martes, 30 de mayo de 2017

LA SEGURIDAD ES UN EJERCICIO IMPULSADO POR AMENAZAS (CONTINUACIÓN DE COMSEC EN LA ERA DEL GRAN HERMANO)

por The Saker, en thesaker.is y Comunidad Saker Latinoamérica. Traducción de Leonardo Del Grosso



Queridos amigos,

Lo que sigue es una continuación de mi reciente artículo sobre la seguridad de las comunicaciones (ComSec). Decidí ponerme a escribir después de leer los comentarios a la publicación original que claramente me demostraron que había una necesidad extrema incluso de la información básica sobre ComSec. Voy a tratar de mantenerlo muy, muy básico, así que por favor, sea paciente conmigo.
Primero y principal, la seguridad es un ejercicio impulsado por amenazas. Ud. no se puede proteger contra “nada”. Ud.no se puede proteger contra algo difuso como “ellos” o “los poderes que existen” o incluso “el gobierno de los Estados Unidos”. Ud. sólo puede protegerse contra una amenaza específica. Déjenme dar un ejemplo: tan pronto como discutimos la protección de nuestros ordenadores pensamos en la NSA (National Security Agency, de los EEUU). Esto es normal, ya que la NSA es el archi-villano del mundo de las tecnologías de la información y el gobierno de Estados Unidos es el “Estado villano” número uno en el mundo. Sin embargo, lo que falta aquí es que la NSA no tiene interés en la mayoría de nosotros. Pero el IRS (agencia de impuestos) de los EEUU puede ser. Lo que usted tiene que darse cuenta aquí es que la NSA tiene medios que el IRS no y que la NSA no tiene absolutamente ninguna intención de compartir ninguna información con el IRS. De hecho, la agencia de impuestos de los EEUU también probablemente no se preocupa por ti. La gente más probablemente lo espíe a usted son sus jefes, sus colegas, su familia y sus amigos (lo siento, no se ofendan; es más o menos la misma lista de los más propensos a asesinarlo también). De hecho, algunas personas cercanas a usted pueden incluso desear informarle al IRS para ponerlo en problemas. Una vez que lo comprenda, también puede concluir lo siguiente:
1- Toda planificación de seguridad debe comenzar con la pregunta “¿cuál es la amenaza?”-
2- Darse por vencido en ComSec porque la NSA probablemente lo puede vencer a usted es simplemente estúpido, a menos que usted sea alguien realmente importante para la NSA.
En segundo lugar, tanto el espionaje como la ComSec están basados en los costos. Sí, incluso la NSA tiene un presupuesto limitado (si bien enorme). Y sí, incluso la NSA tiene que dar prioridad a sus esfuerzos: ¿usarán sus superordenadores, traductores, analistas, altos funcionarios, etc., para espiar, digamos, a la novia de un diplomático chino o para espiarte a ti? Es cierto que todas nuestras comunicaciones son interceptadas y registradas. Esto es especialmente cierto en los “metadatos” (quién contactó con quién y cuándo y cómo y con qué frecuencia), pero también es cierto para nuestras comunicaciones más o menos “seguras”, ya sea protegidas por un algoritmo de encriptación muy débil o por un sistema de cifrado de grado militar. Una vez que los datos se almacenan, la NSA tiene que analizarlo (sobre todo mirando en los metadatos) y tomar una decisión sobre cuántos recursos está dispuesta a asignar a su caso específico. Sin intención de ofender, pero si usted es un pequeño cultivador de marihuana con una historia de activismo político que emigró a Estados Unidos hace 10 años desde, digamos, Turquía, y si está enviando un correo electrónico a sus amigos en Antalya, la NSA necesitaría descifrar su correo electrónico. Eso les llevaría menos de 1 milisegundo, pero alguien tiene que autorizarlo. Entonces tendrían que conseguir una traducción automática del turco al inglés que sea, con optimismo, bastante buena (estoy absolutamente seguro que los pocos traductores del idioma turco que tienen no serán asignados a usted, lo siento, usted no es tan importante). Luego algún analista debe leer ese texto y decidir pasarlo a su jefe para el seguimiento. Si el analista encuentra que su correo electrónico es aburrido, simplemente lo enviará a un contenedor de basura virtual. Conclusiones:
1- Para los malos muchachos espiarlo a usted debe ser digno de su tiempo expresado en dólares y centavos, incluyendo costos de oportunidad (tiempo *no* gastado yendo detrás de alguien más importante).
2- Es sobremanera improbable que la NSA asignará a los mejores y más brillantes a su caso, por lo que no asuma que lo harán.
