(Publicado originalmente el 06 de julio de 2015)
Una historieta antigua
Años atrás por esas cosas de la vida conocí a los tipos de una empresa en Boulder, Colorado, que se dedicaban a la seguridad privada y contraterrorismo. Era una empresa chiquita pero con grandes clientes, querían hacer un negocio por estos remotos lugares.
Cuando fui averiguando más me di cuenta que estaban armados en una cadena de mentiras, exageraciones, antecedentes falsos, ofrecimiento de cosas que no podían dar y esa especie de infantilismo que parece típico de la mayoría de la gente dedicada a la "inteligencia".
El negocio al final nunca se concretó pero me quedaron buenos recuerdos y cierta experiencia, además me quedé con una empresa armada acá a nombre de los palos blancos, al final debe haber sido para mejor que no pasara nada, aunque casi no vi un peso, igual tuve mis delirios de grandeza económica durante casi un año.
La PDI "se moderniza"
Hoy leo sobre la compra del software "Galileo" por parte de la Policía de Investigaciones en casi 3 millones de dólares, estuve chequeando a la empresa Hacking Team y me acordé de Archangel, igualitos, me dio la impresión que son un grupito de tipos medio mitómanos y buenos para autopromoverse que tuvieron una racha de buenas ventas, aunque con lo que les pasó dudo mucho que la racha se mantenga.
¡Hackearon a los hackers!
Resulta que el domingo pasado en la noche, un hacker, que aseguró ser la misma persona que hackeo a FinFisher (competidor de Hacking Team) el año pasado, colocó en su cuenta de Twitter links a 400 GB de datos internos de Hacking Team.
Así fue como apareció la noticia de la compra del software por la PDI. Entre la información hay código fuente de Galileo y cosas que ni siquiera los clientes de Hacking Team sabían, como por ejemplo que el propio software Galileo tenía una puerta trasera que permite desactivar remotamente el software sin permiso del cliente y -lo que es peor- una watermark que permite robar datos a cualquiera que esté usando Galileo y ahora el método está a disposición de cualquiera.
Como siempre, lo mejor en seguridad informática práctica se encuentra en el sitio de Bruce Schenier que comenta en unas pocas y sarcasticas líneas la situación de extrema gravedad que enfrentan la empresa y sus clientes.
¿Y que era el famoso Galileo?
Por lo que entendí de la propaganda de Hackers Team, Galileo es un software de control remoto, que permite duplicar y grabar la pantalla de otro equipo mientras lo están usando, sin que este lo advierta. Los que alguna vez usaron el VNC en los buenos viejos tiempos sabrán a que me refiero. Parece ser un VNC enchulado de casi 3 millones de dólares.
Años atrás yo instalé el VNC en el equipo del Rapa Nui para ver desde la casa lo que estaban haciendo en el bar, hasta que mi buen amigo Stephen Gutcknecht me advirtió de los riesgos del asunto, entonces dejé de usarlo así como el ftp en modo standard para enviar datos, no eran para nada seguros.
Que ignorantes
Que la PDI haya comprado ese humo muestra la ignorancia en temas de seguridad a nivel de organismos del estado. Todo mal, confiar en una empresa que vende código cerrado y dice "confíe en nosotros" en su publicidad, es algo que no haría nadie que sepa sumar dos más dos. La confianza en esas cosas, desde hace muchos años, dejó de ser asunto de fe, hoy se basa en el código abierto ampliamente examinado, mientras más examinado más confianza.
La privacidad dejó de existir
Esto también sirve para recordarnos que la privacidad hace tiempo que no existe. El que crea que tiene derecho a la privacidad es un chiflado y el que crea que la PDI o Carabineros solo usan las escuchas telefónicas y la intercepción de computadores "con orden judicial" sufre de una credulidad cercana a la estupidez.
Resulta que no existe ningún prtotocolo de auditoría en el uso de esos equipos así es que cualquier funcionario aburrido, en cualquier momento puede colocarse a espiar las conversaciones o la actividad de cualquiera de nosotros por Internet.
¿A prueba de encriptación?
Galileo era marketeado como una solución a los que encriptaban sus mensajes porque veía las pantallas en tiempo real, antes que las cosas se encriptaran. Bueno, desde hace muchos años, el uso de encriptación fuerte supone que siempre que uno tenga que escribir un texto plano para encriptar o abrir un archivo encriptado a texto plano, debe desconectarse físicamente de Internet: sacar el cable, apagar la Wifi, etc.
