Entradas

IDGSecurity

SecurityInside Live: IDGSecurity 2018

El proceso de transformación digital que están abordando las empresas y la sociedad, de forma generalizada, obliga a operar en un entorno diferente y, aunque es cierta la gran oportunidad que se abre tanto en el mundo de los negocios como en la sociedad, hay que ser conscientes de los riesgos. La Ciberseguridad se ha posicionado como el eje de cualquier proyecto de transformación y en la mayor preocupación tanto de CEO, como de CIO y CISO. Ya no se trata solo de proteger sino de ser proactivos y ser capaces de detectar y responder a los ataques de la forma más inmediata posible.

Leer más

SecurityInside Live: CyberCamp 2017

CyberCamp es el gran evento de ciberseguridad que INCIBE organiza anualmente con el objetivo de identificar, atraer, gestionar y en definitiva, ayudar a la generación de talento en ciberseguridad que sea trasladable al sector privado, en sintonía con sus demandas. Esta iniciativa es uno de los cometidos que el Plan de Confianza en el ámbito Digital, englobado dentro de la Agenda Digital de España, encomienda a INCIBE.

CyberCamp 2017 se celebra en el Palacio de Exposiciones y Congresos de Santander, del 30 de noviembre al 3 de diciembre de 2017. El principal objetivo de CyberCamp es identificar, atraer e impulsar a todos aquellos que tengan talento en materia de ciberseguridad:

  • Identificar trayectorias profesionales de los jóvenes talentos.
  • Llegar a las familias, a través de actividades técnicas, de concienciación y difusión de la ciberseguridad para todos.
  • Despertar e impulsar el talento en ciberseguridad mediante talleres y retos técnicos.

Si no puedes asistir, no te preocupes ya que emiten los Talleres y Conferencias en directo a través de videostreaming:

 

Leer más

Cookies, Supercookies, y otros amigos. ¿Estoy siendo controlado?

Hace unos días volvió a salir a escena un asunto ya difundido hace casi ya un año, allá por octubre de 2014: El seguimiento que algunos proveedores de Internet y/o operadoras de telefonía móvil estaban haciendo de sus clientes. El caso se dio a conocer con Verizon y sus “perma-cookies” (http://www.wired.com/2014/10/verizons-perma-cookie/).

Aunque no hace mucho que se lleva hablando de esta forma de identificar usuarios y observarlos, todo parece indicar que no es algo novedoso.

Privacidad en Internet. Cookies

Las cookies han sido y son un método común para recoger información de los navegadores y con ello, del usuario que hay detrás. Como siempre, el principal interés es ganar dinero y se trata de obtener cuanta más información mejor, sobre los patrones de comportamiento de una persona para después explotarla convenientemente comercialmente. Lógicamente además de los intereses puramente económicos existen otros con distintos objetivos (políticos, sociales, etc).

¿Que es una cookie? Pues simplemente un “fichero” que se almacena en el navegador del ordenador o dispositivo del usuario y que servirá para obtener información e identificar al navegante al acceder a sitios web. Esto unido a la ejecución de scripts, generalmente javascript o archivos flash, se consigue procesar y recuperar muchísima información. Visítese por ejemplo en enlace de una editorial (elmundo.es) para consultar su política de cookies y enterarse de quienes y con qué objetivo hacen uso de ellas.

cookies

– Las cookies, un elemento común para gestión de información en navegadores web –

Este abuso de la privacidad del internauta ha llevado a la aparición de “leyes reguladoras” para tratar acotar el uso de las cookies o al menos, pretenderlo. Aquí en España la Agencia Española de Protección de Datos publicó la Guía sobre  Cookies  para ofrecer orientaciones sobre cómo cumplir con las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico (LSSI). Esta normativa sobre cookies se inició en 2012 y ha pasado por varias revisiones y adaptaciones, la última en 2014.

¿Supercookies? Cookies on steroids

Con las cookies tradicionales, el usuario tiene cierto control sobre su uso ya que, en cualquier momento puede decidir limpiarlas de su navegador y eliminar los rastros tanto de cookies como de archivos cacheados. No obstante la aparición de nuevas tecnologías como HSTS han sido aprovechadas para hacer más persistente el almacenamiento de información de modo que la limpieza de caché y cookies no basten para eliminar los rastros identificadores. Esto se ha pasado a denominar “supercookies” (vaya manía de poner nombre a todo) y como decimos, utilizando HSTS y los flags asociados como max-age (véase artículo sobre HSTS) se consigue, en ocasiones, el ansiado objetivo de la persistencia.

Un demostración de persistencia via HSTS podemos encontrarla aquí:  http://www.radicalresearch.co.uk/lab/hstssupercookies

 

Éramos pocos y…. vinieron las operadoras

Recientes resultados arrojados de los estudios de la iniciativa accessnow.org para la libertad digital , han demostrado que las cookies e incluso las supercookies se quedan atrás en cuanto a lo que identificación y seguimiento de usuarios se refiere.

