Hace algo más de un año, en Security Art Work se habló sobre la esteganografía y algunos de los métodos utilizados en esta disciplina (entradas una, dos y tres).

Con el artículo de hoy toca rememorar este tema, ya que tal y como está últimamente todo el tema de la privacidad con leyes como PIPA y SOPA, uno se puede preguntar si nos veremos “obligados” a tener que comunicar cierta información mediante técnicas más elaboradas de cifrado. ¿Podría ser la esteganografía una de ellas?

[Read more…]

Seguimos hablando de nuestro anonimato en Internet y de las diferentes formas existentes de identificación de usuarios que existen. En este caso, llegamos a este paper donde se explica como se puede llegar a obtener una “huella digital” de los usuarios que visitan una página web. El investigador Peter Eckersley se dio cuenta de que los
navegadores proporcionan mucha información sobre su configuración a la hora de visitar una página web, y que esta información puede utilizarse para identificar al navegador de forma única, y si entendemos que este navegador solo lo utiliza una persona o un conjunto de ellas, podríamos identificar a dicho usuario, o en el peor de los casos a la máquina utilizada.

Como ya sabe, cada navegador tiene unas características diferentes, como pueden ser las fuentes instaladas en la máquina o los plugins (y la configuración de éstos) entre otras. Con esta información, que el propio navegador puede llegar a proporcionar al servidor web cuando se accede a su página web, se puede obtener la huella digital del mismo, pudiendo llegar a ser única. Para poder conseguir esto, en el estudio realizado, decidieron recolectar algunas de las características (comunes y no tan comunes) de los navegadores cuando se visitaba su página web. Una vez se conseguían todos los datos posibles (vistos en la tabla 1), se concatenaban todos con el fin de obtener un identificador para este navegador.

Con este identificador, se creaba una cookie con el fingerprint obtenido y la dirección IP (sin los últimos ocho bits menos significativos) para poder comprobar la siguiente vez que se accedía a la página web si la huella digital generada anteriormente correspondía con la actual o había variado. Por tanto, para poder crear la huella digital de nuestro navegador, se utilizan todas las características que éste contiene y que hace públicas a los servidores con el fin de visualizar lo más correctamente posible la página web solicitada. Estas características son necesarias para dichas páginas, y no podemos “deshacernos” de todas, pero lo que si que podemos es “ocultar” algunas de ellas. Como se describe en el paper, los plugins de Java y Flash son los que más entropía generan, por tanto, son los que identificarán y harán único al navegador más fácilmente. Dicho esto, una de las cosas que podemos hacer, es desactivar todos aquellos plugins que no necesitemos obligatoriamente, para así proporcionar la menos información posible al servidor web. De esta forma, el servidor verá que tenemos los plugins desactivados, pero no llegará a obtener las características de los mismos.

Las cookies son otros de los sistemas que permiten obtener mucha información del navegador (o usuario), ya que cuando se visita una web, el servidor puede crear una cookie y leerla la próxima vez que accedemos a dicha web, y de esta forma obtener la información que detectó en el momento previo.

Javascript es otra de las tecnologías que también tiene una entropía muy grande, ya que dispone de diferentes grados de configuración. Gracias a programas como NoScript, podemos desactivar la ejecución de los scripts y “camuflar” una vez más algunas características de nuestro navegador.

Por último, otra opción que tenemos para dificultar la identificación de nuestro navegador, es hacer modificaciones en los datos que nuestro navegador envía al visitar una página web, ya sea a través
de un proxy personalizado modificando por ejemplo el User-Agent o utilizando proxys públicos como por ejemplo TOR, el cuál tal y como se comenta en el estudio es uno de los proxys que mejor funcionan para impedir crear nuestra huella digital. Desde la web utilizada para el estudio podemos comprobar como de “único” es nuestro navegador. En mi caso, aún y teniendo desactivado el javascript, en el momento de realizar la prueba el resultado obtenido fue el siguiente:

Y utilizando TOR, el siguiente:

Así que podemos ver claramente la efectividad de usar proxys al visitar una página web para mantener nuestro “anonimato”.

Como se ha hablado en artículos anteriores (véase la serie sobre sistemas de monitorización social), hemos visto que existen diferentes sistemas de monitorización utilizados por los gobiernos para poder “garantizar la seguridad del estado”. Pero, ¿existen algunos sistemas más accesibles a la población de a pie?

