Nuevos documentos nos muestran lo que la NSA es capaz de descifrar

El diario alemán Der Spiegel ha publicado nuevos documentos que nos muestran los intensos esfuerzos que ha estado desarrollando la NSA para romper los principales protocolos de seguridad y cifrado en internet.

En un artículo firmado entre otros por Laura Poitras, Andy Mueller Maguhn y Jacob Appelbaum nos señalan que entre servicios que no podríamos confiar están los protocolos PPTP, IPSec, SSL y TLS.

De la vulnerabilidad de estos dos últimos se deriva que la NSA sería capaz de interceptar el tráfico de las conexiones “seguras” HTTPS que todos utilizamos para acceder a nuestras cuentas de correo, servicios bancarios, comercio electrónico, etc… (10 millones de conexiones “agrietadas” por día se preveía en un informe clasificado para finales de 2012).

Incluso el protocolo SSH que se utiliza para acceder a maquinas remotas a través de internet también habría sido roto por los servicios de inteligencia de los 5-eyes (USA, Australia, Reino Unido, Nueva Zelanda, Canada)

Otro de los servicios infiltrados con éxito han sido las VPN que utilizan protocolos de comunicaciones PPTP o IPsec. Estas redes privadas virtuales que crean un túnel teoricamente seguro y cifrado entre dos puntos en internet están siendo explotadas de forma masiva por la NSA habiendo conseguido penetrar varias redes como las del gobierno griego (tienen 12 tipos dedicados solo a eso…cuando gane Syriza las elecciones van a tener que doblar la plantilla xD),compañías de telecomunicaciones rusas, lineas aereas de varios paises,  además de espiar las conversaciones de funcionarios de países como Afganistán, Pakistán y Turquía.

Mención especial a Skype el software de videollamadas más popular que como todos sospechábamos y ya hemos comentando en otras ocasiones forma parte desde hace tiempo delprograma PRISM como fuente de recolección de datos al igual que varios servicios de Google o Apple. Una situación que obviamente no cambió con la compra de Skype por parte de Microsoft en 2011.

En general podemos decir que ha habido una guerra continua contra la seguridad en la red y todo tipo de protección que impidiera a la NSA acceder a cualquier tipo de dato, no solo buscando exploits en los servicios más críticos sino también influyendo en las decisiones de los gobiernos y organismos internacionales para relajar los estándares de seguridad sobre los que se construye internet, al mismo tiempo que hace modificaciones criptográficas en dispositivos comercialespara hacerlos susceptibles de ser explotados.

Servicios de correo como Mail.ru o redes sociales como Facebook tampoco le presentan grandes problemas a los servicios de inteligencia norteamericanos a la hora de acceder a los datos de sus clientes.

La NSA también contaría con un programa denominado Tundra para atacar el cifrado AES del que apenas se conocen detalles.

Y ahora las buenas noticias…Que es lo que todavía se resiste a la NSA?

Servicios como Tor la red de túneles virtuales gestionada por miles de voluntarios, que permite a los usuarios de internet mejorar su privacidad y seguridad mediante servicios como su navegadorTor Browser o distribuciones especializadas como Tails que ofrecen navegación totalmente anónima…

Ello no quita como hemos comentado en varias ocasiones, que no se pueda identificar a un usuario si no toma las precauciones debidas (generalmente los fallos siempre vienen por Flash y otros servicios del navegador que no han sido debidamente configurados).

TrueCrypt este popular servicio de cifrado (actualmente descontinuado) es otro de los que causan problemas a los servicios de inteligencias, así como el protocolo OTR (Off-The-Record Messaging) que permite tener conversaciones privadas vía internet utilizando aplicaciones como Pidgin muy populares en GNU/Linux.

Programas de código abierto para sistemas móviles como RedPhone, una aplicación avalada por la EFF que utiliza el protocolo ZRTP permitiendo a los usuarios de Android hacer llamadas de voz cifradas utilizando conexión wi-fi o tarifas de datos en internet.

Y por último un veterano que lo resiste todo: PGP (GnuPG para los que usamos GNU/Linux). Casi un cuarto de siglo después este programa desarrollado por Phil Zimmermann que nos facilita el cifrado y la firma digital sigue ofreciendo resistencia a los servicios de inteligencia de todo el mundo:

“No decrypt available for this PGP encrypted message” dicen varios documentos de la NSA al respecto 

Fuente | Der Spieguel

La NSA sustrajo datos personales de aplicaciones móviles como Angry Birds

Las agencias de espionaje de EE.UU y Reino Unido husmean en las aplicaciones móviles para recolectar información privada.

Al usar las aplicaciones de nuestro teléfono móvil, estamos compartiendo nuestra información privada. La Agencia Nacional de Seguridad de Estados Unidos (NSA) y su contraparte británica, elCuartel General de Comunicaciones del Gobierno (GCHQ, por sus siglas en inglés), lo saben perfectamente y le sacan provecho.

De acuerdo con los documentos revelados por Edward Snowden -en poder del diario inglés The Guardian-, estas agencias han estado obteniendo datos personales a través de diferentes apps, entre ellas, juegos como Angry Birds.

Las agencias de espionaje no necesitan intervenir los teléfonos directamente, sino que pueden obtener la información que desean a través de las conexiones entre las aplicaciones móviles y los servicios. Muchos datos sensibles -más de los que imaginamos- viajan mediante estos paquetes de información que son interceptados.

Por ejemplo, en una dispositiva titulada "Golden Nugget!" ("Pepita de oro", en español), muestra un "escenario perfecto" para la NSA: un usuario que sube una imagen a redes sociales tomada con su teléfono móvil. Es impresionante cómo, mediante la obtención de los metadatos del fichero, la agencia puede conocer aspectos como el correo electrónico, el teléfono o la ubicación.

De igual manera, dependiendo qué datos haya proporcionado a la red social, se puede obtener su lugar de residencia, su ubicación actual, edad, género, estado civil, ingreso, etnia, nivel educativo y número de hijos.

Otro de los casos detallados es el de Angry Birds. Rovio, la empresa detrás del popular juego, declaró que no sabe nada acerca de la obtención de datos personales por parte de la NSA y descartó estar involucrada con las agencias de espionaje. A la fecha, Angry Birds supera las dos mil millones de descargas en todo el mundo. Tampoco es la primera vez que la NSA se asoma a los juegos de vídeo, como hizo con World of Warcraft.

La obtención de estos datos personales serviría, como dijo Edward Snowden hace unos días, para generar un expediente retroactivo sobre la actividad en línea de muchas personas, ya que la recolección en volumen de datos no está justificada ni ha demostrado ser útil en el combate al terrorismo.

Link: The Guardian