Hoy comienza el No cON Name, un evento de hacking distribuido en varios días y que comienza con unas primeras charlas de privacidad. Se celebra en el Citilab (edificio al que le tengo un especial cariño por muchas horas que he pasado por aquí) y se puede seguir desde Twitter en @noconname.
Smartcities. ¿Nos vigilan? ¿A mí? ¿Cómo?
Comienza Bruno Perez, perito judicial, que nos habla sobre las ciudades conectadas.
Comenta que es un buen momento para la ciberseguridad, ya que últimamente la gente es mucho más consciente de lo que implica. Pero a veces nos centramos en nosotros y no en nuestro alrededor. El objetivo de esta presentación es concienciarnos de cómo vendemos nuestra información, sin quererlo.
Cuando tienes muchos cientos de miles de ficheros, a veces hay que ir fichero a fichero. En seguridad hay que ir paso a paso y con muchas horas por detrás, con un largo camino.
En ciberseguridad lo que más representa es la cebolla, capa a capa.
Una Smartcity es una ciudad inteligente para usuarios ignorantes tecnológicos. Ahora los usuarios se compran unos teléfonos increíbles, pero nadie te enseña porque vienen sin manuales. ¿Quién actualiza a los usuarios? ¿Quién actualiza a las personas? Los usuarios deben aprender a conseguir información, y parte de la responsabilidad está del mundillo que conoce la seguridad informática y ofrecer cierta información.
Una Smartcity permitirá tener edificios inteligentes, que regulen la temperatura, con casas muy similares a las actuales, con su Alexa, con todo conectado… y con todos los agujeros de seguridad que ello implica.
¿Por qué nos están arrastrando a esto? Ahora mismo estamos comenzando a vivir en Matrix, permitiendo a los humanos vivir, pero todo controlado por las máquinas. Hoy en día nosotros somos los puntos de inicio de generación de datos. Somos máquinas de generar datos. Una Smartcity es el lugar donde se recogen todos los datos que generamos, y no somos conscientes de la cantidad de datos que generamos.
Desde que nos levantamos hasta que nos vamos a dormir generamos datos. Cada dos segundos mandamos información a la antena del operador del móvil.
No somos conscientes de la cantidad de datos que generamos y cómo generamos esta información, y esta información es valor.
Nuestro mayor enemigo podría ser la NSA, el Mossad, el CNI, pero no es así, los operadores y los gestores de recogida de datos son los peores. Somos transparentes por completo simplemente por llevar un dispositivo encima. Utilizamos la tecnología sin aprender.
Somos yonquis que la información. Sólo conseguimos que nos bombardeen de información, y no somos capaces de gestionarla. Llega un momento en el que no somos capaces de reaccionar.
¿Cuántos satélites hay? Puedes ver stuffin.space o space-track.org. Lo mismo que hay satélites que envían información a 120 millones de kilómetros ¿no sería posible que los satélites que viajan alrededor de la Tierra estén leyendo emisiones de radio?
Como las operadoras tienen todos los datos recogidos por las antenas recogidas cada 2 segundos, se podría crear una serie de mapas en 4 dimensiones en la que ver toda la información. Un ejemplo es el de Malte Spitz.
El mayor problema es que la información exista. Algo tan sencillo como que la mayoría de las personas llevan una copia del DNI en la carpeta de “Mis Documentos”.
Hay que tener en cuenta que los sistemas se conectan a las estaciones base más cercanas, por lo que en cualquier momento podría ser que exista una unidad base móvil. Es importante conocer la información, por ejemplo, con Network Cell Info Lite o Android IMSI-Catcher Detector.
Al final, si no quieres que te espíen, la única manera es llevar tu dispositivo móvil en una jaula Faraday.
La seguridad no existe, y la privacidad, aún menos. “Hermano, Dios te está observando, ofrécele un buen show”.
Fake News
Simona Levi, de X_net_ habla sobre las “fake news”.
Hace unos días que se aprobó el Decreto-Ley y que permite al Gobierno cortar Internet cuando lo considere oportuno. Hasta ahora se podría hacer un corte por Seguridad Nacional o para ocasiones que atentasen contra la vida de las personas, pero para el resto de los casos era necesario un mandato judicial.