Es como ir al baño, nadie se mete al baño a hacer sus cosas (bien sea para el 1 o el 2) sin cerrar la puerta antes. Del mismo modo cualquier cosa privada que debamos hacer, primero que nada nos desconectamos, eso es elemental.
Solo había que pensar un minuto
Son cosas de sentido común, de pensar un poquito, nada del otro mundo.Hacer un contrato con la empresa Hackers Team fue una gran estupidez, partiendo por que el nombre de la empresa no era para dar confianza a nadie. La seguridad no es para empresas ratonas, no importa el humo que vendan, en esas cosas es fundamental la reputación y el fundamento técnico, son cosas que no pueden ser decididas por gente ignorante o sin experiencia.
Cuidado con Internet
El bottom line de todo esto es que la privacidad no existe, todo lo que hagamos mientras estamos conectados a Internet debemos considerarlo como público, y si vamos a usar encriptación debe usarse bien, desconectando el equipo de Internet mientras tenemos textos planos en pantalla. De ese modo podemos protegernos de los keyloggers en cualquiera de sus variantes.
A propósito, si alguien de la PDI está interesado en ver buen porno, que coloque un malware en cualquiera de mis computadores. Garantizo que no se van a decepcionar porque en eso si que soy un experto.
Boulder, Colorado ! Una mítica represa de los años 30! el programa keynesiano... antes de Keynes de Franklin D Roosevelt. Obras de utilidad pública que sirvan para generar empleos. De paso, un montón de avances ingenieriles para levantar la presa de arco más alta hasta el momento. Energía a patadas para usar en... las Vegas, Nevada, alimentando casinos. Además se dedican al contraterrorismo! Uls
ResponderBorrarEl asunto era que representaban a un grupo que participó en la licitación del Mutún en Bolivia, la que finalmente ganó el grupo indio Jindal y que estos quedaron fuera.
ResponderBorrarTenían un proyecto mutante que indluía usar el FFCC Arica-La Paz para sacar el hierro por acá, construir un puerto etc. entre otras inversiones.
Menos al que no pasó nada porque al Sr. Jindal le salieron canas verdes lidiando con Evo Morales: perdió una fortuna con esa fallida licitación.
Si, en Boulder fue la gran represa, allí trabajó cuando Joven Arnold Harberger (el papi de los "chicago boys"). Cuando pasó por Arica nos contó toda la historia de como allí nació la evaluación social de proyectos
La seguridad privada en USA es un tremendo negocio porque contrata mucho con el estado, están por todos lados
¡Rediablos! Corrigiendo una respuesta se me borró el comentario de José, en fin, menos mal que lo pude rescatar de mi mail. Aquí va:
BorrarEmpresas de "seguridad privada" hay por montones, nunca faltan los chantas que mezclando algo de mitomanía, tacticoolismo y algunas "credenciales militares" te venden un cuento super bueno pero revisando e hilando fino te das cuenta que es mucha faramalla para tan poco producto. Debido a mi actividad, he conocido a muchos "instructores de tiro" que se meten a mi blog o a mi canal de instagram para ofrecerme sus cursos, reviso sus videos promocionales y de verdad, aunque parecieran impresionantes, en realidad son casi inaplicables en el contexto de un combate real. "las dianas no devuelven el disparo".
Durante mucho tiempo que vengo viendo publicidad y lo que más me llega son sponsors de canales de youtube o instagram que venden software del tipo VNC, cual de todos más chanta, te vende ene humo e incluso dicen que puedes controlar remotamente un dispositivo sin que el usuario se de cuenta, pero en realidad e incluso sin necesidad de meterse en el codigo fuente, te das cuenta que no son ni lo uno ni lo otro.
Algunos son "efectivos" mientras el dispositivo esté conectado a la red pero ¿que pasa cuando usan VPNs o simplemente apagan toda conexion (Wifi, Red 3g, 4g, las temidas 5g, Bluetooth, etc.) aka "modo avion" o simplemente apagan o destruyen el dispositivo? no hay software que pueda encender el equipo bajo esas condiciones.
