Pump&Dump, by Google

Ya hemos hablado alguna vez en este blog en qué consiste una técnica denominada Pump&Dump, donde básicamente se esparce algún rumor sobre una operación financiera exitosa de una compañía que cotiza en bolsa (previamente habiendo comprado una gran cantidad de acciones), para que el valor de la acción suba y se puedan vender las acciones con un importante beneficio. 

Esta técnica se ha utilizado desde los inicios del mundo bursátil, pero ahora lo podemos apreciar todos en los mensajes de SPAM que recibimos de vez en cuando, aunque muchas veces no nos suene ni la empresa.

Hace unas semanas salió una noticia en EEUU que fue poco comentada en España, pero que merece la pena que se comente, sobre todo como posible forma de realizar una mezcla de Pump&Dump y SEO malicioso.

El periódico South Florida Sun Sentinel, que pertenece al Chicago Tribune, por algún motivo que no está muy claro, sacó en portada una noticia del año 2002 donde la compañía aérea United Airlines estaba buscando protección contra una posible bancarrota. Google se encontró la noticia y la publicó como reciente, lo que hizo que una empresa enviara la información a Bloomberg y las acciones pasaron de valer $12.5 a $3, aunque fue durante unas pocas horas, hasta que se aclaró la confusión. Pero, ¿y la gente que compró acciones de UA cuando valían $3 dólares?

Entre unos y otros se echan la culpa. Chicago Tribune dice que le ha pedido a Google en repetidas ocasiones que deje de indexar sus contenidos, Google dice que la noticia apareció en portada, y los demás que simplemente cogieron un dato.

Este hecho demuestra el disparatado hecho, cada vez más común, de que todo lo que dice Google es cierto (o todo lo que dice Internet es cierto), además de constituir un peligroso precedente dentro de los delitos en Internet (mezclamos un poco de SEO, una inyección SQL en la web de un sitio de noticias añadiendo un contenido falso y sólo hay que esperar a que los bots de nuestro buscador favorito lo encuentre)

David Barroso

S21sec e-crime

Cooperación desinterés-free.

Dice internetworldstats.com que el mundo hay 1,463,632,361 usuarios de internet.

Y a uno le da que pensar:

1º - Teniendo en cuenta la población mundial, el porcentaje de seres humanos con acceso a internet es "sólo" del 21%.
2º - Sorprende, también, que publiquen un número tan preciso que llega hasta la unidad.
3º - Gracias a ello sabemos que somos impares. Es decir, que si todo el mundo encontrara pareja a través de internet, habría alguien que se quedaría colgao. (Podéis respirar tranquilos. Soy un firme candidato). ;)

Desgraciadamente, la cosa se empieza a poner más seria si esta información con alguna otra procedente del Banco Mundial. A saber:

- En el mundo hay aproximadamente 1.600 millones de personas sin acceso a electricidad. Esto es, aproximadamente el 24% de la población mundial.
- Alrededor del 45% de los seres humanos (unos 3.000 millones) no tienen acceso directo a servicios de agua potable.

Es decir, que los usuarios de internet seremos muchos. Tantos, que a veces tenemos la sensación de que es "el mundo entero". Pero, los números dejan claro que son muchos más los que se quedan fuera, también, de esta fiesta.



Aún así, si hacemos un cálculo poco riguroso, de esos 1.463 millones de usuarios de internet, sólo 600 millones (el 41%) pertenecen a los EEUU, la UE o Japón (sí, sé que me estoy dejando unos cuantos países de primer mundo fuera e incluyendo otros discutibles, pero sólo pretendo ser orientativo).

De manera que más de la mitad de los usuarios de internet acceden desde países con, digamos, menos recursos y, presumiblemente, menos preparados para garantizar unas condiciones de seguridad informática mínimas.

Pero, amigos, respecto a este problema, el primer mundo no puede permitirse el lujo de hacer ojos ciegos de lo que ocurre en el resto.

Por ejemplo, la cantidad de registrars fraudulentos en China o el número de agentes fast-flux localizados en Rusia pueden representar una amenaza para cualquier usuario de internet, se encuentre donde se encuentre.

¿No se quería globalización? Pues taza y media.

Por ese motivo, organismos como la Union Internacional de Telecomunicaciones han decidido aunar los diferentes esfuerzos locales e internacionales en la llamada Agenda Global de Ciberseguridad.

Su objetivo es proponer soluciones y estrategias para aumentar la confianza y la seguridad en la sociedad de la información. Para ello pretenden reforzar el marco legal, las medidas técnicas, las estructuras organizativas, las capacidades locales de construcción y la cooperación internacional.

Para empezar, en Mayo pasado se fundó la alianza IMPACT (International Multilateral Partnership Against Cyber-Terrorism). Habrá que estar atentos a su actuación, ya que pretende convertise en un referente de seguridad-IT a nivel global.

Entendiendo por "global", por supuesto, al 21% de la población mundial.

Luis Tarrafeta
S21sec labs

La paranomemoria USB perfecta

Tras haber escrito sobre los peligros que entraña el almacenamiento de datos sensibles en memorias flash, me gustaría escribir algo de una tónica más positiva, para todo aquel interesado en tener garantías de confidencialidad, privacidad y anonimato en el uso de memorias USB que salen de la caja fuerte ;)


Yo, para empezar optaría por usar una memoria compatible con la tecnología U3, que aunque restringe su uso a sistemas operativos de Redmond, ofrece una enorme versatilidad a la hora de usar aplicaciones instaladas en ella sin necesidad de permisos administrativos.

Tras una limpieza a fondo de los programas inútiles con que cargan estas memorias, procedería a instalar las siguientes utilidades software válidas para U3:

• Truecrypt
• Keepass
• Portable Tor (no necesita U3) y software asociado

Tras este paso, procedería a cifrar un 95% del espacio disponible en la unidad escribible con Truecrypt (el usar volúmenes ocultos depende del grado de paranoia de cada uno), para posteriormente meter en la parte no cifrada mi llavero de contraseñas KeePass. Esto último, aunque pudiera resultar más arriesgado, tiene la ventaja de poder acceder a la frase de paso complejísima de mi volumen TrueCrypt (teniendo cuidado eso sí de elegir una buena frase de paso para el llavero), confiando en que el fichero esta correctamente cifrado con un algoritmo de cifrado de clave simétrica decente.

Esto, para un usuario de a pie, resulta cómodo y barato, pero para entornos corporativos es poco práctico dado que se pierde mucho tiempo desplegando esto para cada memoria USB, y depositas la confianza en la seguridad de las frases de paso de los empleados. Por eso desde hace tiempo existen soluciones orientadas a este segmento (que por cierto, suelen manejar datos que duele mucho más sean difundidos) que proporcionan el valor añadido de la gestión centralizada por políticas que son reforzadas mediante agentes desplegados en las estaciones de trabajo.

