Vulnerabilidades, amenazas y ataques
Internet es, por definición, un medio inseguro, ningún equipo que esté conectado a Internet en cualquiera de sus servicios (email, www, ftp, etc.) puede considerarse "seguro", es decir libre de vulnerabilidades, amenazas y eventualmente de ataques. Esto no quiere decir que todo lo que hagamos en nuestra máquina conectada sea vulnerable, esté amenazado o sea objeto de ataque, sino que siempre puede ocurrir cualquiera de esas cosas, ni el equipo más sofisticado del mundo puede considerarse "seguro" mientras está conectado.
Chantas con doctorado
Tiempo atrás, un profesor universitario presentado como "experto en segurdad informática" fue presentado en una entrevista de televisión con ocasión de la "Operación Huracan" y la posibilidad que los celulares con mensajes encriptados hubiesen sido espiados, él respondió que era imposible, que la probabilidad de espiar una conversación encriptada en Whatsapp era la misma que "si se arrojaban baldes de pintura a un muro y que apareciera la Mona Lisa" en ese momento debió ser despedido de la universidad por la estupidez que decía, pero como estamos en Chile, seguramente sigue enseñando y dictando cátedra de lo que no tiene la menor idea. Así somos.
Los que menos saben de seguridad informática son los profesores universitarios, incluso la mayoría de los expertos contratados por las empresas pueden saber mucho de protocolos de seguridad y ataques conocidos, pero no tienen la menor idea de la penetración en sistemas reales, porque esa es una actividad artesanal y práctica, que requiere mucho tiempo que los peces gordos no tienen. Gurus de seguridad como Chema Alonso y otros por el estilo, simplemente se dedican a compilar los ataques conocidos y explicarlos, pero están tan desndos como cualquiera de nosotros ante un ataque novedoso, y existen millones de ociosos aficionados que dedican buena parte de su vida a eso.
Los expertos en seguridad son tan inútiles para atacar sistemas reales como los profesores de economía lo son cuando se dedican a empresarios, se trata de campos muy distintos y tipos como el de la Mona Lisa, con su ignorante arrogancia, son más peligrosos que los ciber delincuentes, porque crean falss sensación de seguridad n cosas que no son para nada seguras. Para lo único que sirven estos expertos es para hacer clases, recopilar lo que ya se sabe y hacer taxonomías en un área que cambia de manera continua, que tiene mucho más que ver con la artesanía que con la ciencia y donde los conocimientos son menos importantes que la habilidad y perseverancia. Los que de verdad saben penetración son los chantas, autodidactas con poca o ninguna preparación académica pero que han dedicado una vida jugando con eso.
Por qué todo sistema conectado es vulnerable
Hay muchas formas, algunas tan simples como averiguar los password con ingeniería social hasta otras más elaboradas como el uso de backdoors y keyloggers, que dejan registrada cada tecla antes que los mensajes san encriptados para su envío, es así de sencillo: si están leyendo las teclas que aprietas no existe encriptación capaz de protegerte, ninguna.
Y ni siquiera se necesita saber mucho para instalar un keylogger, basta con visitar durante un tiempo los foros de hacking y se encuentran los programas hechos y listos para descargar, los más primitivos son gratis pero hay otros mejores que son de pago, muy baratos normalmente.. Se consigue el programa, un poco de ingeniería social y ya está.
Si yo quisiera enviar información secreta
Necesitaría dos computadores, uno muy básico al que se le instala el sistema operativo (puede ser un Linux muy ligero como Raspbian Desktop) y que nunca se haya conectado a Internet, en ese computador jamás conectado yo escribiría los mensajes y los encriptaría con GPG o algún software confiable por el estilo, el GPG tiene la ventaja de ser el más usado y estar constantemente bajo escrutinio de seguridad.
Simétrico o asimétrico
En el cifrado simétrico se usa una misma clave para encriptar y desencriptar, es más rápido, simple y a mi mdo de ver más seguro porque capta menos la atención de los atacantes al ser menos usado, pero tiene una gran debilidad: las dos partes tienen que ponerse de acuerdo en la clave y para eso deben hacerlo en persona, en lo posible dentro de la "campana del silencio" del Super Agente 86 (solo bromeo), obviamente que si nos enviamos la clave por mail o cosa parecida, tod la seguridad se nos va al diablo, debemos juntarnos en persona y acordar una clave más o menos así "Sufroalpensarqueeldestinologrosepararnos1987", con eso tenemos un canal bastante seguro para comunicarnos. Los algoritmos simétricos más poplares son AES-128, AES-19, AES-256 (default), Blowfish, CAST5, DES, IDEA, Triple DES(DESede), Twofish, todos incluidos en GPG
Si no me puedo juntar en persona con la otra parte para ponernos de acuerdo en la clave, entonces usamos el par de clave privada/pública y el cifrado asimétrico, donde cada uno cuida su clave privada como hueso de santo. En nuestro caso estará en un equipo que jamás se conecta a Internet así es que podemos confiar que est´ salvo. Los algoritmos asimétricos son Diffie-Hellman, DSA, RSA
La receta es entonces: si pueden ponerse de acuerdo con la clave en persona usan encriptación simétrica, si no asimétrica. Claro que la encriptación asimétrica permite firmar digitamente, de esa manera se asegura que fui yo realmente quien mandó el mensaje.
