|
Como era de suponer, mi
aparición en el programa de televisión Cuarto Milenio no vino exenta de
polémica. A los escépticos que no quieren creer en Echelon, se sumaban las
opiniones de los detractores de cualquier comentarista que pudiera aparecer en un
medio televisivo. Al parecer, sólo por ese hecho, se es susceptible de ser
criticado por impartir una opinión. Es por ello que en los sitios de "freaks"
redomados volvían a la carga con viejas historias del pasado, con el intento de
desprestigiar a quien esto escribe. Una de esas historias se basa en un supuesto
correo electrónico que esgriman envié en su día a uno de estos sitios web,
amenazando con el uso de la trillada LSSI. Pero como ya dije en su día, ninguno
de estos "supuestos" expertos en seguridad informática se dignó en comprobar si
el e-mail era falso. Hubiera bastado comprobar la cabecera del mensaje para
acreditar que éste era más falso que un DVD del top manta. Son estos y no otros
los que juzgan a las personas, incurriendo en la descalificación y el insulto
que, lejos de dar razón, provocan hilaridad.
Así que cabe mentar aquellos
aspectos que no habiéndose comprendido en el programa, tal vez por la falta de
tiempo, o bien tal vez porque algunos no se dieron cuenta de que el programa de
televisión era grabado y editado (se grabó la semana anterior, y a poco que uno
se fijara, se notaba la tijera de la edición), pueden aclararse en la parte
escrita.
De entrada, es fácil conseguir
cualquier esnifer de los muchos que hay en el mercado para Linux o Windows. Sin
ir más lejos ahí tenemos los omnipresentes Ethereal y Ettercap, usados en
cualquier carrera de informática. Sin embargo, los esniferes profesionales, ya
son más difíciles de conseguir; debido a su condición de programas de pago. Y
aunque en el reportaje televisivo, por no incitar a la delincuencia, se ocultó el
interfaz con un filtro oscuro, el programa usado pertenece a esta categoría. Se
trata de Colasoft Capsa 6.5, que incluso está capacitado para rastrear
conexiones MSN, mostrando contraseñas de usuario y hasta las conversaciones entre
usuarios de este protocolo de mensajería instantánea.
Un sniffer es un programa de
captura de tramas de una red. Esa es la explicación técnica, pero cómo traducir
eso mismo a palabras asequibles para todos los públicos. ¿Acaso mencionando que
toma datos de otro ordenador o algo más inteligible para el resto de mortales?
Las conexiones https están
cifradas, por norma. Según la Wikipedia: "El protocolo HTTPS es la versión
segura del protocolo HTTP. El sistema HTTPS utiliza un cifrado basado en las
Secure Socket Layers (SSL) para crear un canal cifrado (cuyo nivel de cifrado
depende del servidor remoto y del navegador utilizado por el cliente) más
apropiado para el tráfico de información sensible que el protocolo HTTP". Todo
esto es cierto. No obstante, un esnifer como Colasoft Capsa es capaz de conocer
los lugares de navegación, pese al uso del protocolo seguro. También puede
conocerse el contenido de las tramas, pudiendo visualizarse el intercambio de los
paquetes, que en este caso estará cifrado por SSL (se muestra una algarabía de
información incomprensible).
Siempre, según la Wikipedia:
"SSL se ejecuta en una capa entre los protocolos de aplicación como HTTP, SMTP,
NNTP y sobre el protocolo de transporte TCP, que forma parte de la familia de
protocolos TCP/IP. Aunque pueda proporcionar seguridad a cualquier protocolo que
use conexiones de confianza (tal como TCP), se usa en la mayoría de los casos
junto a HTTP para formar HTTPS. HTTPS es usado para asegurar páginas World Wide
Web para aplicaciones de comercio electrónico, utilizando certificados de clave
pública para verificar la identidad de los extremos." ¿Y si nos hacemos con el
certificado PEM? Este formato PEM significa que el texto de una llave privada de
RSA debe estar seguido por el texto del certificado en el mismo archivo.
Interesante… No voy a decir más, pero que alguien se fije en esta utilidad y lo
que es capaz de hacer: http://www.rtfm.com/ssldump/Ssldump.html
Se tienen que dar demasiados
supuestos para descifrar un paquete de datos basado en SSL. ¿Pero es técnicamente
imposible? ¿Y qué ocurre con las contraseñas almacenadas en el ordenador de una
víctima que está siendo rastreada? ¿No son fácilmente localizables? Por tanto,
¿es viable la captura de contraseñas bancarias? Y si mencionamos el programa de
televisión… ¿es que nadie se dio cuenta de que detrás de aquel "sí" rotundo había
una matización que fue suprimida en la edición posterior?
Hacer entrever que los
sistemas de espionaje están adelantados a nuestro tiempo no es ninguna falacia.
Ya se ha citado que el propio gobierno español ha invertido una buena parte de
sus recursos financieros en la consecución del proyecto OSEMINTI, ya aprobado en
el BOE. Me complacería que se le echara un vistazo a esta información: http://es.wikipedia.org/wiki/OSEMINTI ¿Le
sorprende a alguien? ¿Alguno cree que en sus casas o en la universidad tienen la
misma infraestructura que los diversos Ministerios de Defensa implicados en el
proyecto?
En las conclusiones puede
extraerse que sí, que es fácil espiar nuestras comunicaciones. Lo hacen a diario
los administradores de sistemas de las empresas privadas con sus proxies,
keyloggers, y sniffers. Gobiernos como los EE.UU. o el Reino Unido han demostrado
que pueden hacerlo, y así se reconoció en su día en el Parlamento Europeo.
Ahora le toca el turno a España, con su proyecto OSEMINTI. Ni qué decir tiene que
por orden judicial, la policía puede interceptar nuestras comunicaciones o exigir
los logs de nuestras costumbres de comunicación a nuestro ISP. También es sabido
que la propia Guardia Civil utiliza un programa para conocer los hashes de
fotografías publicadas en redes P2P. Sólo así son capaces de, a partir de un
hash, averiguar quiénes están descargando fotografías de pornografía infantil,
que a su vez los usuarios están compartiendo con otros.
Por otro lado estamos
expuestos a diario a técnicas de phishing que nos llegan a través de los correos
electrónicos, al igual que los troyanos. Y ya tenemos encima la tecnología
RFID, un invento del diablo, donde estas etiquetas estarán facultadas para
mostrar nuestros hábitos de consumo. O dónde cualquier desaprensivo con un lector
de RFID podrá modificar nuestros pasaportes a una breve distancia.
Si alguno no cree esto último
le recomiendo que pase por nuestra nueva web http://www.seguridadinformatica.es,
donde previo registro en la red social, podrá acceder al apartado de vídeos y
localizar allí un vídeo sobre la tecnología RFID, basado en un libro de éxito
mundial. En este mismo sitio web se pueden reproducir las cinco partes del
reportaje de Cuarto Milenio, emitido por la cadena Cuatro, y al que hago mención
en este escrito.
¿Todavía hay alguien que se
atreva a opinar que nuestro futuro no pasa por el control de nuestras
comunicaciones?
Por Carlos Mesa
Director
técnico de
Seguridad0®
-
Si quiere escribirnos una
columna de opinión sobre algún tema de seguridad informática, escríbanos a
seguridad0@seguridad0.com y se la
publicaremos en próximas entregas.
|
#125 - Echelon y C
Responder a este mensaje
41,95€ (sin IVA)