Paralelamente a estas dos soluciones, y a caballo entre el mercado doméstico y el empresarial, se encuentran las memorias USB con características de seguridad mejoradas. Todas las memorias, o prácticamente todas, facilitan capacidades de cifrado mediante software con aplicaciones más o menos logradas que han de ser instaladas en el equipo con un CD o desde el instalable ubicado en la memoria USB. Algunas, ofrecen mecanismos de autenticación biométrica (con las que hay que confiar en la buena fe del fabricante a la hora de seleccionar un lector de huellas mínimamente seguro), y otras incorporan aceleradores criptográficos AES implementados en hardware que hacen transparente el proceso de cifrado de los datos, como por ejemplo estas, con la singularidad de que algunas se anuncian con el valor añadido de haber sido ensambladas en Estados Unidos (supongo que para garantizar que esten libres de puertas traseras, aunque el silicio sigue viniendo de donde viene)

Yo personalmente, no me fio mucho de la reputación de algunos fabricantes de memorias que prometen cosas que luego no son ciertas, por lo que casi me quedo con las dos primeras alternativas.

Álvaro Ramón
S21sec labs

Protección del software (Parte II)

Una vez visto el panorama actual, vamos a echar un ojo a las protecciones que encontramos en las aplicaciones que podemos descargar de cualquier página o comprar en cualquier tienda.

• Protección por número de serie
• Protección por keyfile (fichero de registro)
• Periodo de prueba de X días
• Versión limitada (Demo)
• Necesidad de otro dispositivos (CD, llave USB, mochila...)

Además de estas protecciones, hoy casi todos los programas poseen una “capa” más de protección ya que presentan el ejecutable empaquetado, pero esto lo comentaremos más adelante.

Protección por número de serie.

En este tipo de programas, solicita que introduzcamos un número de serie y, si acertamos, el programa quedará registrado y completamente funcional. Por supuesto, no podemos obtener el número de serie a ciegas, pero disponemos de múltiples herramientas para analizar los programas en cuestión.

Existe un problema muy grave en la comprobación del número de serie de muchos programas, y se trata de que las secuencia lógica de comprobación puede ser algo así:

1. si numero_de_serie = ''5421-546-321-4564-123-134”
   
2. entonces llamar registrado
3. si no
4. entonces llamar Noregistrado
5. fin si

Suponiendo que no podemos acceder al descompilado (cosa que hoy día es probable gracias al plug-in Hex-Rays del IDA Pro o herramientas como reflector para aplicaciones .NET), siempre cabe la posibilidad de ver el desensamblado, en el que veremos una ejecución secuencial, que sirve perfectamente para ilustrar este problema.

1. reg1 <-- numero_de_serie
2. reg2 <-- ''5421-546-321-4564-123-134”
3. igual reg1,reg2
4. si no igual salta NOIGUAL
5. llamar registrado
6. salta FIN
7. NOIGUAL:
8. llamar Noregistrado
9. FIN:
10. terminar

En este pseudocódigo, si conseguimos que la línea 4 no salte a NOIGUAL, podremos conseguir que el programa quede siempre registrado. Podemos cambiarla por una instrucción que no haga nada, o reemplazar el “si no igual” por un “si igual”, haciendo que valgan todos los números de serie excepto, precisamente, el válido.

Por supuesto, esto se corresponde a un fallo de diseño. Por ejemplo, NUNCA se debe comparar un número de serie en texto plano, ya que puede ser vista por el atacante. Ante esto, la primera idea puede ser cifrar el número de serie introducido por el usuario con una rutina muy compleja, incluso alguna matemáticamente irreversible y en la que se sabe que no es viable atacarlo por fuerza bruta en un tiempo razonable, pero siempre se deberá tener cuidado con la manera de plasmar la idea de la comprobación, puesto que si no lo hacemos es más que probable que la protección tenga el mismo formato (y el mismo fallo de diseño) de la aplicación anterior.

No existe un método que te pueda garantizar la seguridad de tu algoritmo en estos casos, pero se puede intentar fortificar la comprobación de muchas maneras. Por ejemplo, se puede aplicar conocimiento adquirido en otras áreas para diseñar un algoritmo de autenticación más fuerte, como se hizo en el reto 3 que se propuso en este mismo blog. Esta misma idea, utilizada sobre una red muy profunda (y una buena gestión de recursos :p ) puede ser muy interesante, aunque está claro que no es la solución definitiva.

Como ejemplo de un diseño correcto podemos ver la implementación de la protección por contraseña de un fichero .rar. En este caso no se comprueba la contraseña de un fichero y se procede a descomprimirlo, sino que se utiliza la propia contraseña para descomprimir el fichero, por lo que una clave errónea nunca nos devolverá un fichero correcto. En estos casos, el único ataque factible es la fuerza bruta.

Haciendo una analogía con un programa shareware, una manera de dificultar el parcheado del programa es cifrar la parte del programa que desees con la clave, y descifrarlo con el número de serie introducido. Si haces esto, recuerda gestionar bien los errores de un descifrado incorrecto.

Y con esto terminamos por hoy. Seguimos en dos semanas.

Mikel Gastesi
S21sec labs

Redes sociales e información pública

Este post, aunque ya se ha hablado mucho sobre este tema, va a tratar sobre ese gran contenedor de información que es Internet y las redes sociales.

Ahora bien, ¿qué pasa con la información de Internet?, generalmente el usuario da por buena cualquier información que encuentre sobre un tema determinado. Podría ser cierto, pero... ¿nos podemos fiar?, si somos un poco paranoicos…

¿Qué pasa con las redes sociales?

Si intentamos darnos de alta en una red social, sólo nos piden nombre y apellidos (cosa muy fácil de mentir) y una dirección de correo electrónico (siempre se pueden crear cuantas anónimas o con nombres falsos), y una fecha de nacimiento. Con estos datos, yo mismo podría hacerme pasar por cualquier persona y difundir datos falsos, despectivos o incluso incriminatorios de una persona pública o de una empresa. Porque… ¿por qué no hacerme pasar por George Bush o Vladímir Putin?, o por ejemplo podría hacerme pasar por un ingeniero del CERN (que ahora está muy de moda) y lanzar rumores sobre el funcionamiento del mismo o incluso por qué no, del fin del mundo?

¿Cuánto daño puede hacer una información falsa en Internet?,

Depende, ya que influyen muchos factores: repetición, medio de publicación, etc. Por eso se hace cada vez más necesario el poder conocer y cuantificar la mayor cantidad de información que esté “circulando” por la red, para poder detectar y mitigar en la medida de lo posible estos riesgos.