No entiendo como la PDI pudo caer tan bajo y comprarse algo que solo es humo? los mejores hackings siempre parten por algo que se llama "ingenieria social", es decir que alguien te pase las llaves de la puerta de atrás, como por ejemplo cuando entregas el control de tu cuenta (contraseñas) a alguien más, basado en la "confianza" aún a sabiendas que esto puede jugarte en contra.
Es cierto que la privacidad en estos tiempos de conexion, no es posible, siempre hay una copia de algo en alguna parte.
A propósito si se puede manejar remotamente un computador sin que el "dueño" se de cuenta, por ejemplo encendiéndolo remotamente en horas de la madrugada usando la opción "Wake on LAN" de la Bios, después colocando "wake up magic packet" en las propiedades de la tarjeta de red. Casi todos los computadores PC modernos traen eso.
BorrarClaro que siempre hay que introducir y ejecutar primero un malware que permita la entrada remota al equipo como usuario administrador. Con eso ya nos tienen cazados, pueden instalar algún keylogger silencioso, etc.
Lo único necesario es que no los detecte el Windows Defender, lo que no debe ser muy difícil para empresas que tengan recursos y gente para eso
Nadie está seguro mientras esté conectado, lo único que nos da seguridad es que somos unos pobres diablos que no vale la pena gastar mucho esfuerzo en espiarnos!
Asi es Tomás! Somos pobres diablos y no personas de interés, asi que lo que hagamos no será digno de espionaje! jajjajajajaja
BorrarIgual que los pobres que no temen ser cogoteados :D
BorrarHAcking Team, de la mano de David Vincenzetti, agradable persona. Estuve en conversaciones con el para unos trabajos remotos que no se pudieron concretar, desafortunadamente por problema de salud de David. Me quede con el contacto, al parecer el revisa/responde sus correos personales cada cierta cantidad de meses.
ResponderBorrarEs un clásico la "venta de humo" relacionada con la seguridad informática, y de hecho muchos "expertos", lo único que saben hacer es instalar, actualizar y correr antivirus, aplicar parches en maquinas y con muchísima suerte leer e interpretar un log.
Y lo dice un ferretero! Saluti Cherubini!! Oye, igual se forró en pasta el don David
BorrarInternet es un bar, todo es abierto, solo basta acercarse para saber de que se habla, aveces, cuesta mas acercarse algun grupo, pero se puede, todo esta abierto.
ResponderBorrarAnalfabeto en el tema, entiendo que confiar en un sistema que nadie ha abierto, versus uno publico revisado por cuanto interesado hay, es comprar algo con trampas inorporadas, se pasaria de panfilo el autor si no las pone; ademas que no faltarian las agencia que le exijan que les de acceso a ellas.
Sin embargo el asunto puede ser mucho mas trivial, ahi tenemos al director de investigaciones hablando en claro con el abogado Hermosilla...
Internet ha hecho a la tierra mucho más plana. Antes era necesario tener apellido, familia, ir a un colegio exclusivo, moverse en ciertos círculos sociales, o especiales como los militares, etc. solo para poder ser escuchado por alguien importante, hoy un perejil cualquiera puede llamar la atención de personas importantes, en las redes sociales por ejemplo.
BorrarLa sguridad tiene que ser siempre con sistemas de código abierto revisables por cualquiera, seguramente por eso la mayoría de los sistemas críticos los corren bajo Linux como el Kali y otras por el estilo.
Los sistemas de encriptación, virtualización y todo eso también tienen que ser de código abierto. Por ejemplo yo sigo usando el True Crypt aunque dicen hace años que no es seguro es de código abierto, lo han auditado muchas veces y ninca he sabido de un ejemplo donde lo hayan roto.
Usar el Watsapp o aplicaciones de Apple confiando en lo que aseguran los fabricantes de "encriptado de punta a punta" me parece una barbaridad, yo nunca confiaría mis comunicaciones porno a esos canales, jamás
a todo esto Tomás, haces programación?
ResponderBorrarslds
Karim
Eso lo hacía en mis encarnaciones pasadas Karim, si quieres programar el Word para automatizar escritos y todo eso, dale un bistazo a mi cursito "Visual Basic para oficinas" en
Borrarhttps://www.udemy.com/course/visual-basic-para-oficinas/
Son como 14 videos, 1 hora y media más o menos en total, más de 18.000 estudiantes.
Es especial para automatizar escritos en tribunales, oficinas de abogados y notarías
"bistazo" jajaja
Borrar