¿Qué tanto recolecta EEUU?

PRISM es un proyecto de la National Security Agency que se dio a la luz recientemente, debido a que Edward Snowden, un ciudadano norteamericano de 29 años, reveló documentos confidenciales al respecto.

Lo que generó tanta polémica de este proyecto fue el hecho de que había documentos que sugerían que la agencia tenía capacidad de conectarse directamente con servicios, lo que generó descontento entre el público general.

Mucho análisis se ha hecho sobre esto, y es difícil saber el rango de información que las compañías comparten con el gobierno por varias razones, la principal siendo que muchas de estas órdenes, al tratarse de proyectos secretos, no pueden ser mencionados por los empleados de las compañías privadas ni por los empleados gubernamentales.

El director nacional de inteligencia de EEUU dijo, al desclasificar PRISM, que este “es usado para facilitar la colección de inteligencia extranjera con autorización” y que está permitida por la sección 702 de la ley FISA. También declaró que “su habilidad para dar detalles específicos de la operación son limitados porque tienen que proteger sus fuentes de inteligencia“. El “Deputy Director” del FBI, se retiró poco después del evento.

Otros análisis dicen que este emprendimiento en particular no es tan grave, que el proyecto en realidad no se llama PRISM (lo que puede clarificar las declaraciones de las compañías, que indican que no tienen ningún conocimiento sobre PRISM en particular, ya que tal vez lo conozcan bajo otro nombre, su nombre oficial “Collection of Intelligence Pursuant to Section 702 of the Foreign Intelligence Surveillance Act, or Section 702 for short”).

Por lo pronto, la asociación de libertades civiles de EEUU esta presentando una demanda, cosa que fue imposible en el pasado debido a que el proyecto estaba clasificado. Esto les da la oportunidad de reabrir el caso y lograr que mas información salga a la luz.

Mas y mas fuentes declaran que el proyecto si existe, y que está creando puertas traseras en servicios como skype, o, como lo llaman, puertas laterales, que actualmente no podemos saber de buena fuente como funcionan, ni la supervision que tienen. También hay declaraciones de el ex jefe de la NSA, que declara que “no hay siquiera excusas para que declaren que no estan recolectando esa información“, y de otros tres empleados de la NSA.

Los previamente mencionados, declaran también que ellos intentaron dialogar con los sistemas internos del gobierno, informándoles de la inconstitucionalidad de las acciones llevadas a cabo, y que no tuvieron ninguna respuesta satisfactoria, y que quedaron “marcados”, como empleados problemáticos.

Otros puntos de vista consideran que esto es mucho peor que el libro 1984, por George Orwell.

EEUU espia extranjeros y ciudadanos

Las noticias en los últimos días no se han alejado mucho del tema: EEUU es acusado de espiar a sus ciudadanos y extranjeros, con un proyecto que analiza todas las comunicaciones que viajan por los cables de sus ISP, sus comunicaciones telefónicas e incluso servicios como Gmail, Facebook y otros.

Obama hizo una conferencia de prensa al respecto, clarificando que “solo apunta a espiar extranjeros“. Esto no solo no tranquilizó a sus ciudadanos, ya que no hay forma de diferenciar la información que viaja por los cables por su nacionalidad, sinó que generó que la Union Europea se preguntase si EEUU esta quebrantando la ley europea.

La cantidad de información que el proyecto en particular (PRISM) captura y analiza es debatible. El proyecto es solo uno de muchos proyectos, y el enojo no es por el proyecto en particular, sinó por toda una serie de políticas que el gobierno estadounidense esta llevando a cabo, que mucha gente compara con la actitud de los stasi (“we know everything”).

Es un punto de vista polémico, sobre el cual no quiero opinar por falta de conocimientos, pero plantea puntos muy interesantes: ¿Para qué necesita el gobierno tanta información? Mas importante es saber que este poder ha sido abusado una y otra vez en el pasado, y no para apresar “terroristas”, sino para apresar personas que se oponen a los nuevos poderes del gobierno.

El congreso y el estado se defienden diciendo que “si no has hecho nada malo, no tienes nada que temer”. No hay que analizar muy profundamente esa frase para encontrar su incoherencia:

Otro punto de vista que se opone a este proyecto, es el hecho de que difícilmente puede un ser humano honrado pasar un día sin romper la ley, incluso involuntariamente. Esto implicaría que si un oficial erróneamente analizase que uno es un criminal, podría usar todas las decisiones que uno tomó en su vida, para analizar si hay algún crimen penalizable. Esta investigación podría ser comenzada contra personas en desacuerdo con las políticas del estado.

Lo que queda por decir es que esta información esta teniendo un impacto muy serio en las empresas que están manejando la información de los usuarios y en general en el cloud computing. También esta causando que muchas compañías y personas comprendan que es conveniente migrar de EEUU para alejarse de este tipo de vigilancia.

Entre otras alternativas sugeridas para el usuario final es la utilización de TOR. Aquí hay un análisis de el impacto de PRISM sobre tor. También puede verse la diferencia entre usar TOR y no usar TOR con esta gráfica interactiva.

