El diario alemán Der Spiegel ha publicado nuevos documentos que nos muestran los intensos esfuerzos que ha estado desarrollando la NSA para romper los principales protocolos de seguridad y cifrado en internet.
En un artículo firmado entre otros por Laura Poitras, Andy Mueller Maguhn y Jacob Appelbaum nos señalan que entre servicios que no podríamos confiar están los protocolos PPTP, IPSec, SSL y TLS.
De la vulnerabilidad de estos dos últimos se deriva que la NSA sería capaz de interceptar el tráfico de las conexiones «seguras» HTTPS que todos utilizamos para acceder a nuestras cuentas de correo, servicios bancarios, comercio electrónico, etc… (10 millones de conexiones «agrietadas» por día se preveía en un informe clasificado para finales de 2012).
Incluso el protocolo SSH que se utiliza para acceder a maquinas remotas a través de internet también habría sido roto por los servicios de inteligencia de los 5-eyes (USA, Australia, Reino Unido, Nueva Zelanda, Canada)
Otro de los servicios infiltrados con éxito han sido las VPN que utilizan protocolos de comunicaciones PPTP o IPsec. Estas redes privadas virtuales que crean un túnel teoricamente seguro y cifrado entre dos puntos en internet están siendo explotadas de forma masiva por la NSA habiendo conseguido penetrar varias redes como las del gobierno griego (tienen 12 tipos dedicados solo a eso…cuando gane Syriza las elecciones van a tener que doblar la plantilla xD), compañías de telecomunicaciones rusas, lineas aereas de varios paises, además de espiar las conversaciones de funcionarios de países como Afganistán, Pakistán y Turquía.
Mención especial a Skype el software de videollamadas más popular que como todos sospechábamos y ya hemos comentando en otras ocasiones forma parte desde hace tiempo del programa PRISM como fuente de recolección de datos al igual que varios servicios de Google o Apple. Una situación que obviamente no cambió con la compra de Skype por parte de Microsoft en 2011.
En general podemos decir que ha habido una guerra continua contra la seguridad en la red y todo tipo de protección que impidiera a la NSA acceder a cualquier tipo de dato, no solo buscando exploits en los servicios más críticos sino también influyendo en las decisiones de los gobiernos y organismos internacionales para relajar los estándares de seguridad sobre los que se construye internet, al mismo tiempo que hace modificaciones criptográficas en dispositivos comerciales para hacerlos susceptibles de ser explotados.
Servicios de correo como Mail.ru o redes sociales como Facebook tampoco le presentan grandes problemas a los servicios de inteligencia norteamericanos a la hora de acceder a los datos de sus clientes.
La NSA también contaría con un programa denominado Tundra para atacar el cifrado AES del que apenas se conocen detalles.
Y ahora las buenas noticias…Que es lo que todavía se resiste a la NSA?
Servicios como Tor la red de túneles virtuales gestionada por miles de voluntarios, que permite a los usuarios de internet mejorar su privacidad y seguridad mediante servicios como su navegador Tor Browser o distribuciones especializadas como Tails que ofrecen navegación totalmente anónima…
Ello no quita como hemos comentado en varias ocasiones, que no se pueda identificar a un usuario si no toma las precauciones debidas (generalmente los fallos siempre vienen por Flash y otros servicios del navegador que no han sido debidamente configurados).
TrueCrypt este popular servicio de cifrado (actualmente descontinuado) es otro de los que causan problemas a los servicios de inteligencias, así como el protocolo OTR (Off-The-Record Messaging) que permite tener conversaciones privadas vía internet utilizando aplicaciones como Pidgin muy populares en GNU/Linux.
Programas de código abierto para sistemas móviles como RedPhone, una aplicación avalada por la EFF que utiliza el protocolo ZRTP permitiendo a los usuarios de Android hacer llamadas de voz cifradas utilizando conexión wi-fi o tarifas de datos en internet.
