Android Libre

¡Hola a todos!

Les quería comentar una anécdota, me pasó el otro día que iba caminando por la calle y me encontré un celular, el día de Guy Fawkes, que es un festejo raro que se hace en estos países por los que ando. Cuestión que la gente se emborracha muchísimo y va por la calle perdiendo celulares, aparentemente.

No era un celular muy bueno, mas bien de esos baratos, pero tenía instalado un Android. Por supuesto que el primer impulso fue intentar llamar al dueño por teléfono para devolverle el celular, pero el celular estaba protegido con contraseña y no lo pude acceder sin resetear el celular a su configuración por defecto, así que procedí a hacer eso. Eso me permitió acceder a los contactos del señor, pero así y todo no me pude poner en contacto.

En lo personal, estos celulares nuevos no me interesan en lo mas mínimo, para mi son un sistema bastante vulnerable, imposible de actualizar con la mayoría de los proveedores, y que viene con software privativo y nos niega control sobre el dispositivo, forzándonos a hacer un jailbreak, perdiendo la garantía. Considero que ese tipo de tratos entre entidades privadas y usuarios no debería de ser legal, después de todo el usuario no está pagando solo por el software, sino que principalmente por el hardware, y debería de tener el acceso que quiera.

Pero no todo esta perdido con Android. Hay una versión libre, Cyanogenmod, que en los celulares que están soportados oficialmente te ayudan a hacer el rooteo, a sobrescribir el booteo de recuperación (el recovery, en inglés), y la instalación del nuevo software. La verdad que no es nada complicado, y me parece que la instalación por defecto de Cyanogenmod es superior en muchos sentidos sobre la oficial, especialmente en el hecho de que de entrada uno tiene control total sobre el usuario root.

Hay un problema de proporciones tiránicas, sin embargo, con el ecosistema Android: Google, sabiendo bien que no podía cobrar por Android en si, al menos por las partes open-source de este, optó por hacer privativo el gestor de paquetes de Cyanogenmod, Google Play.

Esto es inimaginable de parte de Google, pero sin embargo es muy real. Es difícil imaginarse un mundo donde Debian nos permitiera acceso a sus repositorios, pero el código fuente de apt-get no estuviera disponible, y no pudiera ser distribuido en distribuciones Debian no oficiales. Este es el caso en instalaciones no oficiales Android, y esto no es solamente teórico, Google esta ejerciendo sus derechos sobre su propiedad intelectual.

Las buenas noticias, son, sin embargo, que alguien se tomó el trabajo de crear una app-store que solamente distribuye software libre, F-Droid. Mucho del software que esta disponible en la app-store de google no es libre, y mucho del software que es libre no esta disponible en F-Droid, pero la verdad que es un buen comienzo, y me recuerda a Debian.

Próximamente, le voy a instalar un servidor SSH para que sea mas fácil de configurar, con SSHelper, y luego creo que lo voy a usar de servidor, y con un dominio no-ip, lo voy a usar para darme acceso remoto a mi red por VPN.

Un abrazo grande!
Pedro

Compilado de enlaces

Hola a todos!

Tengo el placer de presentarles el mejor compilado de enlaces de la historia de la humanidad, un compilado de enlaces tan bueno, pero tan bueno, que lo mantendrá volviendo por mas.

¡Espectacular! ¿Eh?

Abrazos,
Pedro

Mandar y recibir SMS online (gratis)

Hola,

Solamente queria compartir unos recursos que encontre que nos permiten mandar y recibir SMS online. Particularmente util para evitar las comprobaciones SMS que algunos servicios estan comenzando a pedir.

Para mandar SMS:

Para recibir SMS

Un abrazo grande,
Pedro

 

Ataque a TOR

Alrededor del cuarto de agosto se reportó al equipo de desarrolladores de Tor que se estaba efectuando un ataque contra los usuarios de su sistema, mas específicamente explotando una vulnerabilidad previamente parcheada (un mes antes de el ataque). Del blog de Tor:

Aproximadamente a la medianoche del 4 de agosto, fuimos notificados de que un gran número de “hidden services” han desaparecido de la red Tor. Hay variedad de rumores respecto a que una companía que proveía hosting para estos ha sido comprometida, esta offline, o que atacantes están esparciendo un exploit en javascript utilizando su infraestructura.

Inicialmente, la comunidad entró en pánico pues se supuso que el anonimato de Tor había sido comprometido, aunque es sabido que muchos ataques son posibles contra tor. Nada parece indicar, sin embargo, que el ataque haya sido llevado a cabo a través de una de tantas vulnerabilidades teóricas en Tor.