 

En el estudio realizado a través de http://amibeingtracked.com/ se demuestra como, en concreto las operadoras de telefonía móvil nos identifican y seguramente, nos observan. En este caso el método es aún más eficaz, ya que no se almacena nada en el dispositivo del cliente y por lo tanto es imposible evitar ser identificados limpiando caché o cookies. ¿Como lo hacen?. Utilizando el poder que les confiere ser nuestro proveedor de acceso a Internet.

- Operadoras móviles y privacidad -

– Operadoras móviles y privacidad –

Cabeceras HTTP

Del estudio se concluye que se están haciendo uso del protocolo http para inyectar una o más cabeceras que identifiquen al usuario al acceder a un sitio web. Para ello la operadora intercepta la solicitud http del cliente y contando con sus datos de acceso a Internet que ella misma proporciona crea unos identificadores para el usuario. Estos identificadores se usarán para crear un perfil donde la operadora irá almacenando toda la información de navegación y patrones de comportamiento del cliente. En el caso que de alguna empresa interesada solicite a la operadora información sobre clientes (seguramente tras un jugoso pago), la operadora se encargará de inyectar cabeceras http que de información del cliente que está visitando el sitio. Una vez identificado, y con la información recopilada, el sito web se encargará de dar un “tratamiento especial” al visitante.

Prueba de concepto

Tras leer el estudio The Rise of Mobile TrackingHeaders: How Telcos Around the World Are Threatening Your Privacy  y visitar la página de demostración http://amibeingtracked.com/ me picó la curiosidad de saber qué cabeceras estaba inyectando mi operadora.

Para averigurarlo, escribí una página web muy simple con un pequeño script en php para recoger las cabeceras y comprobar que sucedía. Basta con acceder a la página desde tu dispositivo  utilizando tu red de datos móviles:

 

cabeceras http movistar

– Inspección de cabeceras HTTP utilizando una conexión de datos móvil con Movistar –

 

 

Vaya, resulta que tenemos un par de cabeceras http ( X-Up-Subno y Tm-User-Id) que no resultan especialmente tranquilizadoras. ¿Es necesario que la operadora inserte estos identificadores del cliente en su tráfico? ¿porqué no se informa al usuario?. ¿Cual es el objetivo?

Tests de inyección

Puedes probar tu mismo el resultado con tu operadora, accediendo al test que hemos preparado. Ojo! Utiliza una conexión de datos móvil (3g, 4g, etc):

—>  Test de inyección html  (básico, by securityinside.info)

—> Test de inyección de accessnow.org

 

Uso y abuso de identificadores

Lógicamente las operadoras defenderan que su uso es legítimo y únicamente con intenciones de monitorización del servicio, pero cuando menos, resulta sospechosillo. Googleando un poco y buscando información sobre esas cabeceras llegamos al punto de partida: Verizon y sus métodos, como podemos leer en este artículo: https://www.eff.org/deeplinks/2014/11/verizon-x-uidh.

Como se sugiere en el estudio anteriormente referenciado, es muy probable que, sin consentimiento del usuario se estén almacenado perfiles y patrones de comportamiento con objeto de monetizarlo a través de su distribución para campañas de marketing o ventas personalizadas.

En este ejemplo, un supuesto cliente “Kavita” accede a la red móvil para consultar un sitio web (privacybegone.com) y su operadora manipula la petición con la inyección de cabeceras:

- Ejemplo de funcionamiento de inyección de cabeceras http -

– Ejemplo de funcionamiento de inyección de cabeceras http. FUENTE: accessnow.org –

La compañía privacybegone.com, a través de las cabeceras identifica al usuario y le ofrece unos contenidos “personalizados”:

- Uso de las cabeceras para identificar al usuario . FUENTE: accessnow.org -

– Uso de las cabeceras para identificar al usuario . FUENTE: accessnow.org –

¿Que puedo hacer?

Pues frente a la manipulación de cabeceras por parte de tu ISP u operadora móvil, bastante poco, por no decir nada. No servirán las opciones de navegación de incógnito, ni el Do Not Track,  ni limpiar cache. Es algo que sucede una vez las comunicaciones han abandonado nuestro dispositivo y donde ya no tenemos control.

La inyección de cabeceras solo funcionarán en comunicaciones http, y no será posible su inclusión en comunicaciones bajo ssl (https). Desafortunadamente aún son muy numerosos los sitios que que utilizan http.

Seguramente, esto es solo la punta del iceberg. Hoy en día la privacidad en Internet es algo más difícil de mantener.

Anonimato en Internet ¿es posible?

A nadie le puede sorprender hoy en día conocer el poder que hay detrás de la información. Nuestros datos aunque nos pueda parecer lo contrario son de gran valor para, entre otras cosas, analizar comportamientos y trazar estrategias de marketing. La misma primitiva aplicada a los datos de millones de personas marca la diferencia en el éxito de una estrategia. Lógicamente esta posibilidad no solo aplica a técnicas comerciales, sino que se extiende al conocimiento de movimientos ideológicos, económicos e incluso militares. Por otra parte, el intensivo uso de internet como almacén y transmisión de información ha convertido este medio en un objetivo fundamental para el espionaje y agencias de seguridad nacional.

