagar la Wifi, etc.

Es como ir al baño, nadie se mete al baño a hacer sus cosas (bien sea para el 1 o el 2) sin cerrar la puerta antes. Del mismo modo cualquier cosa privada que debamos hacer, primero que nada nos desconectamos, eso es elemental.

Solo había que pensar un minuto
Son cosas de sentido común, de pensar un poquito, nada del otro mundo.Hacer un contrato con la empresa Hackers Team fue una gran estupidez, partiendo por que el nombre de la empresa no era para dar confianza a nadie. La seguridad no es para empresas ratonas, no importa el humo que vendan, en esas cosas es fundamental la reputación y el fundamento técnico, son cosas que no pueden ser decididas por gente ignorante o sin experiencia.

Cuidado con Internet
El bottom line de todo esto es que la privacidad no existe, todo lo que hagamos mientras estamos conectados a Internet debemos considerarlo como público, y si vamos a usar encriptación debe usarse bien, desconectando el equipo de Internet mientras tenemos textos planos en pantalla.

A propósito, si alguien de la PDI quiere ver buen porno, que coloque un control remoto en cualquiera de mis computadores. Garantizo que no se van a decepcionar, en eso si que soy un experto.

22 comentarios:

  1. Un comentario muy inquietante en el blog de Schneier:

    J.R. • July 7, 2015 6:04 PM
    "dissatisfied customers with death squads"
    "Live by the sword ..." Fitting.
    The most troubling revelation I've seen is that they have and market a tool that allows fake incriminating evidence to be planted on computers. Not surprising, but troubling indeed. Wonder if any of our alphabet agencies have that?

    Ojo, lo que está diciendo el que hizo este comentario es que Hackers Team tiene y vende una heramienta que permite colocar falsa evidencia de manera remota en otros computadores. Eso, sumado a la completa ignorancia de fiscales, policías y sobre todo jueces, es un asunto escalofriante. Es más fácil plantar evidencia incriminatoria en un computador que cargar a alguien con droga.

    En estos casos los jueces quedan en manos de los peritos y cuando son de la misma policía el asunto puede ser gravísimo. Yo fuí perito por 3 bienios y me consta que en esos juicios es el perito el que sentencia realmente.

    ResponderBorrar
  2. fue muy mala decisión comprar un software de control remoto de código cerrado. Si lo llegaron a usar expusieron a todos sus equipos, es natural que esos programas tengan puertas traseras dejadas por los vendedores ¡y este tenía!

    ResponderBorrar
  3. Tocavía no he sido víctima de ningún hacker. No creo ser merecedor de ningún espionaje, no soy tan interesante. Lo que sí será de temer es todo lo que los Gobiernos hagan para "salvarnos" de los peligros varios en la vida real y en la web, están acumulando legislación y sobre todo medios prácticos suficientes como para mandar todas esas garantías de libertad y privacidad de las constituciones del siglo 19 al museo de los recuerdos.

    ResponderBorrar
  4. Ulschmidt, yo ya tengo una demanda por estafa en mi contra por culpa de un tipo que me suplantó en Internet, no quiero difundir el asunto por acá hasta que enjaulen al delincuente pero creo que esas cosas van a ser cada vez más comunes. La privacidad ya no existe y el peligro de ser acusado con pruebas falsas es cada día mayor, hay que estar atento al lupo.

    ResponderBorrar
  5. El FBI - tambien cliente de HackerTeam - es sospechoso de plantar evidencia en la menos un par de casos que recuerde. Creo que la herramientas existen y muy probablemente se empiecen a ocupar mas y mas para acallar voces molestosa y/o extorsion.

    Ahora, donde estan los titulares en los diarios de Chile al respecto? Donde esta la notica que la NSA intercepta el 90% del trafico latinoamericano de internet? (fuente Wikileaks)

    MV

    ResponderBorrar
  6. Usé VNC durante toda mi carrera de redes y lo encontré impresionante. la facilidad con la cual podias meterte al computador de cualquiera y controlarlo a tu antojo, solo teniendo la dirección IP del computador a invadir (claro que este también debía tener VNC para que surtiera efecto, según el profe). Pero no es la única herramienta. Windows en su edicion XP, tenía una opcion llamada "escritorio remoto" mediante el cual se podia acceder a otro PC usando la dirección IP del equipo. ¿cual era el propósito? que la gente de Microsoft pudiera reparar tu pc a distancia, ahorrandote problemas. la desconfianza hizo que este gadget quedara fuera en las versiones posteriores.

