Por qué los cifrados de Facebook o de Whatsapp no sirven para nada

Crédito: Wikimedia
Crédito: Wikimedia

Al menos en Europa. Ampliemos esto a cualquier otra aplicación corporativa que presuma de proteger nuestras conversaciones. Las filtraciones de la NSA y todo lo que tiene que ver con la vigilancia masiva en muchos países del mundo ha desatado una carrera publicitaria entre los pesos pesados de las redes sociales y la mensajería, con el fin de revertir la mala imagen adquirida por su colaboración con estos programas de vigilancia.

Pero lo cierto es que las funcionalidades añadidas en muchas de ellas no sirven para nada, y la explicación no es técnica, sino jurídica. Las normativas europea y española establecen tres aspectos para los operadores que presten servicios de comunicaciones electrónicas disponibles al público: que los datos generados sean retenidos, que el almacenamiento y entrega a las autoridades sea libre de cualquier cifrado y que los organismos reguladores tengan acceso a los dispositivos de cifra utilizados en esas redes. Continue reading Por qué los cifrados de Facebook o de Whatsapp no sirven para nada

El CNI publica una extensa guía de seguridad en WordPress

Wordpress Meeting en Viena (2013). Crédito: Flickr
WordPress Meeting en Viena (2013). Crédito: Flickr

El Centro Criptológico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia acaba de publicar en el mes de julio un amplio documento de recomendaciones de seguridad para WordPress, el popular gestor de contenidos pensado para blogs, pero que con el paso del tiempo ha ido mutando a funciones cada vez más complejas: e-commerce, fondos documentales, etc.

Si bien este organismo tiene como funciones declaradas la de establecer políticas públicas de seguridad en la transferencia de datos, la particular relación del CCN con la multinacional Microsoft en épocas de vigilancia masiva abre importantes interrogantes en el Esquema Nacional de Seguridad español.

Continue reading El CNI publica una extensa guía de seguridad en WordPress

Armas 3D en España: ¿son posibles?

Prototipo de pistola Liberator. Crédito: Wikipedia
Prototipo de pistola Liberator. Crédito: Wikipedia

Tras la sonora difusión del documental “3D printed guns” en el año 2013, donde se mostraba las amplias posibilidades para fabricar un arma semiautomática con una impresora 3D, nos preguntamos qué posibilidades tiene esto en España. Según el diseñador de armas de código abierto Cody Wilson, nuestro país es uno de los que más descargas ha hecho de sus diseños para fabricar en casa un arma de fuego. ¿Son las armas 3D legales? Continue reading Armas 3D en España: ¿son posibles?

Vigilancia en internet: soluciones al monitoreo legal o ilegal de lo que hacemos en la red

¿Se puede enfrentar la vigilancia masiva?
¿Se puede enfrentar la vigilancia masiva?

La Circular 1/2013 de la Fiscalía General del Estado sobre pautas en relación con la diligencia de intervención de las comunicaciones telefónicas establece algunas definiciones técnicas para el Ministerio Público, con el fin de que se comprendan los alcances y alternativas de éstos en materia de intervención de las comunicaciones. Esto incluye el tráfico que circula por nuestro módem y cuyos datos son almacenados por la empresa que nos provee la conexión a internet. Veamos las consecuencias de este “pinchazo” a nuestras comunicaciones, las formas legales o ilegales de hacerlo y cómo protegernos. Continue reading Vigilancia en internet: soluciones al monitoreo legal o ilegal de lo que hacemos en la red

¿Respetan las administraciones públicas la neutralidad tecnológica?

Molinux, distribución de la JCCM basada en Linux/Unix
Molinux, distribución de la JCCM basada en Linux/Unix

En España, la neutralidad tecnológica es ley, o al menos aparentemente. Esto significa que en aquellas relaciones que entable la Administración con los ciudadanos y sus comunicaciones electrónicas, no se impondrá ninguna opción en particular, priorizando la utilización de software de código abierto. Pero vamos a ver algunos ejemplos de que eso no es así.

Continue reading ¿Respetan las administraciones públicas la neutralidad tecnológica?

Las carteras en Bitcoin no están en riesgo, tu sistema operativo sí

¿Es vulnerable tu cartera en Bitcoins, como recientemente se aseguraba en Rooted Con 2015, o por el contrario de lo que estamos hablando es de la vulnerabilidad de tu sistema operativo del que apenas puedes mantener el control?

Artículo publicado originalmente en Sobrebitcoin.com.

Todas las wallets funcionan con criptografía de clave pública. Esto quiere decir que hacen falta dos elementos para verificar la firma y administrar o modificar datos de la cartera: una clave pública (la dirección de destino de bitcoins en el caso de un envío) y una parte privada que debe quedar en posesión del titular de esos BTC.

La mayoría de los análisis de ciberdelincuencia en materia de Bitcoin no están enfocados en romper el cifrado de sus wallets, sino que están basadas en las deficiencias en los sistemas de almacenamiento, ya sean estos ordenadores personales o servidores remotos. Obviar este dato es muy peligroso, pues en la práctica lo que se está evidenciando no es la vulnerabilidad de Bitcoin, sino la vulnerabilidad del almacenaje.

Según publica eldiario.es, los analistas participantes del Rooted Con 2015 Yaiza Rubio y Felix Brezo,  hicieron un repaso a las diferentes formas en las que pueden verse comprometidas nuestras carteras, pero lo que vamos a ver es que el resultado ofrecido por estos dos analistas sirve para cualquier otro archivo (documentos confidenciales, fotografías, etc.), luego ¿qué parte de la seguridad está fallando? ¿Bitcoin o el sistema operativo con el que trabajamos?