Y por último un veterano que lo resiste todo: PGP (GnuPG para los que usamos GNU/Linux). Casi un cuarto de siglo después este programa desarrollado por Phil Zimmermann que nos facilita el cifrado y la firma digital sigue ofreciendo resistencia a los servicios de inteligencia de todo el mundo:
«No decrypt available for this PGP encrypted message» dicen varios documentos de la NSA al respecto 🙂
Fuente | Der Spieguel
Interesante el «Documental» amigo Jose, ciertamente nos protegemos de mil maneras, particularmente utilice un tiempo RedPhone. Gracias de nuevo por mantenernos informados al día.
@Anger Gracias a ti por pasarte y comentar colega!
A mi también me parece interesante lo de RedPhone pero le pasa como a la mayoría de herramientas de cifrado si la otra persona, es decir el receptor no lo tiene, pues no hacemos nada xD
yo recién me instalé redphone y textsecure. Redphone sólo funciona entre gente que lo usa, pero textsecure permite mandar SMS inseguros a gente que no lo tiene (sólo manda SMS seguros si el número está registrado)
O sea, es lo que desde un principio se debería haber hecho con el envío seguro de mails. Si yo no tengo GPG instalado, que me lo instale y me genere las claves, si el destinatario no tiene clave pública, que lo mande como correo común, y si tiene clave pública, que lo envíe cifrado. Privacidad sin perder la comodidad.
Muy buen punto de vista y respetable.
Tanto que me gusta SSH …pero nada, lo seguiré usando y cuando necesite enviar algo «Top Secret» pues mando el paquetito cifrado con «GnuPG» con un mensajito sin cifrar que por ej. diga: …NSA. … do your job !!! LOL
Gracias Tannhausser.
Felices Fiestas!!
Alarmante por decir lo menos, y pensar que en la escuela nos decían que IPSec con cifrado AES era inquebrantable… uuufff, lamentablemente, y como varios colegas lo han dicho, hay poca conciencia (y flojera, por que no decirlo) en cuanto a la seguridad y las herramientas disponibles, a estas alturas debería ser norma que todas las conexiones fuesen seguras y las comunicaciones viajen cifradas pero ahi esta como tu dices la mano de la NSA y esos «incentivos» a mantener la inseguridad, estoy a punto de empezar a usar GPG en el correo y me esta valiendo un carajo que deje de recibir e-mails por un tiempo.
Por otro lado, como siempre Tannahausser muy buena info y desearte felices fiestas.
@moscosov, creerme que entiendo como te puedes sentir, …para aliviar esta situación ya hace bastante tiempo que estoy usando la combinación: Thunderbird/Enigmail y me va bien.
Saludos
Yo creo que hacen estas publicaciones para controlarnos de cualquier forma. Dicen que no han logrado entrar, pero talves si, pero no lo sabemos nosotros por eso dicen que no para que todos los usemos y tal ves si y ahora ya nos estan leyendo.
Dios existe y se llama NSA.
Dejen de alimentar a estas bestias y entonces no habrá dinero para sus proyectos. No compren productos de Canadá, Yanquilandia, Reino Unido, Australia y Nueva Zelanda. Dejen de consumir coca-cola y consuman piri-cola (la bebida alternativa de tu país), no compren ford pero compren un mercedes (aunque sea usado), etc…
Pues menos mal que existe Tor y otras lindezas por el estilo. Pero esto de cifrar correos es un poco «pesado», ¿no?.
Como se ha dicho por aquí, yo también pienso que nos espían de cualquiera de las maneras. Pasa que disimulan para que no se note tanto. Al igual que fotografían un insecto a 10 kms de altura, igual conocen nuestros gustos, nuestros vicios y nuestras virtudes. Todo esto bien mezclado y aderezado resulta un cóctel, de lo mas interesante para las empresas de marketing etc. En fin, que si quieres divulgar cualquier secreto, lo mejor es conectarse a La Red. ¡Ah! y olvidaba mencionar las redes sociales, como Twitter, Facebook y otras que esto podría formar un capítulo aparte.
Al final va a resultar que las señales de humo, o el tam-tam, van a ser las herramientas mejor valoradas para poder comunicarse. Ironías de los tiempos que nos ha tocado vivir.