Seguramente algunos de ustedes ya habrán oído hablar de RapLeaf, pero para aquellos que aún no sepan de su existencia, podemos decir a grandes rasgos que es una compañía cuyos beneficios provienen de la utilización de nuestros datos en Internet. RapLeaf construye bases de datos sobre individuos con toda aquella información de los usuarios que existe en Internet, como pueden ser redes sociales, historiales de compra o interacciones entre las diferentes webs.

[Read more…]

Siguiendo con nuestra serie de posts sobre sistemas de monitorización social, en este caso toca hablar de NarusInsight y Ghostnet.

NarusInsight

Tal y como se ha explicado en el artículo anterior, el FBI decidió “abandonar” Carnivore para empezar a utilizar NarusInsight. Este sistema fue creado por la compañía estadounidense Narus, la cual se encarga de producir sistemas de vigilancia masiva. Éste concretamente es un sistema de superordenadores que es utilizado por la NSA y otros organismos para realizar vigilancia masiva y monitorización de las comunicaciones de Internet en tiempo real, incluyendo aquellas que realizan los ciudadanos y las empresas. Como podemos ver en su página web, califican a NarusInsight como el sistema de análisis de tráfico en tiempo real más escalable que existe, ya que es capaz de “adaptarse” tanto a redes grandes y complejas como a las redes que puede usar un usuario normal de Internet.

Entre muchas de sus características destacan algunas como el alto rendimiento que puede llegar a obtener y el gran análisis que puede hacer. Llegando incluso a poder controlar aquello que hacen los usuarios en la máquina inspeccionada, viendo que aplicaciones son las que tienen abiertas en cada instante y conocer todas las actividades que hacen (y han hecho) los usuarios: desde las páginas que han visitado hasta las conversaciones que han intercambiado mediante e-mails o sistemas de mensajería instantánea.

Otra de sus importantes opciones es la de poder analizar aquella información que viaja en los diferentes protocolos, como puede ser el payload o los datos adjuntos de un correo electrónico. Además, una sola máquina de NarusInsight tiene una capacidad de procesamiento de 10Gb/s, lo que implica que puede ser capaz de analizar las conexiones de varios millones de usuarios.

Por último comentar que se desconoce el funcionamiento exhaustivo de este sistema, ya que los usuarios no disponen de autorización para saber realmente como trabaja NarusInsight.

Ghostnet

Para acabar con la serie, hablaremos del descubrimiento hecho por la universidad canadiense de Toronto, concretamente por el Centro Munk, en el que después de una investigación de diez meses (desde junio de 2008 hasta marzo de 2009) se detectó una red china de espionaje cibernético la cual llevaba más de dos años en actividad bajo la mirada inocente del mundo entero llamada Ghostnet. Esta red se hizo pública hace poco tiempo, exactamente el 29 de marzo de 2009, a través del diario The New York Times.

En el informe creado por dicha universidad junto con la ayuda de la universidad de Cambridge, se explica con total detalle en que consistió este descubrimiento y como llegaron a su detección final.

Los investigadores centraron su búsqueda en las acusaciones que la comunidad exiliada en el Tíbet habían hecho en contra del ciberespionaje que estaban recibiendo por parte de China y por una investigación privada que se pidió a los despachos del Dalai Lama. A partir de ahí, fue donde se descubrió que un total de 103 países fueron infectados, entre ellos Corea del Sur, Portugal, Alemania y la India, pero que únicamente se consideraban como objetos de alto valor un 30% del total de los nodos infectados, estando relacionadas con embajadas, relaciones exteriores o incluso organizaciones como la OTAN. En la imagen podemos ver gráficamente cuales fueron los principales países afectados por GhostNet.

El método utilizado para conseguir crear esta red de espionaje era el mismo que el utilizado por las conocidas botnets, ya que lo que hacía era infectar a los ordenadores mediante un malware que se instalaba en los equipos y era capaz de monitorizar todo aquello que el usuario hacía con su ordenador. Concretamente, el malware utilizado era un troyano denominado “gh0st RAT”, el cual era capaz de obtener un control total y remoto de la máquina infectada llegando incluso a poder activar y desactivar cualquier dispositivo conectado al PC (como podían ser micrófonos y cámaras) y por consiguiente capturar todo lo que éstos detectasen, pudiendo grabar todas las actividades y conversaciones que se hiciesen.

