lunes, 22 de julio de 2019

Guerra fría 2.0 - de los bos y sopapers rusos a Telegram y Faceapp





Guerra fría 2.0


En nuestro podcast de Crónicas de Eurasia hace unos años contábamos en un programa si y en el siguiente también que la ciberguerra es una realidad, que ahora mismo hay países que están enfrentándose de forma más o menos abierta pero en lugar de lanzarse cosas a la cabeza directamente se enfrentan en otro campo de batalla más sutil, el ciberespacio, entendiéndose esto no solo como la parte de Internet que utilizamos a diario, sino como la parte tecnológica del mundo incluyendo las redes corporativvas, los sistemas de control industrial, los servicios críticos de las infraestructuras públicas y privadas, los sensores, robots y sistemas de automatización que ahora mismo nos ayudan en casa o controlan gran parte de las infraestructuras de nuestras ciudades..

Es evidente que en este punto, con este grado de automatización y dependencia de este ciberespacio para la vida de un país, en caso de conflicto o siplemente como parte de las labores de inteligencia de cualquier país desarrollado, el poder acceder, modificar o en algún caso atacar estos sistemas de información estará en las prioridades si es que no es su máxima prioridad en estos momentos.

Ha habido casos muy evidentes de ciberguerra que ya he mencionado en otras ocasiones, como los ataques a las centrales electricas de Ucrania durante la crisis de 2015 , o los distintos ataques al programa nuclear Iraní a través de APTs como stuxnet o duqu .


  Tenemos por otra parte que en este contexto de ciberguerra la propaganda juega como en todas las guerras un papel fundamental, podemos llamarle la ciberpropaganda pero no quiero caer en el cansinismo de ponerle a todo "ciber-" así que voy a dar por hecho que todo se desarrolla en este escenario de aquí en adelante.

Hace unos años se hizo viral, por el cachondeo más que nada, la intervención de esta diputada del PP en la comisión de seguridad nacional


Que si, que evidentemente esta persona no tenía mucha idea de lo que hablaba, pero ¿de donde sacó esa información? pues por las explicaciones que dio unos días después sacó la información de un estudio del Real Instituto Elcano

"El Real Instituto Elcano es el think-tank de estudios internacionales y estratégicos, realizados desde una perspectiva española, europea y global." - Extracto de su presentación en su web

En ese estudio hablan de algo llamado "La combinación" (kombinaciya) como un tipo de operación que integra diversos instrumentos de la guerra de la información (ciberguerra, ciberinteligencia, desinformación, propaganda y colaboración con actores hostiles a los valores de la democracia liberal) que vincula a Rusia con diferentes eventos que han tenido lugar en otros países digamos, no demasiado aliados, y en el caso del informe los vincula directamente con actos de propaganda y desinformación en las elecciones catalanas de ese mismo año.

¿Qué pasa? pues que nos quedamos con la risa de la diputada que no sabía pronunciar "twis" y "bos", pero no nos dimos cuenta que el diario de sesiones del congreso para la comisión de seguridad nacional de ese año sale constantemente "La kombinaciya", pero que sucede.. que a posteriori se desmontó la teoría de la injerencia rusa en el procés pero..¿había algo de verdad en eso y no se ha podido demostrar? y por otra parte aunque hubiera sido totalmente inventada la supuesta injerencia rusa ¿ha valido esto para iniciar una propaganda de que "los hackers rusos nos atacan"?

Hay que mencionar que esto no es algo que sea exclusivo de España, porque está el tema de EEUU , con Trump y el turbio asunto de los rusos hackers-amañaelecciones, o las acusaciones de EEUU/Reino Unido a Rusia de realizar ciberataques de forma masiva .

Ojo, no digo que no haya nada de esto, como decía al principio el ciberespacio es un caramelo demasiado dulce para que cualquier país no intente meter mano, pero ¿son los rusos los únicos que van a por el dulce? porque si leemos los medios locales puede parecer eso, pero luego miramos datos por ejemplo de ataques DoS.




O de malware detectado.



O de ataques de red



Y oye.. si, Rusia da bastante duro, pero el resto no se queda atrás ¿no?, y es que es evidente, como decía al principio, que cualquier país desarrollado hoy en día va a estar en este ajo, lo veamos o no, nos lo cuenten o no.

Telegram.

El caso es que en una de estas polémicas sobre los espionajes rusos y demás nos encontramos a Telegram, que es una aplicación de mensajería desarrollada por Nikolai y Pavel Durov, dos rusos que anteriormente trabajaban en VK, la red social más utilizada en el país.