La prensa alegaba  que un irlandés, que fue arrestado por “hostear la red mas grande de pornografía infantil mas grande del mundo”, era también el dueño de Freedom Hosting, aunque no hay pruebas contundentes de que esto sea cierto, o de que ambos eventos estén relacionados. Mas aún, la fuente original que hizo esta suposición, borró el artículo.

El exploit tenía una función muy sencilla: mandar la IP de la persona que visitaba una pagina web en el hosting, en conjunto con su MAC, a unos servidores en EEUU, en una zona comercial donde operan varias empresas que proveen servicios a “Alguna Agencia de Inteligencia” (de ahora en mas AADI), pero no hay pruebas contundentes de que AADI tenga ninguna responsabilidad de este ataque.

Es importante recalcar que Tor sigue siendo igual de eficaz de lo que siempre supusimos, y esto es solamente una de las formas de atacar a alguien que use Tor: atacando el software que usa para conectarse a la red, en este caso firefox. También es importante notar que, contrariamente a lo que las noticias indicaban inicialmente, esto no se trata de una vulnerabilidad nueva, por lo que usuarios que actualicen su navegador cuando sea necesario, hubieran sido inmunes a este ataque.

Los mantengo informados si surge algo interesante.

¿Qué tanto recolecta EEUU?

PRISM es un proyecto de la National Security Agency que se dio a la luz recientemente, debido a que Edward Snowden, un ciudadano norteamericano de 29 años, reveló documentos confidenciales al respecto.

Lo que generó tanta polémica de este proyecto fue el hecho de que había documentos que sugerían que la agencia tenía capacidad de conectarse directamente con servicios, lo que generó descontento entre el público general.

Mucho análisis se ha hecho sobre esto, y es difícil saber el rango de información que las compañías comparten con el gobierno por varias razones, la principal siendo que muchas de estas órdenes, al tratarse de proyectos secretos, no pueden ser mencionados por los empleados de las compañías privadas ni por los empleados gubernamentales.

El director nacional de inteligencia de EEUU dijo, al desclasificar PRISM, que este “es usado para facilitar la colección de inteligencia extranjera con autorización” y que está permitida por la sección 702 de la ley FISA. También declaró que “su habilidad para dar detalles específicos de la operación son limitados porque tienen que proteger sus fuentes de inteligencia“. El “Deputy Director” del FBI, se retiró poco después del evento.

Otros análisis dicen que este emprendimiento en particular no es tan grave, que el proyecto en realidad no se llama PRISM (lo que puede clarificar las declaraciones de las compañías, que indican que no tienen ningún conocimiento sobre PRISM en particular, ya que tal vez lo conozcan bajo otro nombre, su nombre oficial “Collection of Intelligence Pursuant to Section 702 of the Foreign Intelligence Surveillance Act, or Section 702 for short”).

Por lo pronto, la asociación de libertades civiles de EEUU esta presentando una demanda, cosa que fue imposible en el pasado debido a que el proyecto estaba clasificado. Esto les da la oportunidad de reabrir el caso y lograr que mas información salga a la luz.

Mas y mas fuentes declaran que el proyecto si existe, y que está creando puertas traseras en servicios como skype, o, como lo llaman, puertas laterales, que actualmente no podemos saber de buena fuente como funcionan, ni la supervision que tienen. También hay declaraciones de el ex jefe de la NSA, que declara que “no hay siquiera excusas para que declaren que no estan recolectando esa información“, y de otros tres empleados de la NSA.

Los previamente mencionados, declaran también que ellos intentaron dialogar con los sistemas internos del gobierno, informándoles de la inconstitucionalidad de las acciones llevadas a cabo, y que no tuvieron ninguna respuesta satisfactoria, y que quedaron “marcados”, como empleados problemáticos.

Otros puntos de vista consideran que esto es mucho peor que el libro 1984, por George Orwell.

EEUU espia extranjeros y ciudadanos

Las noticias en los últimos días no se han alejado mucho del tema: EEUU es acusado de espiar a sus ciudadanos y extranjeros, con un proyecto que analiza todas las comunicaciones que viajan por los cables de sus ISP, sus comunicaciones telefónicas e incluso servicios como Gmail, Facebook y otros.

