08 agosto 2015

Una caja segura


El otro día fui a declarar a la Policía de Investigaciones y resultó que andaba con varios archivos en un pendrive USB, pregunté si querían traspasarlos y me dijeron OK. Pensaba en la cantidad de malware que puede pasar solo colocando un USB, sin mencionar el Bad USB que hasta el momento -entre nosotros al menos- es indetectable e irreparable. Para colmo el código de Bad USB es público en Github, basta con que alguien sepa compilarlo y lo flashee en un pendrive y listo.

Me puse a buscar sobre las vulnerabilidades y encontré el interesante Blog Un Informático en el Lado del Mal de Chema Alonso, donde encontré todos los manuales de usuario de Hackers Team, un material muy interesante para los que nos gusta el tema. Es increíble la cantidad de posibilidades para ingresar malware a los sistemas, como en los noventas trabajé en tribunales y puse un sistema en la cárcel de Acha siempre he estado pensando como impedir las intrusiones y por estos días volví a darle vueltas al asunto.

Supongamos que soy un espía y trabajo mandando informes secretos a un país extranjero. El problema es que esos informes los tengo que escribir y mandar sin que nadie se entere para que no me metan en la jaula o me fusilen. Entonces lo primero que tengo que hacer es un inventario de que considero seguro y que no. Suponiendo que los que me podrían pillar tienen muchos medios mi inventario sería más o menos este:

Seguro: software de encripción robusta que incluya AES, GPG en modo consola, Truecrypt. Me imagino que todo eso es lo suficientemente seguro como para que un gobierno no lo pueda interceptar .

Inseguro: uso de pendrives USB, uso de aplicaciones sin licencia o de proveedores poco conocidos. Sobre todo Internet, mientras el computador esté conectado lo supongo siempre inseguro y es posible que sea interceptado/visto todo lo que hago en el computador mientras estoy conectado a Internet.

¿Como haría para construir una caja segura que me permita espiar tranquilo? Lo primero sería comprar un notebook nuevo, en cualquier tienda, le cortaría el cable que enciende la Wifi o inhabilitaría todas las opciones de red, para que ni por accidente pueda conectarse. En ese equipo haría mi trabajo. Como no confío nada en los pendrives usaría con un quemador de CD-ROMS para pasar los archivos de una máquina a otra.

Los informes los escribiría de preferenciaen el Notepad o -si tengo que incluir graficos- un procesador de textos ultraligero como AbiWords. El notebook usado para escribir lo encriptaría completo con TrueCrypt, lo ideal sería no dejar copias pero podría dejarlas encriptadas con GPG o algún programa reputado que use AES.

Necesitaría un segundo computador conectado a Internet, que solo serviría para enviar los archivos, pueden ser en GPG, escondidos dentro de imágenes o como sea. Este computador puede ser completamente inseguro y lo podría usar para ver porno, escribir en mi Templo del Ocio o lo que se me antoje. Los textos los escribo en el equipo desconectado, los encripto, elimino el texto claro y lo quemo en un CD, también podría esconderlo dentro de una imagen jpg usando cualquier aplicación de esteganografía.

Ese CD lo llevo al equipo conectado y copio mi archivo encriptado/escondido. Ese archivo lo mando por cualquier cuenta de email que tenga para esos efectos. Creo que con eso dormiría tranquilo.

Conclusión
Todo esto puede parecer una pequeña chifladura. Yo no soy espía no tengo gran cosa que ocultar ni gobierno alguno se interesa en lo que hago. Pero de todo esto se puede sacar algunas cosas interesantes.

Primero que nada hay que reconocer dos usos separados: el uso en línea o fuera de línea. Me imagino que una buena seguridad se puede lograr separando ambos usos. Por ejemplo los computadores de escritorio en tribunales, policía o cárcel no deberían tener ninguna posibilidad de conectarse a Internet ni a conexión de red LAN. Los traspaso de archivos se deberían hacer físicamente por un medio seguro como el CD por ejemplo.

Para chatear y usar Internet que usen sus teléfonos, no los equipos de escritorio. En fin, es una forma que se me ocurre para enfrentar una tremenda brecha. No confiaría en cortafuegos vpn ni nada de eso. Desconexión física y punto, es lo mejor que se me ocurre ¿Cuan necesario es que los equipos de oficina estén conectados a Internet? Ahora que casi todos tienen teléfono para conectarse me parece que es un riesgo inútil. Ideas locas que se me ocurren cuando se me termina el trago.

9 comentarios:

  1. Creo que al agente 007 le gustaría leer esto. Lo de ocultar información en una imagen sí que suena de película y es verdad lo contagioso que pueden ser los pendrives, yo mismo he tenido que pasar antivirus a algunos o incluso formatear cuando estaba en el colegio y prestaba mi pendrive.