    Pero resulta que para que un hackeo tenga éxito, el "blanco" debe tener una ip fija, siendo que las IP actualmente son dinámicas si es que se usa todavía el DHCP y la mayoría de los computadores que nos conectamos a internet desde nuestras casas no tenemos una IP fija y gracias al protocolo IPv6, la única forma de "hackear" sería accediendo a la MAC Address de la tarjeta de red del equipo y eso toma tiempo.

    Pero la mayoría de los hackeos pasa por algo que no se controla via software o hardware. es la llamada "ingenieria social". ¿a que me refiero? por ejemplo las "sometidas" o "macabeos" que entregan sus contraseñas a sus parejas, por un asunto de "confianza" que cuando se quebra, queda la mansaca. lo otro es la "excesiva y naif" confianza de algunos usuarios cuando dejamos nuestros archivos en calidad de "publicos".

    ResponderBorrar
  7. Miguel, tienes razón, claro que al FBI le "hicieron precio", en lugar de gastar 2.8 millones gastaron solo 770 mil dólares, la mayor parte en actualizaciones y licencias. Me imagino que lo deben haber comprado para ver de que se trata y hacerle un poco de ingeniería reversa, no tiene mucho sentido que lo compraran para usarlo porque presumiblemente tienen software mucho mejor y a la medida. La posibilidad de meter evidencias es muy preocupante, esto porque los jueces no tienen capacidad para entenderque clase de "pruebas" les están presentando y quedan sujetos a lo que les diga el perito, es delicadísimo.

    José, ah el viejo VNC, es impresionante ver el computador de otra persona en nuestra pantalla con todo lo que está haciendo, Galileo es la misma cosa. Creo que el Remote Desktop todavía existe, al menos en Windows 7. El problema con las IP dinamicas existe en el VNC pero se puede saltar usando un servicio como no-IP, claro que habría que instalar IIS, un servidor Apache y toda la tontera para que resuelva con no-IP, enredado pero se puede.

    En todo caso al usar VNC no sería muy difícil de detentar para el que está siendo espiado (cuestión que revise los procesos en segundo plano) supongo que esa es la ventaja del Galileo, que debe trabajar más escondido. El uso de archivos compartidos tal como dices es otra fuente para el zapping informático, especialmente para los que usamos Wifi. En fin, está tan lleno de posibilidades que ni vale la pena preocuparse por eso, para que hablar de los servicios de nube, mi Google Disk un tiempo estuvo lleno de información que alguien había colocado sin que yo supiera, me di cuenta como al año después.

    Lo único medianamente seguro es tener un volumen encriptado y desconectar Internet mientras se usa, eso es lo que hago yo con lo poco que me interesa mantener confidencial: Truecrypt+no-Internet

    ResponderBorrar
  8. Por supuesto que para uno que no esta metido en nada raro, es posible mantener un nivel de seguridad adecuado si uno sabe lo que hace.

    El problema es que con todas estas agencias que no tienen ningun control, cualquiera que este trabajando en algo mas delicado no tiene de verdad posibilidad de proteccion. Es cosa de ver los leaks de las NSA/TAO o de sus ataques contra PGP https://medium.com/@nweaver/extra-unofficial-xkeyscore-guide-b8513600ad24.

    Incluso la CIA se dio el lujo de espiar en los senadores gringos que los estaban investigando. En otra epoca habria sido un gran escandalo y ahora? Imaginate que queda para el resto

    MV


    ResponderBorrar
  9. Por supuesto que Galileo es más que un escritorio remoto. La gracia de este tipo de programas es que se pueden instalar en un computador remoto sin que la víctima se de cuenta: a través de malware, de exploits día cero, sistemas operativos o browsers sin actualizar, etc., y además funcionan sin ponerse en evidencia (usualmente funcionan en modo kernel, como los drivers).

    El valor no es excesivo (es un organismo de estado pues) ni fue una mala decisión para la PDI desde el punto de vista práctico. Para mí el problema no es técnico, sino ético.

    Por supuesto, todos somos generales después de la guerra. Hacking Team es famoso, y no muchos se imaginaron que fuesen víctimas. Es como lo que pasó recientemente con Kaspersky (también los tenían hackeados y no se dieron cuenta como por un año).