El cambio actual, entre otro, se realiza por el tema de las fake news, y la posibilidad de reducir su caudal, todo en pro de la Libertad de Expresión. Debido a la excusa de las fake news se plantea la posibilidad de legislar para proteger a los ciudadanos contra Internet.
¿Quiénes son las personas o empresas que hay trabajando en Europa contra las fake news y con el fact-checking? Experts appointed to the High-Level Group on Fake News and online disinformation. Ya en el propio título hay un gran sesgo, ya que sólo se centra en la desinformación digital.
Las fake news son un problema milenario, y no está exclusivamente vinculado a Internet, por lo que no podemos segregar Internet del resto de la realidad.
El problema de la desinformación son siempre los mismos: gobiernos, medios de comunicación, grandes corporaciones… en general no suelen ser los ciudadanos.
Ya hay legisladores que plantean buscar quién tiene la verdad y cómo y quién puede decidir sobre ella. La idea es buscar quién se ocupa de determinar quién gestiona la verdad.
Las fake news se basan en el dinero y el negocio, ya que hay gente que tiene dinero para pagar a personas que crean esa desinformación. Además, estos productores de la información son sencillos de detectar, y pasan del nivel de Libertad de Expresión.
¿Cómo se comportan los partidos en campaña electoral? Aunque la Ley de Transparencia debería permitir tener acceso a determinada información, por otros lados, se saca que la LOPD no permite el acceso a esa información. Un análisis de los seguidores de followers daba a conocer que parte de ellos eran falsos y se había pagado por ellos. En su día Ciudadanos pagó 60.000 euros en Facebook para desinformar.
“Newtral se ha dedicado a verificar si España es pluri nacional”. ¿Quién verifica al verificador? El fact-checking es un gran mito de la verificación.
Los grandes consumidores de fake-news somos todos, de forma que nosotros somos un eslabón de la cadena, ya que deberíamos verificar la información. Los ámbitos en los que más se consume desinformación (un medio, una televisión) son aquellos que tampoco van a intentar verificar la información.
Una vez la desinformación se ha puesto en marcha, aunque la verificación exista, llega muy tarde.
La propuesta sería que los que tiene negocio sobre la información (medios de comunicación, instituciones…) debería existir una verificación obligatoria y previa. La información emitida ha de ser veraz (ha de haber esfuerzo en ello, indicando fuentes).
Se plantea un etiquetado en la información, al más puro estilo del etiquetado alimentario. Ahora mismo no existe ninguna manera de verificar la información. No es sólo formar a la población, sino que hay que dar herramientas para ello, que tendrían que dar los emisores.
Privacidad y seguridad del Alexa Echo Dot
Xavier Marrugat se ha planteado analizar algún dispositivo, sin saber muy bien cuál. Cuando comenzó a pantearlo en la universidad, lo que le sugirieron fue que analizase el Alexa Echo Dot.
Los dispositivos Alexa tienen los skill y otros sistemas como la comunicación entre varios dispositivos de la misma familia.
El análisis se dividió en varias partes. La primera de ellas fue la de la Actividad, en la que se encuentran ciertos endpoints. Se pueden analizar datos como pedir la fecha y hora, o una canción. En cualquier caso, se ve un tiempo de inicialización y posteriormente ciertas conexiones.
Las comunicaciones están cifradas, pero por los endpoints se podía saber qué tipo de información se mandaba, separando las métricas del bob-dispach (audio y voz).
¿Dónde se puede atacar? Uno de los sistemas podría ser el hacking por voz. Para ello se utiliza un proxy al BurpSuite que conectaría con los servidores de Amazon.
Se puede analizar ligeramente viendo las cookies, lo que llevó a la creación de AlexaCookied.
Lo primero que has de hacer es despertarlo: Alexa + mensaje. No es muy sencillo de burlar. Primero se analiza en el primer dispositivo, y posteriormente hay un análisis en el servidor. Si desde un anuncio de televisión se pronuncia Alexa, se analiza y se controla una petición masiva de los mismos patrones de voz para saber si ha de dar o no una respuesta.
Cuando se hizo una solicitud siguiendo el RGPD, además de las conversaciones fácticas, también estaban las conversaciones privadas, sin ningún tipo de control de privacidad.
Los skills no tienen limitación a la hora de controlar los permisos, por ejemplo, la localización, listas, y en algunos casos, nombre, correo, teléfono…
Los calendarios se pueden integrar con Google, Microsoft y Apple.