José María Arce Guillén
S21sec labs

Próximas conferencias

Termina el verano y con el otoño llegan las conferencias, eventos y demás citas a las que asistir.

Como ya os adelantamos, Informatica 64 ha organizado una nueva convocatoria del evento Asegur@IT para hoy jueves, 25 de septiembre. Esta vez el evento será en la Universidad de Deusto, en Bilbao y el ponente por parte de S21sec Mikel Gastesi, que hablará sobre Cracking & protección de software.

Además, el viernes 26 se celebrará en Barcelona una nueva edición de las Conferencias de Seguridad FIST, evento gratuito en el que voluntarios (entre ellos dos personas de S21sec) realizan una serie de presentaciones y coloquios sobre diversos aspectos relacionados con los Test de Intrusión y la Seguridad de la Información.

El evento tendrá lugar en la sala de actos del edificio B6 del la FIB.
Programa:

18:00 Presentación de las conferencias, Edge-security
18:05 Ecrime - Las nuevas mafias, Vicente Diaz, S21sec
19:00 Implicaciones de la filosofia REST en la seguridad Web, Ramon Pinuaga, S21sec
20:00 A definir, Ero Carrera, Zynamics GmbH

Puedes ampliar la información aquí.

La semana que viene, el viernes 3 de octubre, Juan Carlos Rodriguez, Responsable de Formación de S21sec, hablará sobre los Sistemas de gestión de la Seguridad en la jornada "Gestión del Conocimiento" organizadas por el Consebro en Pamplona.

Por su parte, David Barroso, director de e-crime de S21sec, estará en Madrid impartiendo una conferencia titulada "Lessons learned from an online fraud incident" en las jornadas ISSE 2008.

Puedes descargarte el programa completo aquí.

Nos vemos en alguna de las conferencias!

Marketing S21sec

Protección del software (Parte I)

Aprovechando la proximidad del evento Asegúrat IT III, vamos a iniciar una serie de post (en principio semanales) en los que vamos a tratar la seguridad del software.

Este termino puede albergar dos significados diferentes:

1. La seguridad desde el punto de vista de que una aplicación mal programada ponga nuestro equipo en peligro y pueda causar denegaciones de servicio o incluso llegar a ejecutar código no deseado.
2. La seguridad de la propia aplicación ante la copia/modificación de la misma por terceros.

Si el problema es el del primer caso, probablemente nos encontremos ante un déficit en la formación del desarrollador en temas de seguridad, una posible falta de concienciación y una falta de testing/auditoría de la aplicación y código fuente, Por supuesto, también puede ocurrir porque, como cualquier proceso en la industria, el desarrollo del software se realiza con excesivas prisas.

Por ejemplo, no es de recibo que una aplicación que se instala como servicio y corre con permisos de SYSTEM se cree con un ACL a cero y permita que cualquier aplicación inyecte código en el proceso y pueda ejecutar el código que desee con los permisos del servicio. Lamentablemente, esto sucede, y no solo en aplicaciones “amateur” ;)

Pero el segundo caso es el que me interesa analizar en esta serie de post. Antes de nada, veamos en que situación nos encontramos.

Hoy día podemos ver como Internet se encuentra plagado de software privado, software de pago, etc. Pero también podemos observar como para todos estos programas (o casi todos), disponemos del parche o número de serie correspondiente, capaz de eliminar limitaciones y proporcionar un software completo.

Por supuesto, a sabiendas de que la gente va a descargar un fichero y lo va a lanzar, no faltan los regalitos que acompañan a dichos parches, pero esto es ya otro tema.

La primera preguntas que nos pueden surgir son, ¿quién se encarga de realizar estos parches? ¿quién sabe sacar un número de serie de un programa? ¿es fácil? ¿requiere mucho tiempo? ¿qué obtiene a cambio?.

La respuesta a estas preguntas es compleja. Antes que nada, cabe destacar que la dificultad y el tiempo requeridos depende tanto de la protección que tenga el programa como de la habilidad de la persona que realiza al ingeniería inversa, o de si ha podido analizar con anterioridad un esquema de protección similar, etc. Lo que está claro es que puede llegar a ser una tarea muy difícil y requerir mucho tiempo.

Hay quien lo hace por hobby (existe más afición por la ingeniería inversa de la que mucha gente imagina), pero está claro que el que analiza aplicaciones para pasar el rato o aprender cosas nuevas no se dedica a sacar un parche tras otro, sino que por lo general tiende a investigar nuevas protecciones, muchos dan el salto al mundo del exploiting, etc. En definitiva, no son nuestro hombres.

No hay que fijarse demasiado para ver que muchos parches llevan la firma de un “grupo”. Generalmente en un grupo dedicado a la distribución de warez. Existen miembros a los que se le proporcionan aplicaciones “recién salidas del horno” y, a cambio de X cracks o números de serie por semana, se le da acceso a un servidor ftp privado desde el que descargar warez.

Por supuesto, y como tiene que haber de todo en este mundo, encontraremos a quien lo haga por dinero. Esto no lo he podido constatar, pero, ¿piensas que no es posible? Por ejemplo, una manera de lucrarse consiste en tener una buena página de warez plagada de publicidad. El disponer software actual pirateado es un muy buen reclamo para los visitantes y, si dicho software tan solo se encuentra pirateado en tu página, te estás asegurando muchas visitas.

En el siguiente post comentaremos algunos esquemas de protección que nos podemos encontrar en el software.

Nota: Puede que la palabra parche (entre otras) no sea la más adecuada, porque si nos ponemos quisquillosos puede no abarcar loaders, etc., pero voy a intentar explicar el tema de una manera llana hasta que no haya más remedio que entrar en tecnicismos ;)

Mikel Gastesi
S21sec labs

SPAM telefónico, menuda pesadilla

¿Qué es el spam?. De acuerdo con la Wikipedia, se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor (por cierto, muy curiosa la historia del origen del término SPAM, relacionada con los Monty Python).

Si bien el termino está principalmente asociado a las comunicaciones electrónicas, también se puede relacionar con el mundo de la telefonía, ya que cada vez es más habitual recibir llamadas o mensajes de texto anunciándonos cualquier tipo de producto.

Existen diferentes maneras (y productos comerciales) de luchar contra el spam convencional, vamos, el que recibimos en el correo electrónico todos los días, pero, ¿qué se puede hacer cuando tu número de teléfono cae en las garras de un despiadado robot y constantemente te llama desde un número privado tres veces al día (la hora de la siesta incluida)?.