    ResponderBorrar
  10. Mmmmm... A veces se me ocurre que quizas estamos viviendo la Tercera Guerra Mundial pero en vez de batallas frontales se esta peliando en los computadores. Hace poco salio la noticia que una bateria antiaerea en Turquia ejecuto comandos remotos no autorizados.

    MV

    ResponderBorrar
  11. Miguel, yo creo que existiendo la posibilidad técnica ningún gobierno del mundo dejará de espiar y tratar de perjudicar a los que considere sus enemigos, creo que es muy ingenuo hacer cuestión moral de esto como dice Leus, las razones de estado están muy por encima de la moral, la ética y todo eso. Puede que no nos guste pero es la realidad.

    Yo pienso que es un problema que se va a solucionar solo y ocurre solo por falta de educación: la gente común cree que puede existir alguna clase de privacidad en Internet, sabemos que eso es imposible, todo lo que sale a la web es público y persistente seguramente por siglos. En unos 50 años más cuando los algoritmos de encriptación fuerte de hoy ya no sean seguros, miles de archivos encriptados con PGP, Truecrypt o cualquiera por el estilo empezarán a ser abiertos y como son persistentes en Internet... tiempo atrás leí que varios gobiernos cosechan todos los documentos encriptados que pueden en la web, esperando el día que el RSA, AES y todo eso puedan ser rotos, cosa que va a ocurrir en algún minuto.

    Leus, como tu sabes hay miles de programas que se instalan "sin que la víctima se de cuenta: a través de malware, de exploits día cero, sistemas operativos o browsers sin actualizar, etc., y además funcionan sin ponerse en evidencia".. etc. Esos aparecen todos los días y no son magia negra ni nada de eso, está lleno de chiquillos gordos, sin vida y comedores de papas fritas dedicados a hacer esas cosas (es lo que tiene desprestigiada la palabra "hacker"). Incluso la seguridad de las USB está en duda por razones parecidas.

    Lo que me extraña araña es que en el año 2015, gente que se supone que entiende de seguridad como los que decidieron esta compra TODAVÍA confíen en comprar software de código cerrado, cuya seguridad está basada en un secreto que solo conoce el proveedor. Creo que a estas alturas es un error infantil, no es ser "generales después de la batalla" sino que desde hace UN PAR DE DÉCADAS se sabe que lo único medianamente seguro es usar código abierto, público y que esté expuesto al ataque de cualquiera como el RSA y similares.

    Ni siquiera el gobierno de USA, ocupa algoritmos desconocidos, propietarios y desarrollados solo por ellos en sus comunicaciones, ellos son los primeros en usar y promover estándares de seguriodad públicamente conocidos, ese es un principio básico.

    Me parece que Hacking Team aparte de ser "famoso" no es una empresa seria ni ofrecía ninguna garantía, esa propaganda "confie en nosotros" ya era para desconfiar, yo creo que se cayeron gastando (botando) esos casi 3 millonede dólares, por último hubiesen desarrollado un código aca mismo en Chile, si van a usar código cerrado y secreto por lo menos que tengan a quien apretarle el cogote cuando llegue la oportunidad.

    ResponderBorrar
  12. El problema es creer que esto es solo de los gobiernos. Mira el ejemplo del espionaje de la CIA a los senadores gringos (incluyendo a la poderosisima Dianne Feinstein) y que paso? Apenas un "I'm sorry, never again", piensa que hubiera pasado antes. Recuerdas a Nixon?

    Estas agencias estan descontroladas, llenas de delincuentes y no responden a nadie. No solo espian a "enemigos del estado" si no a agentes economicos, activistas politicos de toda clase sean de los extremos o no asi como a gente comun y corriente.

    Quizas soy pesimista pero me parece que las herramientas para un regimen fascista estan mas a la mano que nunca.

    MV

    ResponderBorrar
  13. Sin duda, incluso a nivel local, la PDI y Carabineros tienen sistemas de escucha de conversaciones telefónicas que supuestamente son usadas "solo con orden judicial", pero resulta que no existe ningun protocolo si manera de auditar como se usan esos equipos, cualquier funcionario con acceso puede encenderlo y escuchar las conversaciones de su mujer por si le está poniendo los cuernos o lo que sea, existiendo la posibilidad tecnológica los equipos serán siempre usados y mushas veces para mal. La gente que trabaja en policía encubierta u ottas actividades macucas tienen todos los incentivos para corromperse y usar esas cosas en su beneficio, además el tipo de gente que entra a esas cosas muchas veces son delincuentes en potencia por el perfil de personas que se reclutan, no hay nada que hacer con eso.