En cuestión sobre AlexaCookied, lo que obtiene es información sensible como localización, contacto, mensajes, usos y horarios. En general esta información no te la da Alexa, sino que la saca del análisis del envío y recepción de datos.
Una vez tienes las cookies del usuario y tienes un skill subido al market, con cierta información sobre esa persona podrías llegar a abrir la aplicación.
Recuperando Internet con Tor
Silvia Puglisi nos presenta el proyecto Tor. Vamos a hablar de Anonymity. El anonimato es algo tan sencillo como leer el periódico, en papel, en tu casa.
¿Qué es Tor y qué puede hacer por ti? Tor es una herramienta de privacidad, es software libre, una comunidad que hace multitud de cosas: desarrolladores, investigadores, operadores, voluntarios. Es una red abierta sin ánimo de lucro.
Tor ofrece privacidad, anonimato, seguridad en la comunicación… Tor provee accesibilidad contra la censura.
Tor provee privacidad distribuyendo confianza. Cuando usas una VPN confías en un único nodo.
Cuando usas Tor, tu cliente se descarga el directorio de servicios, te pasa la lista de nodos de la red, y se construye un circuito en la red por dónde va el tráfico.
Un mensaje puede estar cifrado, pero a veces lo más interesante es la información que hay alrededor, no tanto el mensaje. Tampoco esconde con quién hablo (el usuario o el sitio de destino).
Lo primero que se hizo cuando se desarrolló Tor fue el uso de un navegador (Tor Browser). No deja de ser un Firefox con alunas modificaciones (Tor Launcher, NoScript, HTTPS-Everywhere). Gracias a esto no es tan sencillo conectar o saber qué tracking hay sobre ti.
Existen otros servicios Onion. Por ejemplo, tenemos el anonimato bidireccional. Es un sistema P2P, descentralizado. La única pega es que la URL es de 54 caracteres.
Existe un ecosistema alrededor de Tor. Por ejemplo, tenemos el SSH Onion-Services.
Torsocks es un wraprer que se puede usar sobre la red Tor. En cualquier caso, se puede usar un sistema de Socks5 Proxy, de forma que pasarías de Internet a la red Tor de forma sencilla.
OnionShare es una herramienta para compartir que genera un servidor web, pero sólo para sitios estáticos (principalmente contenidos HTML, imágenes y otros ficheros descargables).
El equipo de Tor ronda entre 50 y 100 personas, algunos de ellos son personas públicas y hay otras muy privadas. La comunidad se comunica mediante IRC y trabaja de forma transparente.
Cuando las máquinas deciden
Karma Peiró nos comenta sobre los algoritmos de inteligencia artificial, que están en todos sitios y que pueden repercutir en cualquier aspecto de nuestra vida.
Hay una empresa en Finlandia en la que se hace selección de personal en la que le das la contraseña de tu cuenta de correo y decide si eres la persona idónea para el puesto de trabajo. Un sistema que se basa en redes neuronales y que aprende según va teniendo más información.
Hace ya unos 50 años que existen las redes neuronales y los algoritmos, pero es ahora cuando se pueden aplicar, tanto por la potencia de computación como por la cantidad de datos.
El problema de los algoritmos es que hacen bias en relación a los datos. Es un sistema de prejuicios basado en los datos con los que se enseña al sistema. Si no se le dan unos datos correctos, lo más probable es que los resultados incorrectos se perpetúen y sea más complejo mitigarlos.
También hay predisposición errónea en la detección facial. En Londres hay 420.000 cámaras de videovigilancia. En cualquier caso, se ha de avisar ya que, como la huella dactilar, el rostro tiene rasgos únicos.
La predisposición ante errores puede ser estadístico, cultural o cognitivo, de género, de confirmación, de presentación o un filtro burbuja, entre otros.
Incluso, hay algoritmos que arreglan otros algoritmos, como FA*IR: A Fair Top-k Ranking Algorithm.
Resistencia Digital
Sigo habitualmente al equipo de Carlos Fernández en Críptica y tengo a medio leer el libro de Resistencia Digital, y que hay que reconocer que es muy interesante.