Como algunos ya habréis sospechado, recientemente he tenido una experiencia similar. Yo por norma general nunca cojo llamadas de teléfonos que ocultan su número (números privados). Si el que me estaba llamando hubiera sido un humano, probablemente habría cejado en el empeño de intentar contactar conmigo, pero... se trataba de un robot (no comen, no beben, no se cansan y no tienen sentimientos). Me estuvo llamando 3 veces al día durante 4 días, hasta que al final tuve que coger el teléfono para que me dejara en paz de una vez. Se trataba de una entidad financiera que me quería vender un seguro de vida.

Como norma general estos robots tienen unas listas de teléfonos (de la misma manera que los spammers tradicionales recopilan correos electrónicos, en este caso se recopilan números de teléfono) a los que llaman constantemente hasta que detectan que un humano les responde. En ese momento, transfieren la llamada al operador de turno y ahí es cuando te empiezan a dar la tabarra con, que si cómprame esto o lo otro. Tienen la tecnología suficiente como para detectar los contestadores automáticos, en cuyo caso colgarán y te llamarán en otro momento, o puede que incluso te dejen un mensaje.

Algunos compañeros de S21sec me sugirieron, a modo de broma, que imitara con mi voz el ruidillo que hace un fax, ya que parece ser que si el robot se topa con un fax, elimina ese número de teléfono de sus listas. Lo de imitar el fax un poco complicado, pero si que me planteé empezar a trastear un poco con Symbian, para hacerme una aplicacioncilla que filtrase las llamadas y los mensajes de texto (si, se que existen productos comerciales que ya lo hacen).

Afortunadamente, los que se tienen que poner las pilas con este tipo de asuntos, ya han comenzado a tomar medidas y es que el Ministerio de Sanidad y Consumo, a partir del otoño de este mismo año, denunciará a las operadoras que utilicen el denominado 'spam telefónico'.

Hasta la fecha, a diferencia del 'spam' electrónico, las llamadas de teléfono no estaban reguladas de forma específica. Pero, a pesar de que el spam electrónico está prohibido, seguimos recibiéndolo, así que, es posible que esta medida no tenga demasiado efecto.

Bueno, por lo menos, ahora ya podremos denunciarlo.


Asier Marruedo
S21sec e-crime

2015 - ¿Sistemas de Control Seguros?

El otro día, navegando por la red encontré un sitio web muy interesante que merece la pena comentar. Este sitio presenta un roadmap a diez años vista sobre la seguridad en los sistemas de control del sector energético. La visión global del mismo es que en el año 2015, los sistemas de control propios del sector energético puedan superar un ciberataque sin dejar de prestar los servicios críticos.

Se trata de una iniciativa financiada por el Dpto. de Energía de los EEUU en colaboración con el Dpto. de Homeland Security y el Natural Resources Canada y que busca alinear las actuales iniciativas y esfuerzos, y guiar las futuras inversiones de la industria y el gobierno americanos. En este sentido se definen cuatro objetivos globales, un conjunto de hitos, y una serie de actividades para lograrlos en un marco de diez años de duración. Igualmente, se identifican las tendencias clave y los principales retos que habrá que superar.

Se proponen cuatro verticales sobre las que se definen los objetivos de carácter global antes mencionados. Paso a describirlas a continuación:

1. Evaluación y medición de la situación de seguridad, cuyo objetivo a fecha de 2015 es lograr un sistema de monitorización plenamente automatizado del estado de seguridad de los sistemas de control.
2. Integración y desarrollo de medidas de seguridad preventivas, que permitan reducir el riesgo de estos sistemas. Se espera que para 2015 los limitados sistemas actuales hayan sido reemplazados por otros que incorporen desde su concepción mecanismos de seguridad integrales.
3. Detección de intrusiones y estrategias de respuesta. Sobre esta línea de actuación el objetivo final definido es, que los sistemas de control en el año 2015 incorporen avanzados sistemas de detección de intrusiones y mecanismos de respuesta automática basados en planes de contingencia apropiados.
4. Mejoras en la seguridad mantenidas en el tiempo de carácter proactivo y basadas en la colaboración entre los agentes de interés. El objetivo final es lograr que la colaboración sea efectiva y eficiente entre las instituciones gubernamentales y las partes interesadas del sector energético.

Personalmente, creo que resultan realmente acertados los objetivos que define el documento y recomiendo a todos los lectores interesados que echen un vistazo al resumen ejecutivo. Desde S21sec labs tenemos una visión muy similar, y de hecho la totalidad de nuestros proyectos centrados en la seguridad de sistemas SCADA y de automatización industrial, proponen líneas de I+D+i en este mismo sentido.

Elyoenai Egozcue,
S21sec labs

Tendencias en el fraude online

Durante la semana pasada tuvimos un webminar donde se presentaba el tercer informe de Fraude Online que hemos presentado desde que iniciamos nuestra andadura por estos temas. Una de las diapositivas finales presentaba una serie de 'predicciones' o tendencias sobre el fraude online, que son las que aparecen a continuación:

• Ingenieria Social: cualquier método es bueno para engañar al eslabón más débil: eurocopa, elecciones, declaración de la Renta, loterías, trabajos desde casa, desastres naturales, … Todos alguna u otra vez hemos recibido algún tipo de correo parecido y seguiremos recibiéndolo. Cada vez veremos asuntos más sorprendentes (inmobiliarios, seguros, etc.)
  
• Spear phishing: utilización de datos personales para hacer los mensajes más creíbles (datos sacados de las redes sociales: amigos, aficiones, correos, fotos, ...)
  
• Código malicioso cada vez más complejo (entornos virtuales (hypervisor), rootkits, creación a medida, P2P, cifrado). Nada nuevo bajo el sol, pero ya aparecen técnicas muy interesantes como la del Rustock.C.
  
• Proliferación de ISP a prueba de balas. Acórdemonos de la famosa RBN (Russian Business Network), pero lamentablemente cada vez existen más.
  
• Amenaza de los países emergentes (e.g. China). Es una realidad, tan sólo hay que buscar en tu buscador favorito malware+china.
  
• Irrupción en los dispositivos móviles (iPhone, BlackBerry, Windows Mobile, Symbian). Tiene que estar al caer. Hoy en día no existen ninguna amenaza comprometida, pero es cuestión de tiempo (seguramente no del mismo tiempo que IPv6 o DNSSEC). 
  
• Aumento del número de sistemas Microsoft comprometidos debido a la baja penetración de Windows Vista (esperaremos hasta Windows 7 para controlar su penetración en el mercado) Recordemos que Windows XP es un sistema operativo programado en 2001.
  