Obama hizo una conferencia de prensa al respecto, clarificando que “solo apunta a espiar extranjeros“. Esto no solo no tranquilizó a sus ciudadanos, ya que no hay forma de diferenciar la información que viaja por los cables por su nacionalidad, sinó que generó que la Union Europea se preguntase si EEUU esta quebrantando la ley europea.

La cantidad de información que el proyecto en particular (PRISM) captura y analiza es debatible. El proyecto es solo uno de muchos proyectos, y el enojo no es por el proyecto en particular, sinó por toda una serie de políticas que el gobierno estadounidense esta llevando a cabo, que mucha gente compara con la actitud de los stasi (“we know everything”).

Es un punto de vista polémico, sobre el cual no quiero opinar por falta de conocimientos, pero plantea puntos muy interesantes: ¿Para qué necesita el gobierno tanta información? Mas importante es saber que este poder ha sido abusado una y otra vez en el pasado, y no para apresar “terroristas”, sino para apresar personas que se oponen a los nuevos poderes del gobierno.

El congreso y el estado se defienden diciendo que “si no has hecho nada malo, no tienes nada que temer”. No hay que analizar muy profundamente esa frase para encontrar su incoherencia:

Otro punto de vista que se opone a este proyecto, es el hecho de que difícilmente puede un ser humano honrado pasar un día sin romper la ley, incluso involuntariamente. Esto implicaría que si un oficial erróneamente analizase que uno es un criminal, podría usar todas las decisiones que uno tomó en su vida, para analizar si hay algún crimen penalizable. Esta investigación podría ser comenzada contra personas en desacuerdo con las políticas del estado.

Lo que queda por decir es que esta información esta teniendo un impacto muy serio en las empresas que están manejando la información de los usuarios y en general en el cloud computing. También esta causando que muchas compañías y personas comprendan que es conveniente migrar de EEUU para alejarse de este tipo de vigilancia.

Entre otras alternativas sugeridas para el usuario final es la utilización de TOR. Aquí hay un análisis de el impacto de PRISM sobre tor. También puede verse la diferencia entre usar TOR y no usar TOR con esta gráfica interactiva.

Liberty Reserve: ¿Con qué derecho?

Tras bastante revuelo, se puede obtener una lista de todos los dominios clausurados por la justicia de los EEUU: Una lista de 35 dominios, de varios servicios legítimos (hasta que se demuestre lo contrario) que negociaban con LR.

Liberty Reserve, en si misma, era una compañía global basada en Costa Rica: Si bien sus servicios llegaban a EEUU, también llegaban a Rusia, Argentina, Australia y China.

Bastantes puntos sobre esta acción son polémicos: por ejemplo, un punto cuestionable es el hecho de que los dominios hayan sido forzosamente clausurados apelando a la clausula 18 USC § 982 (Criminal Forfeiture).

Aunque uno ignorase el hecho de que la jurisdicción de EEUU no aplica a Costa Rica, ni a Panamá, ni a Ucrania, donde algunos de los servicios eran prestados, los individuos son considerados inocentes hasta demostrarse lo contrario, tal como es mencionado en el documento utilizado para presentar los cargos [1]:

Los cargos presentados en este documento son meramente acusaciones y los acusados son presumidos inocentes hasta que, en el caso que suceda, sean probados culpables.

En vista de que son ciudadanos extranjeros, inocentes, se hace difícil justificar el arrebato de su propiedad privada. La razón por la cual la jurisdicción aplica a los extranjeros es que el TLD .com, que es controlado y regulado por VeriSign, da a la justicia norteamericana el poder de “cerrar” sitios web, aunque aún son accesibles por diversidad de otros medios.

Este acto genera preocupación a varias partes, como por ejemplo a la comunidad las monedas criptográficas [2] y a la comunidad informática en general [3], y podría decirse que con buen motivo. Un análisis legal de los hechos, disponible aquí, concluye que:

Estas acciones y las nuevas guías para las monedas virtuales de la FinCEN indican que el gobierno esta comenzando a prestarle atención a leyes viejas, ampliamente aplicables y dificiles de interpretar para los negocios que manejan “monedas virtuales”.

La comunidad de bitcoins, por ejemplo, sugiere migrar a dominios .to (de un país llamado Tonga, en el sudeste asiático), o dominios .is, de Islandia, que se declara a si mismo como “uno de los TLD mas seguros del mundo”.

Perfect money, uno de los servicios alternativos a Liberty Reserve, agregó un nuevo dominio .is, y declaró que fue para “mejorar su branding”. Esta misma compañía, hace un par de semanas dijo también que iba a dejar de prestar servicio a usuarios norteamericanos.