El almacenaje local

Una cartera almacenada en un ordenador personal que pueda ser afectado por cualquier malware es sin duda un riesgo que afecta a todos los equipos y servidores administrados por sistemas operativos de código cerrado (Windows o Mac, principalmente).

La solución propuesta por los analistas de inteligencia es el cifrado del archivo que contenga las claves privadas pero, ¿eso resuelve el problema?: no.  El problema de los malwares más comunes es precisamente la facilidad que tienen para ingresar a cualquier equipo sin el consentimiento de su administrador y afectar a su núcleo, algo cuya solución más efectiva y conocida hasta el momento es el trabajo mediante un entorno multiusuario  donde los usuarios reciben una serie de privilegios o permisos específicos y donde existe un control de acceso dedicado, algo que en la actualidad solo proveen los sistemas operativos Linux (Debian, Ubuntu, Fedora, etc.).

Las carteras mentales

Otra de las críticas de los analistas se centra en las carteras mentales como las de Bitaddress.org, el cual ofrece la posibilidad de proteger la clave privada con una palabra clave que el usuario pueda recordar.  Esto efectivamente es un problema cuando el usuario final utiliza una palabra sencilla o que está almacenada en los miles de diccionarios de claves frecuentes que circulan por la red. En principio esto tiene una solución sencilla: verificar la identidad del titular de la cuenta, obligar al usuario a utilizar caracteres especiales, limitar las opciones de acceso con clave fallida y una prueba de Completely Automated Public Turing test to tell Computers and Humans Apart , más conocido como CAPTCHA. Esta es la solución más efectiva para nosotros a la hora de evitar lo que es un ataque de fuerza bruta de toda la vida.

El almacenamiento “en frío”

Es sin duda una de las formas de seguridad más rudimentarias y, en lo que coincidimos con los analistas, es quizá de las más seguras, ya que impide cualquier contacto con la red de los archivos que puedan recoger datos sobre nuestra clave privada. Este almacenamiento puede ser desde una memoria externa u ordenador desconectado hasta una cartera impresa en papel, de la que podemos hacer tantas copias como sea necesario.

Conclusión

En síntesis, el riesgo del robo de bitcoins no es en un problema de rotura de cifrados o del propio protocolo, sino que el problema reside en su forma de almacenamiento y que en la práctica afecta a los bitcoins o a cualquier otro archivo susceptible de ser protegido. El malware contra los equipos de almacenamiento tiene su principal medida de seguridad en el sistema operativo que elijamos, y para nosotros, Linux es la opción principal para protegerlo.

El problema no es Bitcoin, sino tu sistema operativo.

El uso de la firma digital FNMT en Semplice-Linux

Desde hace algunas semanas que los servicios de firma digital de la Red Sara parecen registrar incompatibilidades en materia de uso de los applets de Java en todas las distribuciones de Debian, estables o inestables. En nuestro caso, el problema se ha dado sobre Semplice-Linux, una distribución ligera basada en Debian Sid que puede usarse sin problemas en la Administración Electrónica.

Realizadas consultas con el soporte de la plataforma @firma, desarrolladora de este Applet, nos comentan lo siguiente:

Es un problema genérico de Firefox en Linux y OS X (incompatibilidad con Java LiveConnect) que Mozilla se niega a subsanar, por lo que desgraciadamente poco podemos hacer.
La solución es abandonar los Applets de Java e instar a los usuarios a instalarse el Cliente @firma con invocación por protocolo (“Firma Fácil con @firma”). Si los usuarios tienen instalada esta aplicación y el integrador usa el último JavaScript disponible en el SVN la firma en la página Web funcionará sin ninguna diferencia respecto al Applet.
La versión Linux de esta aplicación puede encontrarse aquí: https://github.com/guadalinexv9-team/simpleafirma  En breve se publicará, gracias a la ayuda del equipo de Guadalinex, en los repositorios de este sistema operativo. 
No obstante, se trata de una versión beta, por lo que en algunas distribuciones de Debian puede seguir habiendo problemas. Nuestra recomendación es que para usar la firma FNMT en Debian se trabaje a partir de distribuciones de Java anteriores a 7u72. De hecho, nosotros estamos trabajando con la inmediatamente anterior (6u45), y funciona perfectamente.

Semplice 6, la tabla de salvación de los ordenadores de gama baja

Si observamos la web informativa de Windows a la hora de establecer patrones y recomendaciones sobre cómo mejorar el rendimiento de un ordenador, observaremos que todo el instructivo orienta a dos cosas: o bien aumentar la memoria RAM del equipo, o adquirir componentes de mayor capacidad. Nada establece a la hora de economizar recursos, distribuir eficazmente el uso de la RAM o simplemente, eliminando procesos innecesarios.

Lamentablemente, esto ya no es solo un problema de Windows, sino también de Ubuntu, sistema operativo que si bien sigue siendo libre, está preparado para consumir cada vez más recursos del ordenador, y por tanto es problemático su uso en ordenadores de gama baja o económicos.

Para eso está Semplice 6, una distribución de Linux basada en Debian, que combina ligereza, elegancia y sencillez, y que está orientada a consumir solamente los recursos básicos para un correcto funcionamiento.

Su escritorio OpenBox resume el lanzador de aplicaciones a un simple click de botón derecho del mouse. Además, viene con varias aplicaciones precargadas para el usuario común (navegador Chromium, editor de texto, editor de imagen y reproductores de vídeo y música multiformato).

Gracias a esta distribución de Linux, podemos hacer que un ordenador portátil de gama baja, de precio aproximado de entre 170 y 190 euros, pueda correr de manera impecable. Hemos hecho el ejemplo de hacer correr simultáneamente cuatro procesos: navegador Chromium, herramienta de programación Gambas, LibreOffice y el editor de imagen GimpShop, con resultado de consumo de no más de 900 MB de memoria RAM.