• Aumento del número de sistemas MacOSX comprometidos. El crecimiento en ventas de Apple se hará notar (más aún con los nuevos MacBook que van a sacar que se comentan que van a bajar notablemente el precio).
  

Indudablemente otro factor muy relevante es la presente y futura situación económica mundial, puesto con mucha probabilidad forzará a ciertas personas o grupos a intentar conseguir dinero de todas las formas posibles, con lo que, además de que las estadísticas lo indican, se augura un fuerte crecimiento de cualquier tipo de fraude en Internet.

 

¿Qué opináis? ¿Cuáles añadiríais? Dentro de un año las revisaremos, esperemos haber acertado en un alto porcentaje!!!

David Barroso

S21sec e-crime

300 Hackers griegos vs el LHC

Por si acaso la opinión pública no estaba ya lo suficientemente revuelta con el tema de la seguridad en el Gran Colisionador de Hadrones, el viernes pasado se publicó en el Daily Telegraph la noticia de que un grupo de hackers griegos se habían "burlado" de la seguridad informática del mismo.

Por supuesto, el titular se propagaba a una velocidad mayor que la de los propios hadrones (concretamente, a velocidad C: la velocidad del Cotilleo) y, algunos periódicos españoles, se hacían eco de la noticia.

Pese a que el CERN no dice nada al respecto en su página oficial, se ha eliminado el acceso público a la página del detector CMS (la que fue atacada).

La noticia tiene todos los visos de ser cierta. O, al menos, estar basada en hechos reales.

Digo esto porque da la sensación de que, desde la prensa (especialmente la española, y eso que el Daily Telegraph tiene fama entre algunos de "antieuropeísta"), se ha querido magnificar la importancia de lo sucedido.

Se hace mucho énfasis en el pueril mensaje de los intrusos (que no parece ni gramaticalmente correcto, dicho sea de paso), en utilizar expresiones como "debilidad de los sistemas", "gabinete de crisis", o en que uno de los trabajadores del CERN afirmó haberse sentido "asustado".

Sin embargo, el texto dice explícitamente:

"El sistema informático que los piratas griegos lograron invadir fue el llamado CMSMON, que controla el software que utilizarán los científicos para analizar los resultados de las colisiones...".

Es decir, una página para analizar los datos recogidos. No un sistema de control, ni nada que nos lleve a pensar en un elemento cuya seguridad sea crítica.

Tampoco se recoge la cita de James Gillies, portavoz del CERN, que sí aparece en el Daily Telegraph:

"We have several levels of network, a general access network and a much tighter network for sensitive things that operate the LHC", ("Tenemos diferentes niveles de red, una red de acceso general y una mucho más estricta para las cosas sensibles que operan el LHC").

Es decir que ese "único paso" que les quedaba a los hackers para penetrar en el sistema de control del CMS, era, con toda probabilidad, infinitamente más difícil de dar. Y eso es algo que los "no colegiales" hackers griegos, si fueran minimamente honestos, deberían reconocer.

Pero claro, diciendo eso, no se venden periódicos.

La seguridad es un factor tan crítico en cualquier sistema mínimamente valioso que no cabe duda de que en el CERN, con sus más de 110 sistemas de control, la han tenido absolutamente en cuenta.

Probablemente por eso les queda espíritu para cantar y bailar:

Luis Tarrafeta
S21sec labs

¿Hacia dónde se dirige el FDE?

Hasta hace un tiempo los sistemas FDE eran un ente independiente del sistema, y realizaban su labor del mismo modo, como una capa añadida a la protección que se ofrece en un sistema, dedicada a cifrar los datos que residen en el disco. Principalmente el software (TrueCrypt, SafeBoot,...), pero también el hardware (Seagate, Fujitsu,...) han estado y aún continúan estando muy presentes en nuestras vidas.

Pero cuál es ahora mismo el estado del FDE? Grandes fabricantes como Fujitsu han invertido en esta tecnología, sacando al mercado discos con cifrado AES 256, o el más antiguo Momentus de Seagate con AES 128. Y sinceramente, cuando he probado esta tecnología me ha gustado. Son rápidos, fáciles de gestionar, y muy difícilmente descifrables (vamos a dejarlo en difícilmente, que siempre puede haber sorpresas).

Pensé que iba a tardar en evolucionar el FDE y no sabía muy bien por dónde. Desde Intel se empezó hace más de un año a hablar de su nuevo chipset con tecnología Danbury, en el que las claves de cifrado son creadas y gestionadas desde el chip. Esto evitaría un Cold Boot Attack, y del mismo modo que los discos duros FDE, estaría exento de ser accedido mediante el uso de malware, Además, Intel pretende su integración con TPM, reduciendo gastos, pero parece que guardan silencio desde hace mucho. En este PDF se observa una alianza estratégica entre Intel y SafeBoot en este tema. No sé como andará ahora la cosa entre Intel y McAfee, que adquirió SafeBoot hace casi un año, aunque en estos casos lo mejor es ir de la mano.

Sin embargo, actualmente los que se mueven en el mercado FDE son grandes fabricantes como Symantec o McAfee, que están evolucionando el software FDE. También los propios sistemas operativos empiezan a integrar aplicaciones de cifrado (como Bitlocker para Vista o Luks for Linux, publicado por Clemens en este blog).

¿Es esto una evolución? Es cierto que un producto como por ejemplo un antivirus, con una característica añadida de FDE, se convierte en un mejor producto, incluso el software que estos fabricantes venden es una buena opción a veces, dada su mayor flexibilidad, pero al nivel en el que nos encontramos, la mayoría de soluciones hardware son más acertadas, ¿no?

Mientras nadie diga lo contrario y las posibilidades económicas lo permitan, las claves de cifrado estarán mejor protegidas en hardware que en software. Además, casi todos los productos hardware FDE son compatibles con la mayoría de sistemas operativos, mientras que los software suelen ser más restrictivos, aunque empiezan a abarcar más sistemas operativos. Eso sí, el coste de usar FDE por hardware es mayor que el de usar FDE por software, lo que implica que siempre hay soluciones para todos.


Miguel López-Negrete
S21sec labs

Phishing: ¿Cuáles son los puntos débiles de nuestras defensas?

El último informe de S21sec sobre el Fraude Online, muestra que el phishing sigue siendo la actividad fraudulenta predominante. Aunque técnicas más sofisticadas siguen incrementándose, llama poderosamente la atención el caso de phishing.

Las primeras investigaciones de esta amenaza datan de 1998 cuando se realizaba una investigación de malware en AOL pero se toparon con intentos de phishing en lugar de los esperados ataques de caballo de troya. [Where There's Smoke, There's Mirrors: The Truth about Trojan Horse on the Internet.]