Poco después de su lanzamiento empezaron las críticas por parte de distintas fuentes, periodistas, medios especializados, etc.. pero bueno, me voy a centrar en el último porque muchas cosas han cambiado desde la primera crítica , la que inició la polémica y que ha tenido que ser rectificada una y otra vez (y que 6 años después aún no ha probado nada de lo que afirmaba)

La última es este hilo de twitter de "Evan Sultanik", un criptógrafo de referencia que me pasó un colega a ver que opinaba porque les daba bastante caña.




Resumo y a la vez voy contestando punto a punto.

  • Telegram uses a proprietary messaging protocol that was not created by cryptographers. Parts of the protocol rely on SHA-1, which can nowadays be defeated relatively easily and cheaply:  
    • Este hombre dice que el protocolo de mensajería (Mtproto) usa SHA-1 y que eso puede hacerlo vulnerable porque se puede atacar fácilmente. Bien, hace años mtproto utilizaba SHA-1 como medio planeta, hasta que se encontraron las primeras colisiones y entonces se empezó a migrar a SHA-256 , como hizo Telegram con Mtproto 2.0 en 2017. Es decir, está criticando una versión antigua del protocolo, por esa regla de 3 todo es inseguro porque en algún momento utilizó yo que se, MD5.
  • Telegram's reliance on SMS for 2FA has made it vulnerable to SS7 attacks.
    • Los ataques SS7 son ataques al proveedor de telefonía, permitiendo que alguien suplante tu número de teléfono o lea tus SMS entre otras cosas, evidentemente no es un ataque a Telegram o una vulnerabilidad de Telegram, sino que afecta a todo lo que use cualquier servicio de movil sea llamada, sms o lo que sea. Pero por si esto fuera poco, Telegram incluye un método para 2FA (autenticación de dos factores) que pide una clave en cada login, por lo que además del SMS tendrían que saber esa clave, en ningún caso esa clave se ve afectada por el ataque a SS7 y por mucho que relea el artículo enlazado no se como se puede realizar un ataque práctico al 2FA utilizando eso
  • There have also been an embarrassing series of man-in-the-middle attacks, e.g.,
    • Existen una serie de ataques vergonzosos de MiTM que.. a ver, lo que es  de vergüenza ajena es que se considere un ataque MiTM algo que requiere que instales una versión modificada de la app en uno de los extremos. Vale, me instalas un malware y eres capaz de interceptar mis comunicaciones ¿y que? eso no lo convierte en un MiTM, un MiTM es un ataque de red, hacerlo dependiente de tomar el control de uno de los extremos hace como mínimo bastante tendencioso el uso del término, que deja ver que existe una vulnerabilidad en el protocolo de comunicación cuando no es así, en todo caso sería un "MiTcE" (Man in The compromised End) ? yo que se, pero bueno, esto si es agarrarse a un clavo ardiendo.
  • Telegram's bot API is insecure and has been used to propagate malware
    • Esto tiene también su gracia, porque veamos, el enlace del tweet habla de un malware que utiliza Telegram, concretamente su API  de bots para, una vez infectado un host, comunicarse con su C&C, vale.. pero entonces ¿tiene que ver con el malware Telegram? no, ¿se ha utilizado para propagarlo? en absoluto, ¿existe alguna diferencia entre la utilización de Telegram como canal hacia el CnC como la que se ha utilizado todos estos años en las grandes botnets, HTTP(s), IRC, SMTP, DNS? Ninguna. Podría hacer un titular exactamente igual diciendo "DNS es lo peor! ha sido utilizado para propagar malware!" porque ya puestos a ser tendenciosos, cualquier cosa sirve para propagar malware. 
    • Pero esta "noticia" no termina aquí, dice que además la API es insegura.. ¡porque no usa MTProto! esto ya es de traca, de verdad, se critica el protocolo porque no le gusta a los criptógrafos de turno el mac-then-encrypt (que por cierto usa SSH, por ejemplo, protocolo muy criticado e inseguro </ironia>), pero luego critican la API de bots por no usarlo!, porque claro, el uso de HTTPS permite que tu desde tu host interceptes tus propias comunicaciones, y entonces se puede por ejemplo ver el token que usa el malware para comunicarse con su C&C. En fin, sin más comentarios.
  • The Telegram client is shipped as an obfuscated binary. Does anyone really compile it from source? No, they download it from an app store. Was that binary compiled from the open source codebase? No; the open source codebase lags behind in features.
    • Y este argumento que he dejado para el final, me llega a lo más profundo del alma y además es EL único argumento realmente importante. Es decir.. Telegram usa un protocolo abierto, clientes abiertos y por lo tanto existen implentaciones abiertas (y libres, bajo la GPL 3.0) de Telegram, cualquiera puede descargarse la fuente y modificar, estudiar, compilar o hacer lo que le de la gana con Telegram, pero el argumento es que "bueno ya.. pero nadie lo hace en realidad". Señor Sultanik, eso da igual, da igual que nadie lo haga, el caso es que se puede hacer y habrá alguna poca gente que lo haga, la gente que le interese o le importe aprender o auditar el código o el protocolo lo podrá hacer, o si alguien quiere hacer un fork , que lo haga, o si alguien con conocimientos suficientes (como usted) lo quiere mejorar, lo mejorará que siempre será más productivo que criticar , y eso pasa porque el software es libre, cosa que no podemos decir de Whastapp, por ejemplo