Liberty Reserve: ¿Con qué derecho?

Tras bastante revuelo, se puede obtener una lista de todos los dominios clausurados por la justicia de los EEUU: Una lista de 35 dominios, de varios servicios legítimos (hasta que se demuestre lo contrario) que negociaban con LR.

Liberty Reserve, en si misma, era una compañía global basada en Costa Rica: Si bien sus servicios llegaban a EEUU, también llegaban a Rusia, Argentina, Australia y China.

Bastantes puntos sobre esta acción son polémicos: por ejemplo, un punto cuestionable es el hecho de que los dominios hayan sido forzosamente clausurados apelando a la clausula 18 USC § 982 (Criminal Forfeiture).

Aunque uno ignorase el hecho de que la jurisdicción de EEUU no aplica a Costa Rica, ni a Panamá, ni a Ucrania, donde algunos de los servicios eran prestados, los individuos son considerados inocentes hasta demostrarse lo contrario, tal como es mencionado en el documento utilizado para presentar los cargos [1]:

Los cargos presentados en este documento son meramente acusaciones y los acusados son presumidos inocentes hasta que, en el caso que suceda, sean probados culpables.

En vista de que son ciudadanos extranjeros, inocentes, se hace difícil justificar el arrebato de su propiedad privada. La razón por la cual la jurisdicción aplica a los extranjeros es que el TLD .com, que es controlado y regulado por VeriSign, da a la justicia norteamericana el poder de “cerrar” sitios web, aunque aún son accesibles por diversidad de otros medios.

Este acto genera preocupación a varias partes, como por ejemplo a la comunidad las monedas criptográficas [2] y a la comunidad informática en general [3], y podría decirse que con buen motivo. Un análisis legal de los hechos, disponible aquí, concluye que:

Estas acciones y las nuevas guías para las monedas virtuales de la FinCEN indican que el gobierno esta comenzando a prestarle atención a leyes viejas, ampliamente aplicables y dificiles de interpretar para los negocios que manejan “monedas virtuales”.

La comunidad de bitcoins, por ejemplo, sugiere migrar a dominios .to (de un país llamado Tonga, en el sudeste asiático), o dominios .is, de Islandia, que se declara a si mismo como “uno de los TLD mas seguros del mundo”.

Perfect money, uno de los servicios alternativos a Liberty Reserve, agregó un nuevo dominio .is, y declaró que fue para “mejorar su branding”. Esta misma compañía, hace un par de semanas dijo también que iba a dejar de prestar servicio a usuarios norteamericanos.

Liberty Reserve: el presente y el futuro.

Hemos hablado previamente sobre Liberty Reserve, un sitio web para el intercambio de dinero clausurado por el Gobierno de Estados Unidos, presuntamente por lavado de dinero, hace un par de días.

Este tema es de interés por acusaciones de que el mercado se utilizaba para el lavado de dinero, y en general para el intercambio de dinero entre servicios ilegales de todo tipo, como robo de tarjetas de crédito, ransomware y venta de armas y drogas.

Es difícil de demostrar el párrafo anterior con fuentes verificables porque no hay mucha información respecto al tema en el Internet accesible al público.

Pasado el arresto de los empresarios detrás de Liberty Reserve, los agentes del FBI de EEUU no salen de las noticias: varios sitios afiliados con LR también han sido clausurados: wm-center ecardone.

También hay rumores, que indican que las credenciales almacenadas en los servidores de Liberty Reserve estan siendo utilizadas para robar los fondos de los usuarios en otros servicios, aprovechándose de la tendencia de los usuarios de repetir usuarios y contraseñas.

Aparentemente, no hay información respecto a los autores de este ataque [1]:

Hold security esta trabajando para intentar identificar a los atacantes pero, en este momento, no hay ningún dato definitivo ni atribución a una persona o grupo en particular. Mientras que los ataques provienen de China, no hay información concluyente que los hackers esten radicados ahí.

La economía underground de la red comienza a adaptarse al cambio, aparentemente decidiendo migrar hacia WebMoney. Otras posibilidades que se esta tomando en consideración, aparentemente son las Bitcoins, Perfect Money, Paymer y otros servicios de pago.

Si hay algo que es claro, es que el FBI no terminó aún con los arrestos, y cualquiera de estos servicios podría ser el próximo blanco de una investigación, con la excepción de uno: Los bitcoins son un protocolo P2P, lo que podría potencialmente oponer significativa resistencia a los intentos de regulación [2].

Los intentos exitosos, simplemente forzarían a los criminales a migrar a otras monedas criptográficas. Teniendo en cuenta que Liberty Reserve funcionó por 6 años previo a su cierre, potencialmente podría ser un problema para los funcionarios públicos a cargo de la situación.

“Liberty reserve”, la moneda virtual, clausurada por EEUU.