¿Cómo es posible que una amenaza con más de 10 años siga ocupando con gran ventaja los primeros puestos?. Sabemos que funciona, pero no sabemos exactamente el por qué. (los usuarios son tontos no es una razón)

Se realizan numerosos esfuerzos desde diferentes ámbitos para la lucha contra el phishing. Interfaces de usuario con candados, https, colores en las barras de direcciones, avisos de certificados. Nuevas vías de detección de spam. Y nuevos diseños de esquemas de autenticación web con refuerzo contra el phishing. Pero da la sensación de que todo esto no sirve para nada mientras el comportamiento del usuario siga siendo el mismo: Click OK/Continue en cualquier tipo de mensaje que no se entienda; poca o nula educacion en seguridad; o el pensamiento "me da igual".

Podemos partir de que el usuario tiene una motivación limitada para combatir el phishing. No podemos esperar que lean código HTML, ni sepan como funciona el DNS, o entiendan la codificación de URIs. Tampoco entienden de certificados digitales, por lo que no pueden tomar decisiones en base a oscuros mensajes que estos presenten. Por todo ello, y porque somos víctimas de nuestra propia avaricia, los usuarios seguirán siendo engañados a través de las diferentes técnicas de phishing.


Soy de los que opinan que el phishing es un problema humano, algo que no se puede parchear, y siempre existirá, ya sea tal y como lo conocemos hoy o disfrazado dentro de nuevas amenazas que todavía ni imaginamos. Pero se lucha contra él y lo intentamos controlar, algo que si podemos. Y ahora os pregunto;

En vuestra opinión, ¿qué vías creeis que podrían ser las más útiles en la lucha contra el phishing?:

• Mejores interfaces de usuario. (más esfuerzo por parte de fabricantes de navegadores web)
  
• Nuevos modelos de autenticación web. ( o el uso de modelos de autenticación de red seguros, tipo kerberos, en entornos web)
• Uso de nuevas tecnologías como DKIM.
  
• Concienciación, programas de formación y sensibilización a los usuarios. Porque si algo sabemos, es cual es el eslabón más débil.
• Otros. ¿Cuales?

Emilio Casbas
S21sec Labs

Posibles mejoras en la seguridad del correo electrónico

A raíz del post del otro día, y tras leer los comentarios (¡¡gracias a todos!!), se me ocurrió una idea para mejorar la seguridad del correo electrónico. Tras discutirlo con mis compañeros, y después de unos cuantos mails intercambiados salió a la palestra otra alternativa, así que he decidido postear ambas. Hay que tener en cuenta que se enfocan a un usuario que no sabe nada de criptografía, por lo que todo debe ser totalmente transparente.

Inicialmente la propuesta consistía en que cada vez que se cree una cuenta de correo electrónico, asociada a ésta, se cree también un par de claves de cifrado asimétrico (pública y privada), con un algoritmo decente. A la vez, la clave pública será enviada a un servidor de claves, para que esté disponible para todo el mundo. La clave privada se almacenará en el servidor de correo debidamente securizada, evitando que nadie pueda robarla. Ni qué decir tiene que todas las comunicaciones entre el usuario y el servidor de correo deben ir convenientemente cifradas.

Dependiendo de la forma de envío/recepción de mensajes tenemos dos escenarios:

• Webmail

• Cada vez que alguien quiera enviar un correo a Pepito, se buscará su clave pública en el servidor de claves (se podría almacenará localmente en el servidor de correo), se cifrará y firmará, y se enviará.

• De la misma manera, y de forma transparente, cuando Pepito vaya a consultar su correo, todos sus mensajes se descifrarán con su clave privada.
  
  

• SMTP/POP3

• En el caso de acceso mediante protocolo POP3, el usuario (quizá más avanzado) deberá descargar las claves del servidor de correo, quedando bajo su responsabilidad el buen uso de ellas.

• En caso de dudas, el uso de las claves y el cifrado/firmado con su cliente de correo favorito estará disponible en uno de los muchos tutoriales sobre el tema.

• Si el usuario quiere generar sus propias claves, también deberá haber una funcionalidad para que las intercambie con las existentes, revocando y borrando éstas últimas.

• Si no se quiere almacenar las nuevas claves en el servidor, se deberá especificar en las opciones de la cuenta que se usarán claves propias, revocando y borrando las antiguas. En este supuesto, la compañía que nos proporciona la cuenta de correo, únicamente se podrá descargar la clave pública del servidor de claves para firmar correos, aunque si se marca esta opción se supone que es para realizar el envío/recepción de correo a través de SMTP/POP3 y cifrarlos/firmarlos en local, proporcionando un mayor grado de seguridad al no estar las claves en el servidor de correo.

Con esta opción se ganaría mucho en privacidad (peor no podemos estar), ya que todos los mensajes circularían cifrados y firmados, por lo que nadie ajeno a ellos podría verlos ni modificarlos, y todo ello de forma transparente al usuario. Como inconvenientes principales tenemos:

• Implementación: realmente su implementación no sería muy costosa, pero lo que sí sería crítico es la voluntad de realizarlo por parte de de las compañías correspondientes: Hotmail, Yahoo, Gmail, etc. Realmente ellos no ganan nada con ello, sino que sería una mejora exclusiva para el usuario.

• Tiempo: el tiempo que se tarda en enviar un mail se incrementaría, aunque no debería ser demasiado notable, a no ser que el envío se realice a gran cantidad de destinatarios.

• Tamaño: quizás el tamaño de los correos se abultaría un poco al cifrarlos, pero teniendo en la bandeja de correo mensajes diarios de 3mb con el último vídeo gracioso, no creo que sea algo importante.

• Seguridad: las claves privadas residen en el servidor de correo (ouch!). Realmente todo iría cifrado y todo iría bien, pero poniendo el modo paranoico ON, esto no nos da mucha sensación de seguridad, aunque se pone una barrera más, que tampoco está mal.

La idea creo que es buena, pero el gran inconveniente es el de la seguridad, el hecho de tener tu clave privada en un servidor ajeno a ti. Para solucionar esto, como bien apuntaba mi compañero Patxi Astiz (también escritor de este blog), se debería pasar de cifrado en servidor a cifrado en cliente, intentando mantener la transparencia con el usuario. En este caso se generarían las claves en el pc del usuario, sin necesidad de interacción por su parte, al crear una cuenta en un cliente de correo o a través del navegador. Esto obligaría a tener un cliente de correo adaptado para tal efecto, que por defecto cifrara todos los mensajes enviados, con la lógica del servidor de correo de la idea inicial. Además para el uso del webmail debería existir un módulo en los navegadores que permitiera la creación de una cuenta de correo de diversas compañías, generando las claves en local, así como los envíos y recepción de correos, con la misma lógica. En ambos casos debería tratarse de módulos internos no extensiones. Esto es muy importante, ya que se trata de una solución de cara a un usuario inexperto, que seguramente no sabrá ni lo que es una extensión.