El caso, es que después de todo esto, el señor Sultanik recomienda usar Whatsapp mejor que Telegram, pero veamos que tenemos con Whatsapp.
  • WhatsApp usa Signal, que es un protocolo seguro desarrollado por Whisper Systems con Moxie a la cabeza, entonces es muy seguro supongo pero.. ¿como sabemos que lo usa?. WhatsApp es software privativo, no tenemos el código, el cliente es cerrado, el servidor es cerrado y el protocolo es cerrado. ¿Usa Signal? ¿como lo se? es decir, para empezar tengo que hacer un acto de fé y creerme que uso algo que alguien me recomienda. 
  • WhatsApp ha pagado 50 millones de dólares a los desarrolladores de Signal, por lo que es normal que recomienden el uso de WhatsApp sobre todas las cosas (en este grupo entra Moxie)
Entonces ¿por qué este doble rasero entre unas y otras aplicaciones de mensajería? pues principalmente por la procedencia, una es una compañía americana, a la que la NSA le puede pedir y le pide información sobre los usuarios y la otra no, así de simple, una está bajo control y la otra no.

Esto es público además, si no lo habéis visto recomiendo echar un ojo a la página de transparencia de Facebook (WhatsApp es parte de Facebook desde hace unos años) y ver las peticiones de información gubernamentales que se realizan por mes, año, etc

 


Como último dato para reflexionar sobre el estado de Rusia-Telegram etc.. es que precisamente Telegram está bloqueado en Rusia tras negarse a proporcionarle al gobierno sus claves de cifrado, pero Whatsapp NO, a mi al menos esto me parece cuanto menos sospechoso.

Faceapp 


Y llegamos a la última noticia sobre la ciberguerra rusa, el terrible ataque de la aplicación que te hace viejo (de forma virtual, de momento) y le manda esa crítica información a la Madre Rusia.

Esta noticia ha aparecido como portada de todos los medios digitales, periódicos y televisión estos últimos días alcanzando límites de alarmismo como estos

¿Usas FaceApp? Así es como le entregaste tu privacidad a Rusia

Intereconomia: ‘FaceApp’, la aplicación rusa que te controla de por vida y que sortea el control de la UE


Y así, uno tras otro los distintos medios nos vuelven a meter el miedo en el cuerpo con que "vienen los hackers, trols y sopapers" rusos a robarnos información.

Ojo, no digo que las aplicaciones estas chorras que nos bajamos para el movil y a las que damos acceso a nuestra ubicación, contactos, fotos, etc.. sean el paradigma del respeto a la protección de datos personales, pero ¿en serio una app que sube una foto nuestra para modificarla es lo peor que tenemos instalado en el móvil?

Apps como Facebook, WhatsApp, Instagram, Snapchat y similares que están instaladas en el 90% de los móviles recopilan mucha más información, de la mayoría no tenemos ni idea de exactamente qué es lo que hacen (porque no disponemos del código ni podemos ver sus comunicaciones), las condiciones de uso son excesivamente vagas y amplias como para cometer atroces abusos que rozan la ilegalidad en la mayoría de los países, casi todas tienen su sede social en países que se escapan al control de nuestras legislaciones de protección de datos, pero por algún motivo político y/o comercial esto no recibe la atención que necesita.


Conclusión


Es muy complicado diferenciar hoy en día la verdad de la propaganda, lo real de lo falso, y cada vez lo va a ser más porque en el campo de batalla actual todo es susceptible de ser creado, modificado fácilmente, amplificado y recibido por millones de personas en unos pocos minutos.

Faceapp te hace viejo, pero la misma tecnología sirve para crear y modificar fotos y videos de cualquier persona del mundo con un realismo cada vez mayor, dentro de unos años no podremos distinguir si esa persona que sale en la tele diciendo algo es real o una invención, la propaganda alcanzará límites distópicos (más aún) en donde se pueden crear realidades totalmente inventadas y no tendremos manera sencilla de comprobar su veracidad.