El contexto del nacimiento de Criptica viene de las filtraciones de Edward Snowden, en el que con Prism, todos los Gobiernos tenían acceso de los usuarios. Estamos siendo vigilados ¿me importa?
“No tengo nada que esconder”
Es una frase muy tramposa:
- Sólo los malos tienen cosas que esconder
- Yo no soy nadie ni estoy haciendo nada
En realidad, cualquier periodista, activista o similar es malo para el poderoso. Además, todos temeos derecho a la intimidad.
- ¿Por qué no vivimos en una casa de cristal?
- ¿Por qué cierras el pestillo del baño?
- ¿Por qué no me dejas leer tus mensajes y compartirlos?
La vigilancia condiciona el comportamiento, la reunión, expresión, pensamiento o expresión.
Código abierto, privacidad por diseño (cifrado extremo-a-extremo), descentralización y usabilidad.
Cuando hablamos de estar seguros, la mayor pregunta es ¿protegidos de qué? Hay que hacer un modelado adversarial.
Todo esto nos lleva a la seguridad operacional; son aquellos aspectos que buscan el qué y no el cómo. Se incluye la seguridad instrumental (cifrado extremo a extremo, código abierto…) y la seguridad operacional (¿confías en tu interlocutor? ¿hay que guardar la información en el dispositivo?).
Los smartphones son dispositivos que todo el mundo utiliza y son poco favorables a la privacidad:
- Centralizan mucha información personal en un dispositivo (fotos, notas, llamadas, contactos…)
- Un dispositivo íntimo (cámaras, sensores…)
- Aplicaciones invasivas (requieren infinidad de permisos)
- Favorece el uso de servicios centralizados, en dejar las cosas en la nube.
- Siempre está encendido, siempre lo llevamos encima y siempre estamos localizados.
Los datos que se recogen por parte de las operadoras son combinables. Se pueden correlacionar cuando vas con alguien en el coche, o quedas a comer. En principio sólo lo tiene el operador y a quién tenga que cedérselo.
Desde una web se pueden recopilar datos como la IP, Navegador, Idioma, Cookies, etcétera. Existen herramientas dentro de los navegadores para bloquear, o complementos como Privacy Badger o HTTPS Everywhere. Incluso, podemos navegar con Tor Browser.
¿Qué puede recoger una App? Identidad, calendario, contactos, WiFi, GPS, micrófono, cámara…
- ¿Necesito instalarme una App?
- ¿Tiene sentido los permisos que me pide?
- ¿Tiene sentido que la App no funcione sin los permisos?
- ¿Hay una App alternativa?
Android y iOS tienen secciones para la gestión de los permisos, por lo que podemos bloquear lo que consideremos necesario.
Formas seguras de proteger:
- Patrón. Es fácil, pero puede dejar trazas y tiene un alfabeto muy reducido.
- PIN: usable y fácil de recordar, aunque con alfabeto reducido.
- Contraseña: Mayor complejidad, menos usable.
- Biometría: Es usable y simple, pero no es revocable.
Hay que cifrar la memoria del dispositivo. De esta forma, aunque se copie el dispositivo, sin la clave no se puede acceder.
Otro elemento es el de bloquear la previsualización de los mensajes y notificaciones, de forma que no se puedan leer los mensajes. Por ejemplo, si llegan los mensajes de 2FA o similares.
El origen de las aplicaciones en Android por defecto está limitado a Google Play pero permite habilitar fuentes externas. En el caso del origen de aplicaciones en iOS, aunque es más difícil instalar malware, no significa que no se pueda.
Hay que aplicar siempre las actualizaciones. No siempre son para funcionalidades nuevas, sino que suelen incluir actualizaciones de seguridad.
Las contraseñas son como la ropa interior:
- No la reutilices
- No la compartas
- No la dejes a la vista
Una contraseña es más segura cuanto más larga es. Usa frases o combinaciones de palabras.
Activa el 2FA o segundo factor de autenticación, ya que es una protección adicional. Algo que sabes (tu contraseña) y algo que tienes (tu dispositivo).
Navega de forma segura mediante sitios con HTTPS y verificando que el dominio sea correcto.
Cuando hablamos de mensajería segura:
- Cifrado extremo a extremo
- Auto borrado de mensajes
- Disponibilidad del código.
- Intentar que no tenga número de teléfono
- Que el número de teléfono no esté expuesto
Deja una respuesta