Ambas ideas tienen sus pros y sus contras, y ambas son difíciles de implementar, porque se trataría de cambiar una implementación base de hace muchos años por una más segura, y no creo que todos los implicados estén por la labor. De todas formas, os animo a que comentéis estas soluciones, así como otras alternativas de vuestra cosecha para que la criptografía esté presente en el día a día de todos los usuarios, dotando de seguridad a nuestras comunicaciones, y de forma transparente, logrando así una difusión máxima. Soñar es gratis.

Jose Miguel Esparza
S21sec labs

Federal Trojan Horse (2)

Since the last post about this topic there still only exist a draft law to allow the accomplishment of online searching by the German state.

Recently the Chamber of Commerce and Industry (DIHK) - as ambassador of the German economy - alerted to allow this kind of online observation, because it involves a high risk to be misused by third parties. And this risk not only concerns private people. The DIHK warns that thereby company secrets are endangered and industrial espionage is assuaged.

Also the data protection commissioner of Germany doubts if the risks which are associated with the accreditation of online searching can be sufficiently controlled.

Finally, voices from different parties get louder which vote against the authorization of the German state to do online searching. When the final decision about this law will be made is not yet determined, but an interior committee of the German parliament will hear experts at the 15 of September this year.

Clemens Kurtenbach
S21sec labs

Detección de SPAM

El Spam es un gran problema que sufrimos prácticamente todos los usuarios del correo electrónico día a día, por eso, desde hace ya años se dedican muchos esfuerzos para intentar reducir su presencia. Además de los esfuerzos de los proveedores de servicio por mitigar el problema dentro de su propia red, una de las opciones que el usuario suele tomar es utilizar un filtro o detector de Spam. Esta última opción es una de las primeras que se empezó a utilizar y que ha evolucionado desde sus orígenes siendo el aprendizaje automático y la inteligencia artificial disciplinas que han contribuido en gran parte a la evolución de estos filtros. Un ejemplo de esto son los filtros Bayesianos y el ya clásico SpamBayes.

Recientemente me encontré con un artículo que llamó mi atención. En este artículo se plantea un sistema de detección de Spam que mimetiza la forma en la que el cuerpo humano (su sistema inmune) detecta la presencia de antígenos para detectar así la presencia de Spam en nuestra bandeja de entrada. La naturaleza es sabia y lleva muchos miles de años de evolución por lo que desde el mundo de la inteligencia artificial se ha intentado copiar muchas veces algunas de sus particularidades. Como muestra los algoritmos genéticos, los algoritmos basados en colonias de hormigas, los basados en enjambres de abejas, o las propias redes neuronales. La técnica en la que se basa el artículo de detección de Spam son los sistemas inmunes artificiales. Ésta no es una disciplina nueva ya que se trabaja en estos sistemas desde finales de los años 80, ni tampoco es la primera vez ni será la última que estas técnicas se aplican a la detección de Spam, pero sí que plantea una adaptación novedosa de un sistema inmune artificial al problema concreto de la detección de Spam. Sin duda, con los descubrimientos que día a día se hacen en el mundo de la biología sobre cómo funciona nuestro organismo, los sistemas inmunes artificiales también irán evolucionando y proveyéndonos de una herramienta muy potente que se puede aplicar a problemas de detección, entre ellos, como hemos visto, la detección de Spam.

Guzmán Santafé
S21sec labs

Asegura IT III – Bilbao 25 de septiembre

Después del éxito obtenido en las pasadas ediciones de Barcelona y Madrid, Informática 64 ha organizado una tercera convocatoria para su evento Asegura IT. Bajo la filosofía de este evento de cambio de ciudad, agenda, presentaciones y ponentes en todas las ediciones, en esta ocasión el ponente por parte de S21sec será Mikel Gastesi, investigador de S21sec y autor de algunos de los post de este blog. Hablará sobre Cracking & protección de software. Además, en la jornada podrás escuchar a expertos hablar sobre rootkits, tempest, Network Access Protecction, y protección contra Botnets. Si al final del evento aún tienes alguna duda, ellos te la resolverán. Te esperamos el 25 en la Universidad de Deusto e inscríbete cuánto antes que el aforo completo está asegurado.

Marketing S21sec

Fraude 2005-2008: una evolución natural

Hace unas semanas publicamos el Informe de Fraude Online 2007-2008 donde, entre otras cosas, se comentaba que en el primer semestre de 2008 habíamos tratado más incidentes que en todo 2007; pero también ofrecíamos una estadística importante: la evolución del fraude desde que S21sec empezó con su servicio en Marzo de 2005, hasta la actualidad.

Si nos fijamos en la gráfica, hemos multiplicado por tres el número de incidentes de fraude online respondidos por nuestro servicio, pasando de unos pocos más de 600 incidentes en 2005, a casi 1800 en 2007 (¡sin contar con los 1800 del primer semestre de 2008!). Realmente es difícil encontrar datos estadísticos del fraude (puesto que siempre se habla de porcentajes y estimaciones) pero en nuestro informe se presentan con todo detalle las características de los fraudes online durante estos años.

Todos los datos que se presentan coinciden con el mensaje que intentamos transmitir en todos los eventos en los que participamos:

• La irrupción de las bandas organizadas en el negocio
• El uso de código malicioso (malware), cada vez más complejo
• El alto grado de Seguridad de las entidades financieras, que obliga a cambiar el objetivo de estas amenazas hacia el eslabón más débil
• El eslabón más debil, que claramente, somos los seres humanos
  

También resulta muy interesante las estadísticas de incidentes de fraude divididas en los tres grupos principales de 'vectores de ataque':

• Phishing: suplantaciones de las páginas de entidades financieras u otro tipo de organizaciones
• Malware: robo de credenciales mediante el uso de keyloggers o de secuestros del navegador (muchos de los pharmings actuales están incluidos aquí)
• Redirectores: utilización de javascript o características propias de HTTP para complicar el cierre de los sitios web (una especie de sitios web encadenados)

En la gráfica anterior se puede observar, que el phishing hoy en día sigue existiendo (seguro que lo podéis comprobar en vuestros buzones de spam), pero lo que está creciendo cada vez más es el uso de código malicioso, mucho más peligroso, porque ya no necesita para nada la intervención del usuario; tan sólo necesita que el usuario se conecte a la web deseada.