Este es el panorama en 1984  2019, nos esperan años interesantes.





martes, 7 de abril de 2015

Los niños sólo son bajitos, no son tontos



Hace unos años, cuando abrí la academia, uno de mis objetivos era el de dar clases de informática para niños a un nivel adecuado a sus posibilidades, esto es, en lugar de dar clases de procesadores de texto, presentaciones o búsquedas en Internet sin ton ni son, plantearles algún tipo de reto que despertara su curiosidad acerca de cómo funcionan realmente los ordenadores, las redes, Internet, y todo esto tan raro con lo que todos nos pasamos muchas horas al día.

La idea original era hacerlo con Kodu, Scratch y Lisa. Tres lenguajes de programación orientados a los más pequeños, con los que pueden hacer juegos o contar historias sin escribir ni una sola línea de código en la mayoría de los casos, y sin embargo aprendiendo la lógica subyacente sin apenas esfuerzo.


Unas horitas con esto y cualquiera, incluso un alumno de ASIR (perdonad la broma, estudiantes de ASIR, es que a veces cuesta un poco hacer que entren por el aro de la programación también :P ), puede saber lo que es un bucle, una estructura condicional, una función, etc.. conceptos que sin mucho esfuerzo podrán aplicar más tarde no solo en otros lenguajes de programación de verdad, sino en muchas áreas relacionadas con la informática.

En otros países, como EEUU, se fomenta que los chavales y no tan chavales se introduzcan en el mundo de la programación. Pero no se fomenta en plan postureo máximo como se haría aquí, no no, se fomenta de verdad.

Solo hay que darse una vuelta por la web de http://code.org/ y vez la cantidad de recursos que empresas privadas e instituciones públicas están dedicando al tema.

Este vídeo por ejemplo, por favor, salen astronautas, Bill Gates, Obama, Steve Jobs y Shakira todos diciendo que programar mola, si eres un chaval y después de verlo no estás picando código eres un looser total.





Aquí esto no se hace, al menos no a esa escala, pero por otra parte tampoco veo cómo a estas alturas sería posible, pero estoy seguro de que el vídeo hubiera costado el triple, y ¿quién podría salir? Rajoy.. Alierta.. Wert?... stop. Vamos a dejar de imaginarnos cosas imposibles (y que dan bastante miedo) y ver la versión española de "ey tío, esto mola, tienes que ser informático pero ya"





Wowwww que atrayente para un chaval este anuncio. Como decía en el caso anterior, si ves este y no estás picando código ya, o.. ¿es al revés?. Bah, fatal.

Y ya se que esto parece algo muy paleto, el pensar que porque venga de fuera simplemente es mejor, y ya se que aquí hay grandes talentos y tal. Pero el caso es que la realidad es la que es, voy a poner dos ejemplos que demuestran la situación de cada una de las aproximaciones a la educación tecnológica.

Hace un par de años me presenté yo solo a un reto de seguridad, aún se puede acceder en https://2013.picoctf.com/

Quedé, si no recuerdo mal, de 30ypico, iba yo solo y tal, no está mal, pensé.
¿Las pruebas? pues de todo tipo, siempre relacionadas con la seguridad: exploiting de binarios, networks, crypto, reversing, forensics, un poco de todo.

El problema es que el reto era para chavales de EEUU que estuvieran en la high school, es decir, de un rango de edades comprendido entre 14 y 18 años. ¡Casi ná!

Repetí el mismo reto al año siguiente, pero esta vez dejé que lo hiciera un grupo de alumnos bastante heterogéneo entre los que había gente de todos los niveles académicos. Bien, pero los chavales de EEUU quedaron por encima de nuevo.



Esto me hizo pensar en qué tipo de grupo habría que reclutar aquí en España para quedar bien en la clasificación de ese tipo de reto y todo me lleva a que haría falta mínimo uno-dos años de enseñanza universitaria específica, y sólo en los casos en los que haya un interés especial por parte del alumno en estos temas, porque desde luego no sería lo más común.

Así que parece que esa especialización temprana funciona, como no podría ser de otra manera.

El otro ejemplo es el que puse al principio del post.

Hace unos años, cuando abrí la academia, intenté dar unas clases de programación para chavales, fue un fracaso total, y no porque los niños no lo asimilen bien, que va, es que los padres heredan de la visión institucional de las nuevas tecnologías el concepto de que la informática "útil" es la que está en los paquetes de ofimática o las herramientas personalizadas para el trabajo, lo que se salga de ahí son juegos y por lo tanto, no son productivos o dignos de ser aprendidos.

El resultado es que se dan muchas clases de ofimática para niños, los niños se aburren y odian la "informática" pero luego se pasan 8 horas al día colgados del móvil y de Internet sin saber lo que tienen entre manos