Internet y el poder de las tecnologías de la información

Desde 2007 con el movimiento de WikiLeaks se ha hecho patente la enorme cantidad de asuntos de espionaje y acciones deliberadas que atentan contra los derechos de las personas y de las cuales no se tenía conocimiento. Pero ha sido el caso Snowden en 2011 el que realmente ha sacado a la luz el espionaje masivo por parte de gobiernos como los de EEUU o Reino Unido y está realizando sobre medios como internet o las telecomunicaciones.  Programas escandalosos como PRISM, dirigido por la NSA, la agencia  nacional de seguridad de Estados Unidos, ECHELON (Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda) o sin ir más lejos SITEL en España, demuestran el nivel de observación al que nos vemos sometidos. Y que a nadie le quepa duda, esto es la punta del iceberg.

Las estadísticas de internet hablan por si solas: mas del 40% de la población mundial es usuario de internet. Unos 3000 millones de personas a día de hoy. Eso es mucha información y con estos números masivos han aparecido tecnologías de tratamiento y explotación de datos que marcan la diferencia. Tecnologías como Big Data y OSINT representan una fuente de conocimiento muy poderosa, de cuyo análisis se pueden obtener datos de gran valor. Toda esa información puede obtenerse de forma legítima recogiendo datos de redes sociales, medios de comunicación, blogs, etc. Por otra parte existe información que no viaja públicamente por internet por razones de seguridad y privacidad y que es el objetivo principal de gobiernos y agencias de espionaje. En la actualidad, internet y las tecnologías de la información constituyen un poderoso medio al alcance de todos y cuyo control y vigilancia es prioritario en asuntos de seguridad.

¿Estamos siendo observados?

Sin lugar a dudas, lo estamos. En principio debemos pensar que internet nace como un medio precisamente para eso, para comunicarse y acceder  a información. Internet  no nace con la privacidad y mucho menos con la seguridad como objetivo prioritario. La evolución de las tecnologías de la información ha traído  internet hasta cualquier lugar, tanto que, desde hace tiempo ya  se  habla de Internet de las cosas como una referencia clara a una masiva interconexión entre todos los dispositivos que nos rodean. Cámaras, relojes, móviles, televisores, coches, redes inalámbricas… es difícil en una sociedad moderna no encontrarse en cualquier momento con algún dispositivo conectado a internet o con posibilidades de ello. Jauja.

¿Podemos asegurar nuestra privacidad?

Claro…lleva todos tus dispositivos a un punto limpio y deshazte de ellos. No, realmente el uso de internet y las telecomunicaciones implican intrínsecamente un riesgo para la privacidad. En el momento en que el correo electrónico sale de tu ordenador o en el que un whatsapp sale de tu móvil, pierdes el control sobre ello. Todos los puntos intermedios por los que viaja tu información hasta llegar a su destino como routers, firewalls, redes inalámbricas, servidores, etc pueden ser un punto vulnerable donde, dependiendo de la seguridad de los canales, dispositivos y aplicaciones implicadas, podría interceptarse la información.

Pero… ¿ podemos hacer algo para proteger nuestra privacidad?

Bueno, aquí es donde quería llegar. La evolución de las tecnologías de la información también ha sido importante en el campo de la seguridad. Podríamos decir que no ha ido tan rápido, pero si es cierto que la necesidad cada día mas importante de proteger nuestros datos ha traído consigo importantes avances para mitigar, en la medida de  lo posible la exposición de nuestra privacidad a los ojos de terceros. Nuestra amiga: la criptografía. El enemigo número uno de los espías en cuanto a la información se refiere.

El uso de la criptografía no es algo novedoso, puesto que se utiliza desde cientos de años para proteger información. Sin embargo, si es cierto que la criptografía es cada vez es más  frecuente en cualquier mecanismo electrónico que transmita datos, como pueda ser la mensajería instantánea, la navegación o el correo electrónico. A pesar de que casos bochornosos para la privacidad como el filtrado público de fotos intimas en el caso “celebgate” nos haga pensar lo contrario, existe un número creciente de usuarios preocupados por proteger sus datos y comunicaciones. En este sentido, la criptografía nos aporta la confidencialidad y la integridad de la información pero… ¿que hay del anonimato?.

Anonimato y privacidad. Redes anónimas y el “otro internet”

Para impedir en la manera de lo posible que seamos identificados y localizados al usar internet, han aparecido y evolucionado métodos para acceder a la información de internet de forma anónima y también para publicar contenidos de modo oculto. Con esto nace lo que se conoce como Deep Web, lugares de internet que no son accesibles con los métodos convencionales. Lamentablemente, estos mecanismos de anonimato han sido adoptados del mismo modo por personajes indeseables como traficantes de droga y armas, pedófilos, terroristas y delincuentes. Entre estos medios se encuentran la archiconocida red Tor, y otras soluciones que empiezan a cobrar protagonismo como I2P o FreeNet. Tras este tostón introductorio y en sucesivos posts iremos hablando de estos mecanismos, de su funcionamiento y trataremos de realizar un análisis técnico desde el punto de vista de la seguridad de sus puntos débiles y los posibles ataques.

Stay tuned.