Otros puntos a analizar son los tiempos de respuesta en la detección y cierre de cualquier amenaza relacionada con el fraude. Durante estos años, desde S21sec labs se ha ido trabajando duramente en la creación de nuevas herramientas de detección (análisis automático de malware, navegación automática en busca de malware, análisis de dominios y de spam, ...) que nos ha permitido mejorar radicalmente nuestras capacidades de detección, y también en nuestros métodos de reacción, donde cada día mejoramos nuestra respuesta contra estas amenazas.

Os recomendamos la lectura del informe y por supuesto, agradecemos cualquier tipo de comentario o crítica sobre el mismo.

David Barroso

S21sec e-crime

Por un mundo seguro

Quizá suene muy repetitivo, viendo los anteriores posts, pero os aseguro que no nos hemos puesto de acuerdo;). Es algo en lo que pensé hace unos cuantos años y que me volvió a la cabeza hace unos días al ver la noticia en la que se comentaba que el gobierno británico había redactado una propuesta para la UE para que se registren datos de los SMS, además de las llamadas telefónicas y correos electrónicos, de todos sus ciudadanos, aunque en un futuro podría ser aplicable a todos los países miembros. En principio únicamente se almacenará lo referente a cuándo, dónde y a quién va dirigida la comunicación.

Los que se posicionan en contra de este tipo de medidas reciben siempre las mismas respuestas: “si no tienes nada que esconder te debería dar igual”, “se hace para evitar atentados”, etc. ¿Realmente por qué tendría que dejar la puerta abierta a una posible inspeccion de mis correos? desde luego que no tengo nada que esconder, pero ¿el fin justifica los medios? ¿no se trataría de una invasión de mi intimidad?. Además, si fuera un terrorista y no quisiera que nadie metiera las narices en mis asuntos desde luego que no iba a mandar un correo electrónico sin cifrar, igual ni si quiera me comunicaría a través de Internet, usaría palabras clave, quedaría cara a cara, etc. Al final, en mi opinión, los únicos perjudicados con este tipo de medidas son la gente de a pie, y no los terroristas, que encontrarán otras vías seguras de comunicación.



Hace ya unos años me encontré con el tema de la privacidad en el correo electrónico . Yo muy feliz dije: “Pues muy bien, uso un cifrado de clave asimétrica, difundo mi clave pública, y ya está, ya nadie podrá husmear en mis datos”. Pero no es tan fácil, ya que no sólo me relaciono con informáticos, y aunque lo hiciera, a todos no les importa la seguridad de sus comunicaciones y no quieren "perder el tiempo" con ello. Al final te encuentras con tu clave pública y tu clave privada, y como mucho las usas para firmar los correos y relacionarte con algún friki como tú (que no es poco). Lo que quiero decir con esto es que si la gente pasa del tema y/o no está concienciada con ello tú no puedes hacer nada. No sirve de nada mandarle un correo cifrado a un amigo si lo lee y dice “¿pero qué es esta mier**? creo que ha llegado mal tu correo...”. Creo que me tendría que pasar por todas sus casas, instalarles el programita adecuado, explicarselo detalladamente, y, aun así, al día siguiente nadie lo usaría. Lo mismo puede pasar con los proyectos de cifrado de SMS, no todas las personas tendrán la aplicación de marras en sus teléfonos, y su uso se limitará a ciertos círculos privados.

Quizá este post tenga tintes paranóicos para algunos, y puede que tengan razón, pero es evidente que cada vez se imponen más medidas de control sobre las comunicaciones en favor de la seguridad mundial, dando por supuesto que se puede prescindir de la privacidad si es con tan noble fin. Yo, al menos, no lo tengo tan claro.

Jose Miguel Esparza
S21sec labs

Mejor quedamos como amigos

En uno de nuestros posts recientes, Eduardo, comentaba que los principales algoritmos de cifrado (como por ejemplo, el omnipresente AES) fueron estandarizados por los estadounidenses. Y, después de repasar otras alternativas, concluía: "hay opciones de sobra para no depender de decisiones extranjeras".

¿Y cuál es el problema de depender de soluciones extranjeras? Se preguntará más de uno. Por un lado, es prácticamente inevitable hacerlo de una manera u otra. Por otro, la mayoría de nosotros vivimos con la sensación de que, tras décadas de estabilidad institucional y razonable "buenrollismo" entre la Europa occidental y los Estados Unidos, no debemos temer nada de los hijos de Inglaterra.

Y, sinceramente, ojalá siga siendo así.

Sin embargo, hay motivos para querer tener alternativas. El principal de ellos, también fue comentado de pasada por Álvaro en este blog. El acta que el congreso de los EEUU, aprobó, en un tiempo récord de 45 días, a raiz de los atentados del 11.09.02001: el USA PATRIOT Act.

Detrás de este populista acrónimo (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism; es decir, Uniendo y Fortaleciendo América mediante la Provisión de Apropiadas Herramientas Requeridas para Interceptar y Obstruir el Terrorismo) se encuentra una ley que permite al ejecutivo llevar a cabo determinadas acciones que, anteriormente, requerían intervención del poder judicial. Por ejemplo, y para que nos entendamos, se pueden vigilar las comunicaciones telefónicas, el correo electrónico o los registros públicos y privados de los ciudadanos sin que tener que depender de la decisión de un juez.

El Acta ha sido -y sigue siendo- muy polémica por el conflicto que representa para con los derechos civiles (de hecho hay partes que han sido consideras anticonstitucionales por algunos tribunales) y por el oportunista momento en el que vió la luz.

Lo que es menos conocido es que, dentro de las disposiciones del Acta, se encuentra la de obligar a cualquier compañía estadounidense, a proporcionar toda la información disponible acerca del funcionamiento de sus dispositivos y programas, en caso de que el Gobierno de los EEUU lo necesite. Esta obligación, por supuesto, se aplica también a las compañías de seguridad informática. De manera que confiar en la seguridad de sus soluciones pasa por confiar en el propio Gobierno de los EEUU.

Por poner un ejemplo, y volviendo al tema del AES, la existencia de una "puerta trasera" o backdoor para uso de la NSA, es algo que se sospecha desde hace tiempo (aunque, por supuesto, también se niega). ¡Y eso que el algoritmo fue propuesto por investigadores europeos!

¿Tiene sentido intentar no depender de material estadounidense o es mera conspiranoia? Para la inmensa mayoría de usuarios que realizan actividades legales y no considerables de alto secreto el esfuerzo que representa protegerse de algo así probablemente no esté justificado. Sin embargo, siempre existen voces dispuestas a recordar -a veces, sin contrastar demasiado- algunos precedentes que cuestionan la motivación real de estas actividades.

Luis Tarrafeta

S21sec labs