Se escribe entonces el mensaje en texto plano en un computador desconectado y se encripta con GPG, ese mensaje ya encriptado se copia en un pendrive, y se transpasa el paquete encriptado a nuestro computador que está conectado o a nuestro teléfono celular, entonces se puede mandar como adjunto por un medio inseguro sin grandes preocupaciones. Igual no es 100% seguro, pero si lo suficiente para cualquier persona normal.
No todos necesitan seguridad
Lo más seguro es no tener secretos y no depender de claves para nada importante y ese es el caso de la mayoría de nosotros, yo ni m preocupo por mis password de la cuenta RUT ni nada de eso, gracias a lo exiguo de los saldos que manejo. Mi computador conectado tampoco tiene antivirus y -aparte de las actualizaciones de seguridad de Windows- no me preocupo en absoluto por la seguridad, podrían pasearse por casi todos mis discos duros y no encontrarían otra cosa que la masiva cantidad de material porno, que es fácilmente accesible en la web. Aparte de eso, nada.
Manejo varios password, la mayoría de mediana seguridad y muy fáciles de recordar, solo para accesar cosas que no son críticas pero tambien tengo un solo password de alta seguridd que no lo conoce nadie aparte de yo mismo, jamás se lo he dicho a nadie ni pretendo hacerlo hasta que estire la pata, y en algún oscuro rincón de las catatumbas de mis varios discos está un archivo fuertemente cifrado con lo que yo considero tan importante como para llevarlo conmigo hasta la tumba fría.
Conclusiones
Bueno, el asunto no me quedó tan articulado como hubeiese querido, pero las ideas que pretendía poner eran
1-No hay que creer en lo que dicen los expertos de seguridad, a veces mienten, otras no saben donde están parados
2-Nada que esté en un equipo conectado puede considerarse confidencial o privado
3-Internet está repleto de amenazas y ataques, la mayoría son masivos y sin un objetivo específico. Desde rusia, China y lugares por el estilo salen millones de intentos oportunistas para cazar passwords, comprometer servidores y coss por el estilo
4-Todas las policías y otros organismos de gobierno tienen herramientas para espiarnos cuando se les antoje y muchas veces las usan sin autorización de nadie, bien nos podrían estar espiando sin que nos demos cuenta
5-Si realmente necesitamos privacidad, debemos escribir, cifrar y descifrar siempre en un equipo que nunca haya estado conectado, al menos desde que se le instaló el sistema operativo
6-La mayoría no necesitamos confidencialidad, pero cuando la necesitemos, creo que los consejos que di antes son prácticos y valen.
Muy interesante. Veo que conoces del tema.
ResponderBorrarTengo una pregunta tipo freak.
Crees o sabes si es posible aquello que hemos visto en películas, en que te pueden ver u oir a través del teléfono aunque este apagado? Tengo un par de amigos paranoicos, que cubren la cámara. Yo siempre los he molestado. Primero, porque a quien le va a interesar espiarlos a ellos. Y segundo porque veo poco probable que sea técnicamente posible. Crees que estoy equivocado?
Sin duda que es posible, no solo las cámaras sino también los micrófonos del computador o teléfono, segun ICIT "prácticamente todas las computadoras, smartphones y dispositivos móviles con conexión a internet llevan una cámara y un micrófono incorporados que pueden utilizarse con fines maliciosos para espiar y vigilar a sus propietarios. El uso de malware como NanoCore RAT y Nuclear RAT 2.0, Cyber Criminals, Scrit Kiddies y amenazas persistentes avanzadas constituye un riesgo para usuarios y organizaciones que, sin saberlo, pueden estar siendo objeto de espionaje o vigilancia".