Luego de varios días de suspenso y dudas, se confirman las sospechas de que el sistema de pagos llamado Liberty Reserve, una compañía de Costa Rica, fue clausurado y sus dueños arrestados por “Lavado de dinero”, bajo la autoridad de la corte “U.S. District Court for the Southern District of New York”, en EEUU.

Liberty Reserve es una compañía, no muy distinta a Paypal, que permite transacciones entre usuarios, y que cuya principal diferencia con el previamente mencionado es que las transferencias de Liberty Reserve son irreversibles[1], dando cierta tranquilidad a los vendedores y permitiendo transacciones en mercados mas diversos. Además, LR provee un cierto nivel de anonimato, lo que fue aprovechado en el pasado para comerciar con tarjetas de crédito robadas [2], entre otras cosas.

Los fundadores, ex ciudadanos de EEUU, ahora ciudadanos de Costa Rica exclusivamente, son acusados de lavado de dinero, pero aún no han sido extraditados ya que EEUU no tiene un convenio con Costa Rica para facilitar el proceso. Uno de los fundadores, es también acusado de haberse casado para obtener la ciudadanía, pagando a su esposa $ 800.000 para que se casase con él.

Mucha gente compara LR con Bitcoin, la moneda P2P, pero es importante reconocer la diferencia: LR es comparable con un sitio web que nos permite descargar archivos, mientras que Bitcoin sería comparable con BitTorrent, un protocolo descentralizado[3].

Google abandona los estándares abiertos, actuando en contra de los intereses de sus usuarios.

Luego de que Google abandonara, luego de años de estar online, su servicio de RSS, anuncia ahora que mas cambios han de venir: un análisis hecho por la EFF, de título “Google abandona el apoyo de los estándares abiertos para la mensajería instantánea“, declara que los cambios no van a favor de los usuarios:

En medio de la conferencia anual I/O de Google, se hizo un desafortunado anuncio: En distintos lugares de su infraestructura, la compañía está reemplazando la plataforma “Talk” por la plataforma “Hangouts”, lo que disminuye significativamente el soporte de el protocolo de mensajería abierto conocido como XMPP (también mencionado informalmente como Jabber)

Se menciona que los cambios debieron hacerse para adaptar su nueva plataforma (Google+), pero presenta puntos a considerar, como por ejemplo el hecho de que el abandonar el estándar causa que los usuarios estén atados a utilizar Google+, y por lo tanto su única posibilidad de conectarse con los usuarios de Google+ a través del chat sería a través de el protocolo privativo de Google:

El apoyo de Google por el protocolo XMPP significó en su momento que los usuarios podrían chatear con gente en otros servicios de mensajería, o incluso con aquellos que tuvieran sus propios servidores […]

Esto es importante por muchas razones. Una de las principales es que ninguno de los clientes de Google soporta Off-the-Record (OTR) encryption, que se está convirtiendo en un componente crítico de la comunicación segura online. Si ambos participantes de una conversación usan OTR, tienen una comunicación segura de principio a fin, lo que significa que nadie excepto ellos dos — ni siquiera su proveedor de Internet — puede leer sus mensajes.

En el pasado, Google hizo otro cambio que imposibilita configurar el nivel de logging que queda guardado en los servidores. De su página de soporte:

Hemos hecho cambios a la configuracíon de historia de Google Talk y Google Chat. Todavía podes hacer que chats individuales queden “off the record”, pero no vas a tener la opción de hacerlo globalmente.

Estos cambios están llevando a cuestionar los intereses por los que se mueve Google, [1] [2] un giro interesante de eventos, porque Google tiene una larga historia apoyando la cultura Open Source y de promover los protocolos abiertos, tal como promovió XMPP en el 2005:

La misión de Google es hacer la información del mundo universalmente accesible y útil. Google talk, que le permite a los usuarios instantáneamente comunicarse con amigos, familia y colegas usando su llamadas de voz y mensajería instantánea, refleja nuestra creencia de que las comunicaciones debería de ser accesibles y también útiles.

Sin llegar a juzgar a Google por sus acciones, es evidente que su modelo de negocios (los anuncios [3], y el forzar a sus usuarios a una plataforma de la que no pueden salir, también conocido como “walled garden”) esta yendo en contra de la privacidad de los usuarios.

En sus explicaciones publicas, Google dijo que fue una decisión dificil, tomada por requerimientos técnicos. Pero incluso si este protocolo responde a necesidades técnicas, eso no debería evitar que la compañía lo haga público e interoperable. Publicar las especificaciónes de Google Hangouts sería un buen primer paso. Publicar código gratuito/libre debería suceder después de eso. Es claro que algunas funcionalidades se han implementado de manera muy específica a Google, pero eso no debería ser una razón para llevarnos a un mundo donde las únicas posibilidades prácticas son protocolos de chat privativos.

Linux privilege escalation

Hola a todos!

Para festejar el exploit para privilege exploitation para kernels 2.6.37-3.8.8 inclusive (and 2.6.32 on CentOS) 0-day, un conjunto de links interesantes para escalar privilegios en un servidor linux:

Un abrazo,
Pedro