Esta red se diferencia de una botnet “común” por el número de máquinas infectadas, ya que la principal misión de una botnet es infectar el mayor número de ordenadores posibles para así poder obtener un “poder” mayor. GhostNet, pese a haber estado únicamente dos años en funcionamiento, había conseguido infectar 1295 computadoras en 103 países diferentes de todo el mundo, mientras que las botnets comunes consiguen tener un control de entre 30000 y más de 100000 máquinas. Esta diferencia abismal entre un tipo de red y la otra, es que como hemos comentado, las botnets únicamente desean ampliar el número de ordenadores a su mando, en cambio GhostNet realizaba una función muy diferente, que era la de espiar a aquellas personas o entidades que deseaba y creía importantes para su misión. Por este motivo, la infección del troyano no se hacía indiscriminadamente, sino que se realizaba una selección de aquellas personas a las que se les quería tener acceso.

El mecanismo que utilizaban básicamente era el de obtener información de la persona deseada, realizando un estudio de la víctima. Para ello, aprovechaban la información obtenida de otros sistemas infectados, llegando incluso a utilizar dicha información para elaborar el propio engaño para la víctima. El sistema más común que utilizaban para realizar este engaño era el envío del malware a través de los correos electrónicos adjuntando el propio programa en el mensaje, usando en muchas ocasiones las listas de contactos de la persona infectada.

Pese al evidente carácter político de estos objetivos y de que el 70% de los servidores que controlaban la red se encontraban en China, el gobierno del país no se responsabiliza en absoluto de la autoría de los hechos, remarcando que “China prohíbe estrictamente cualquier crimen informático”. Esta afirmación se ve reflejada en el informe presentado, ya que en éste se dice que no es posible establecer una relación exacta que indique la participación del gobierno chino, a pesar de que la universidad de Cambridge lo incrimina y lo relaciona directamente.

—

N. d. E. Con esta entrada finalizamos la serie sobre sistemas de monitorización social, que esperamos que les haya gustado. ¿Realidad? ¿Conspiranoia? ¿Leyenda urbana? Quizá un poco de cada cosa. ¿Ustedes qué opinan?

Les vemos en cualquier caso el lunes. Pasen un estupendo fin de semana.

Continuando con la anterior entrada sobre Echelon, aparte de esa archiconocida red ha habido, y continúa habiendo, otras instituciones y países que se han unido a la utilización de estas prácticas creando sus propias “redes espía”. El FBI, sin ir más lejos, tenía su propio software llamado Carnivore, el cual nació en octubre de 1997 como sucesor de Omnivore y fue reemplazada en 2005 por el software comercial NarusInsight, que explicaremos en el siguiente post de la serie.

Carnivore funcionaba básicamente como un sniffer más que era utilizado bajo el sistema operativo Microsoft Windows. Su tecnología era bastante sencilla y común, pero lo que marcaba la diferencia y la efectividad era que podía ser instalado en los proveedores de Internet o en cualquier otro punto en el que se tuviera un acceso preferente a los datos que se intercambiaban en las comunicaciones. Además de este factor tan importante, como es la posición donde se situaba, su funcionalidad clave era el gran poder de filtrado del que se disponía, siendo éste su elemento diferencial. En la imagen podemos ver una captura de su interfaz de configuración.

[Read more…]

Los sistemas de monitorización social comúnmente conocidos como redes de espionaje, son mecanismos, normalmente gubernamentales, que se encargan de interceptar y analizar todo el tráfico que se transmite por las comunicaciones electrónicas, para así, como “ellos” lo definen, poder detectar y anticiparse a ataques terroristas, planes de narcotráfico y conspiraciones políticas entre otras funciones.

Existen diversos sistemas que cumplen estas características y con esta serie de posts me gustaría hacer una pequeña introducción a algunos de ellos.

Echelon

La red Echelon es considerada como la mayor red de espionaje creada para la interceptación de comunicaciones electrónicas de toda la historia y es el sistema de espionaje más conocido de todos sin lugar a dudas. Se han escrito multitud de libros e incluso se ha hecho alguna película (“Echelon conspiracy”) donde tenemos a Echelon como principal “protagonista”.

[Read more…]

Siempre se han escuchado rumores y comentarios de la gente sobre si el gobierno nos espía, si saben todo lo que hacemos, etc. pero, ¿hasta que punto esto es cierto? ¿Es posible que alguien pueda escanear todo lo que hacemos a través de nuestro PC o nuestro teléfono? La respuesta es sí.

Como sabemos no todas las comunicaciones se transmiten de la misma manera ni por el mismo medio, y por este motivo no las podemos tratar a todas de la misma forma. Así que haremos una pequeña clasificación según el medio por el que sean transmitidas estas comunicaciones y veremos como pueden ser interceptadas.

[Read more…]