    ResponderBorrar
  2. Si te entiendo:todo lo confidencial se procesa en equipos aislados y se encripta. Una ves hecho eso se trasmite por cualquier medio, que son necesariamente inseguros al estar conectados. Parece lento pero robusto.
    ¿O entendi todo mal?

    ResponderBorrar
  3. FRX, la estebanobrafia (pviñtar arvhivos en un jpg es re vueja, hay ene prohtamas para eso. no es segura pero sirve para no llamar la atención mandando GPG

    Wilson, exactamente eso. Si yo uso un solo computador para encriptar y mandar. podría tener un agente de control remoto metido y veróan el texto claro mientras lo escribo. Si desconecto el computador mientras escribo el agente que está instalado podría guardar y enviar después. Eso se soluciona con dos equipos: uno para trabajar y encriptar, el otro para enviar

    ResponderBorrar
  4. Interesante, ahora me pregunto si las fotos que he guardado de internet tendrán mensajes ocultos, hasta podría inventar una creepypasta al respecto aprovechando que están de moda XD.

    ResponderBorrar
  5. Nahhh....la tecnologia para espiar computadores aunque esten desconectados ya debe estar desarrollada y en uso...lo unico que necesitas es una MAC adress de un PC y listo...la tecnologia inalambrica para poder comunicarse con dicha MAC adress tb debe estar desarrollada (los gobiernos cabrones como USA, CHINA, RUSIA tienen las tecnologias mas impensadas)...la unica forma que veo que un PC pueda ser seguro es que este apagado....incluso mas....hasta por la alimentacion de corriente te podrian rastrearte (tecnologia PLC) asi que lo unico seguro es que te van a poner los cuernos...eso es todo.

    ResponderBorrar
  6. Bueno, no me parece muy realista lo que dices pero bastaría tener un PC desktop antiguo sin tarjeta de red integrada ni instalada, si tiene tarjeta de red integrada la podría desconectar desde la BIOS http://www.cnet.com/forums/discussions/how-to-disable-onboard-nic-22065/ etc.

    Y si una camioneta van negra se estaciona frente a mi casa apuntando antenas extrañas para captar la radiación electromagnetica... bueno, no es para tanto supongo

    La seguridad jamás es absoluta, basta con que sea razonable.

    ResponderBorrar
  7. El punto de todo esto es que muchos equipos permanecen conectados a Internet innecesariamente, solo por comodidad, en un entorno de seguridad alta simplemente no deberían estar conectados en red y todo se debería manejar encriptado on the fly, no se hace así solo por comodidad pero sería perfectamente posible. Ah y ni un celular con baterías adentro, esa parte yo la manejo porque hace años que no tengo celular. Tal vez sea un poco paranoico pero siempre me ha incomodado mucho el teléfono celular, sus beneficios para mi son mucho menos que sus problemas.

    ResponderBorrar
  8. Siempre queda la necesidad de tener información de la web a la mano, por ejemplo, en caso de necesitarse la Wikipedia o sitios similares no seria mala idea instalar una copia de Kiwix en el PC sin conexión e ir copiando la Wiki (o proyectos anexos como Wikinews o Wikisource) desde el mismo sitio del programa (son como 14 GB de la version completa con imagenes en español) usando un medio como un DVD prograbado o un pendrive. Si hace falta un programa, no estaría de mas bajar la recopilacion de CDLibre.org y si quisiera leer un blog (como este ;) , HTTrack instalado en el PC con conexión y descargando las páginas desde otro lugar. Para navegar se podria usar solo Firefox o bien reemplazar Google Chrome con su versión original libre Chromium. Con eso se podria navegar reduciendo al máximo el temor a ser rastreado además de preservar ancho de banda.

    ResponderBorrar
  9. Buenas ideas todas, aunque yo sigo prefiriendo que todas mis cosas privadas jamás lleguen a estar en un equipo que se conecte a la web, ni siquiera a una red de área local. Una caja segura para mi es un equipo encriptado con TrueCrypt que solo emite archivos encriptados con GPG4Win y quemados en CD. Con eso creo que podría dormir más o menos tranquilo, aunque nunca se sabe.

    Excelente la recopilación de CDLibre.org, no la conocía, buenas las sugerencias de Kiwix, HTTRack. Yo hace rato me cambié a Firefox, al principio me irritaba porque "se caía" pero esto es precisamente por su seguridad:no soorta Flash y otros productos inseguros, es muy bueno. Todas esas las pondría en mi otro equipo conectado y el cliente de correo Paws Mail usando algún servidor de POP3 gratis

    ResponderBorrar

"Send me a postcard, drop me a line
Stating point of view
Indicate precisely what you mean to say
Yours sincerely, wasting away
Give me your answer, fill in a form
Mine for evermore
Will you still need me, will you still feed me
When I'm sixty-four"