    Yo creo que la única solución a eso es la educación, las cosas pasan porque la gente no se ha adaptado a eso todavía, los jueces reciben a ojos cerrados "pruebas" que pueden ser completamente falsas porque son ignorantes. La gente habla cosas por teléfono convencidos que nadie más puede escucharlos, etc. Cada uno tiene que cuidarse cuando usa estas cosas.

    ResponderBorrar
  14. Yo no pierdo la esperanza que Sasha Grey sea una experta en seguridad informática, que tenga acceso a.mi computador, y que venga personalmente (mejor si es con refuerzos) a pedirme explicaciones por las fotos y videos educativos que tengo de ella

    ResponderBorrar
  15. Ah, ojalá me revisara a mi también. Y no solo mi PC... una revisión exhaustiva por ejemplo

    ResponderBorrar
  16. Este comentario ha sido eliminado por el autor.

    ResponderBorrar
  17. Lo más probable, mucha tele.

    Aunque OJO, anteayer yo fui a declarar a la PDI y mientras esperaba llegaron dos personas a poner denuncia por delitos en Facebook, dos meses atrás puse una denuncia en fiscalía y habían varios poniendo denuncias sobre lo mismo. Hasta donde escuché -al vuelo- la mayoría no tenían fundamento, pero creo que viene una explosión de denuncias por esas cosas.

    ResponderBorrar
  18. yo creo que todo esto en realidad solo se puede ver en las series del tipo CSI, las ultimas Cyber y Scorpion, así como Criminal Minds (de paso me encanta la que hace el papel de Penelope, la Hacker de Criminal Minds, a pesar de ser rellenita es linda) y creo que con esa pomada vendieron el Galileo a la PDI, de mas que seguro.

    Remote Desktop está en Windows 7 y Windows 8, pero dichas aplicaciones casi nadie las pesca...

    ResponderBorrar
  19. Yo usé Remote Desktop en Windows XP, debe haber sido el 2006 cuando "simulaba trabajar" para IPCoast, me conectaba con servidores Linux en varios lugares de USA con host en Hurricane Electric, era una delicia la rapidez de los servidores en San José y Freemont. Algunos recuerdos de esos tiempos los coloqué en un blog abandonado hace años http://unixblues.blogspot.com

    Tiempos aquellos, Steven tuvo mucha paciencia conmigo, hasta que casi la perdió jaja!

    ResponderBorrar
  20. Sería de interés nos pudiera informar cómo detectar la presencia del malware y cómo eliminarlo.

    ResponderBorrar
  21. Hasta donde yo se, todavía no hay como detectar el virus Bad Usb, porque está escrito en el driver del USB y se graba en el firmware del equipo infectado, en la EPROM-Flash supongo, o sea ni formateando, ni cambiando el disco duro se puede eliminar porque el virus queda alojado en la tarjeta madre.

    Todo dispositivo USB (memoria, teclado o lo que sea) tiene un pequeño chip incorporado, que permite conectar al dispositivo con el equipo. Muchos de estos chip pueden ser reprogramados (para actualizar los drivers por ejemplo) y en esta reprogramación es cuando se les inyecta el virus.

    Al conectar el USB el código del chip se traspasa al chip que está en la trajeta madre de nuestro equipo y chao.

    Se me ocurre que lo único que se podría hacer en este caso, mientras no aparezca una forma de arreglar el problema, es que si tenemos equipos conectados a Internet que requieran ser seguros, se les desconecten todos los puertos USB y se les carguen archivos por otra vía, por ejemplo por el cable de red. Si necesitamos cargar un archivo desde USB, me imagino que se podrían pasar a un equipo que nunca tenga conexión a Internet y traspasar luego estos archivos con una cable de modem nulo o algo parecido.

    Es lo único que se me ocurre hasta el momento, como no es muy práctico, creo que lo mejor es asumir que siempre que nuestro equipo esté conectado a la red puede estar bajo control remoto, así es que no se debería tener ninguna información sensible fuera de un disco encriptado con Truecrypt, y ese disco solo se debería abrir, modificar y cerrar con el equipo desconectado de la red. Es al menos lo que hago con mis porno-archivos :D

    ResponderBorrar

"Send me a postcard, drop me a line
Stating point of view
Indicate precisely what you mean to say
Yours sincerely, wasting away
Give me your answer, fill in a form
Mine for evermore
Will you still need me, will you still feed me
When I'm sixty-four"