Si es que cada vez que se habla de la NSA sube el pan 🙁
Buen articulo replicante, como siempre.
Un saludo
La culpa es de ellos por tenerlo todo tan bien documentado…de esa manera nunca van a paran de salir papelitos xD
Un saludo @dmacias y gracias a ti por pasarte.
Un poco de off-topic, pero si está relacionado con nsa y alemania
http://peru21.pe/mundo/alemania-interceptan-virus-espionaje-eeuu-oficina-angela-merkel-2207884
http://www.elmundo.es/internacional/2014/12/29/54a14634268e3ecf718b4584.html
Las cosas que hacen los que nos dominan, miren nomás lo que están haciendo con el precio del petróleo para joder a Rusia por el tema de Ucrania, como dijo una banda de rock, EEUU se pasa por los huevos al mundo entero y no pasa nada, al igual que Roma podrán dominarnos 10000 años pero va a llegar el día en que se van a ir a la misma mierda, y ahí donde me encuentre me voy a reir de estos hijos de su madre!! (:
Interesante la información, pero como siempre en estos casos atrasada. A día de hoy es posible que algunos de los sistemas que eran seguros ya no lo sean.
Un detalle en el que me fijado, ¿porque no hay paro en EEUU? Tremenda la cantidad de personas que trabajan para el gobierno espiando al resto del mundo, y seguro que se aprovechan de cosas que descubren de los demás, para ayudar a sus empresas a hacer negocios.
querido compañero desconocido que usas software libre….
Estados Unidos es una democracia que hace 100 años o mas (quizas desde su misma independencia) funciona bajo los miramientos de una dictadura militar.
O porque te piensas que nunca han tenido un golpe de estado o problemas economincos entre el gobierno y la politica?
PORQUE NO LO NECESITAN !!!
PGP –> GPG
«el hogar de las palomas es el cielo»
Mientras la NSA agarra el dedo, el activista mira la luna.
Se han vertido aquí muchos comentarios y para mi todos son valiosos y algunos hasta inteligentes. Sin embargo se me ocurre pensar, siendo este un blog sobre GNU/Linux que puede resultar mas importante para todos, si el tema de el espionaje que, todos conocemos, o el cobro del salario mínimo interprofesional que un trabajador deberá percibir a partir del próximo día 1 de Enero. Hasta mañana día 31 serán 645’30 Euros y a partir del día 1 de Enero deberán ser 648’60 Euros. Serán, por tanto, 3,30 Euros de subida para un trabajador (a) que deberá rendir durante 40 horas o mas semanales. Este es el legado que después de 3 años de gobernanza nos deja un gobierno de derechas que nos prometió toda serie de felicidades al pueblo español. Se me ocurren muchas, muchísimas cosas al respecto. Pero lo dejo aquí para que Vds. conozcan el tema, valoren y comparen los problemas de diferente índole que tiene el mundo.
Bueno, el tema del espionaje es tangente a lo que se trata aquí, el software libre, mientras que la que nos ha preparado el puto gobierno español actual no parece tener más cercanía al tema del software que recordar que, en lugar de cerrar hospitales, podían haber ahorrado miles de millones de euros implantando libertad en las comunicaciones con el pueblo. Esto es, eliminando el software privativo de las oficinas que administra -mal- el Gobierno Español. Aparte de eso no veo cómo el tema podría tener relación con este glorioso blog…
Gracias tannhausser, muy interesante la info…
Gracias aldobelus!
Bah un poco de offtopic de vez en cuando no viene mal, sobre todo si se trata de meterse con el gobierno (hay que aprovechar que por ahora todavía se puede) 🙂
Félicitationes para este artículo! Lo comparto traducido en francés. Si no hay oposición de tu parte. 😉
Gracias Sima78! El artículo al igual que el resto del blog está licenciado como creative commons, así que no hay ningún problema, al contrario gracias a ti por compartirlo.
Un saludo!
Gracias a ti para el contenido de tu blog… Está en mi RSS.
Compartiré ciertamente otros artículos.