ResponderBorrarSi un equipo está apagado lo puedes encender remotamente con software como https://www.teamviewer.com/es/info/wake-on-lan/ desde un celular u otro equipo, chequear las webcam de vigilancia también es muchas veces sencillo porque se dejan abiertas (las de mi casa por ejemplo) o con contraseñas muy débiles.
No es paranoia y cualquiera con curiosidad si es lo suficientemente sapo y dedicado nos puede ver y escuchar sin que nos demos cuenta
bastante interesante la columna de hoy. Lo de los "expertos" ya es algo que causa risa e incluso rabia, porque hablan desde la arrogancia que les da su "título" y que jamás en su vida han puesto en práctica sus conocimientos, solo se quedan en el academicismo pero jamás de los jamáses se han arriesgado a experimentarlo, solo por miedo a no quedar como unos charlatanes o fracasados.
ResponderBorrarEn mi caso, he intentado proteger mis datos, pero ha sido un chiste de ensayo y error. Tomaré tu consejo y veré si me funciona o no.
José yo los mejores tipos que he conocido en "computación práctica" especialmente para penetrar sistemas son terriblemente chantas, sin título de nada o con estudios nada que ver, pero con muchísimo tiempo libre y que se dedican 24x7 a jugar con eso. El estereotipo del tipo que no se baña jamás y que toma pastillas estimulantes para mantenerse despiertos cuando se le mete una idea en la cabeza es real, conocí al menos dos tipos así cuando era perito judicial (1990-1996) y eran realmente buenos en lo que hacían, aunque nadie los reconocía. También he conocido a varios expertos y profesores, la mayoría -si no todos- no saben donde están parados pero hablan con una seguridad envidiable.
ResponderBorrarPara la seguridad personal lo mejor es mantener los menos secretos posibles, ojala ninguno, en los equipos con conexión y para las cuentas personales y cosas así, una política de contraseñas consistente para que no se te olviden y ojalá no hablar con nadie como manejas esas cosas.
Uso TrueCrypt, y tengo copias de volúmenes encriptados guardados por toda parte, ya que hasta ahora nadie ha podido crackear este programa, ni la FBI. Incluso el archivo generado no tienen características para poder identificarlo como volumen encriptado. Lo uso con una clave muy larga que guardo unicamente dentro de mi cabeza. Claro que un key logger, o acceso por red no cifrado es el punto débil, en caso de atentos a intercepción. Pero para guardar datos en forma segura es muy bueno. Y es gratis.
ResponderBorrarHola Juan, yo también uso Truecrypt pese a que desde el 2015 vienen avisando que "podría" ser inseguro y recomiendan cambiarse a bitlocker, yo no les creo nada a esos avisos porque ninguno ha dicho hasta ahora cual sería la supuesta "inseguridad", más bien me parece que las policías y cosas por el estilo quieren desalentar a la gente para que dejen de usarlo.
ResponderBorrarHace años coloqué algo sobre eso mismo https://bradanovic.blogspot.com/2015/01/la-falsa-inseguridad-de-truecrypt.html
Me olvidé agregar que para los montones de claves sitios internet de menor importancia, LastPass me ha resultado bien. Disponible como agregado para Firefox y Chrome, entre otros.
ResponderBorrarbuen dato, lo voy a chequear!
ResponderBorrarPreguntas de analfa: ¿EL compu conectado a la red puede meterle un bicho al pendrive junto con el archivo encriptado y asi contaminar el aislado de la red?, si asi fuese podria recopilar los que se lea o escriba en este.
ResponderBorrarY si, lo mejor es no tener secretos en electronico o escribirlos solo sin coneccion y guardarlos encriptados en un medio externo. Pero claro los que tenemos una persistentemente intachable conducta no lo necesitamos :-)
Los virus de pendrive son los peores, hay cientos, algunos muy sigilosos como el BadUSB y otros más busdos que dejan archivos autorun.inf en el disco. Cuando pones un pendrive, la máquina lo reconoce pero no lo puedes accesar, lo más probable es que te haya dejado algún malware. Pero si encriptas y desencriptas siempre en un equipo que nunca haya estado conectado no tienes ese problema porque los archivos que pasan por el pendrive están cifrados.
ResponderBorrarHay un par de programas forenses muy buenos, uno es el exiftools, que extrae todos los metadatos que trae un archivo, se pueden encontrar montón de sorpresas allí, las fotos a veces traen información de gps, los documentos en programa en que se hicieron y a veces el nombre del dueño del programa, etc.
Hay otro que funciona solo en linux (hasta donde yo se) se llama "scalpel" y tiene una serie de utilidades muy buenas, entre ellas recuperar archivos borrados en pendrive