En tercer lugar, las fallas de seguridad son como los errores. Bien, esto es crucial. Por favor lea sobre la llamada “Ley de Linus”, que dice: “dados suficientes ‘eyeballs’ (expresión que se puede entender como algo así como “ojos abiertos”, u “ojos atentos”. Nota del Traductor), todos los errores salen a la superficie”. Esta “ley” ha sido parafraseada de esta manera en Wikipedia: “dada una base suficientemente grande de beta-testers y co-desarrolladores, casi todos los problemas se caracterizarán rápidamente y la solución será obvia para alguno”. Yo la parafrasearía así: la manera más efectiva de detectar y eliminar errores (tales como las fallas de seguridad) en código de software o algoritmos matemáticos es tenerlos disponibles para su revisión por expertos y asegurarse de que una máxima cantidad de expertos tenga una fuerte participación en su cuidadosa revisión. Ahora, antes de proceder, necesito desmontar un enorme mito: el gobierno de los Estados Unidos tiene más medios que nadie en el planeta. Eso es absolutamente falso. Piense en ello: para trabajar para la NSA, usted no sólo necesita tener un pasaporte estadounidense, sino también un permiso de seguridad de alto nivel. Justo allí, usted ha rechazado a casi todos los candidatos chinos, indios o rusos (¡junto con millones de estadounidenses!). Usted podría responder que la NSA tiene más dinero. ¡Nuevamente incorrecto! Eche un vistazo a este artículo que comienza con la siguiente declaración absolutamente cierta, si bien sorprendente:
El costo total de desarrollo representado en una distribución típica de Linux fue de 1,2 mil millones de dolares. Hemos utilizado sus herramientas y métodos para actualizar estos hallazgos. Utilizando las mismas herramientas, nosotros estimamos que se necesitarían aproximadamente 10,8 mil millones de dólares para construir la distribución de Fedora 9, en dólares de hoy y con los actuales costos de desarrollo de software. Además, se necesitarían 1.400 millones de dólares sólo para desarrollar el kernel de Linux. Este documento describe nuestra técnica y destaca los últimos costos de desarrollo de Linux. El sistema operativo Linux es el sistema operativo de código abierto más popular en la computación de hoy, lo que representa un ecosistema de $ 25 mil millones en 2008.
Permítanme preguntarles esto: ¿alguna vez pensaron que la comunidad de software libre, usando un modelo de desarrollo descentralizado, sería capaz de producir un producto con el mundo corporativo o con un gobierno si tuviera que gastar más de DIEZ MIL MILLONES de dólares para desarrollarlo? Permítanme darles otro ejemplo: Debian, que es la “última” distribución GNU/Linux, tiene más de 1000 desarrolladores y mantenedores de paquetes en todo el mundo (incluyendo chinos, indios, rusos y estadounidenses sin autorización de seguridad) que son seleccionados demostrando la comunidad Debian que son los mejores en lo que están haciendo. ¿De verdad crees que el gobierno de los EE.UU. podría contratar a esa cantidad de codificadores de alto nivel y luego administrarlos? Les recuerdo que la NSA es una “agencia”, lo que significa que es una burocracia, dirigida por personas que han ascendido hacia su nivel de incompetencia según el “Principio de Pedro”. Estas agencias son lentas en adoptar nuevas tecnologías o métodos, son intrínsecamente corruptas (debido a su secreto), están impregnadas con la mentalidad de que “dónde estoy sentado es donde me quedo”, lo que conduce a una sólida oposición al progreso (desde que usted es utilizado para hacer X, usted perderá su trabajo o tendrá que volver a entrenar si Y es introducido), y están irremediablemente politizadas. Dólar por dólar, cerebro por cerebro, la comunidad de software libre es mucho más eficaz que esta gigantesca mega-agencia.
Y luego hay academia. Hay excelentes institutos técnicos en todo el mundo, muchos en China y la India, por cierto, que son llenados por los mejores y más brillantes matemáticos y criptólogos que no sólo compiten entre sí, sino también contra todos sus colegas en todo el mundo. Los “ojos abiertos” de estas personas están enfocados con gran atención hacia cualquier nuevo algoritmo de cifrado desarrollado en cualquier parte del planeta y lo primero que buscan encontrar son los defectos simplemente porque ser el tipo (o grupo) que encontró una falla de seguridad en un previamente supuesto impecable algoritmo es un acceso garantizado a la fama y el éxito profesional. ¡La mayoría de estas personas está mucho más motivada que los burócratas en Fort Meade! Pero para que puedan ser capaces de hacer su trabajo es absolutamente crucial que el código de la aplicación de cifrado y el propio algoritmo de cifrado se hagan públicos. Todo ello. Si el código fuente y el algoritmo de encriptación se mantienen en secreto, entonces muy POCOS “ojos abiertos” estarán vigilando por defectos. Las conclusiones a partir de esto son:
1- La suposición de que la NSA está millas por delante de todo el mundo es completamente falsa.
2- Poner la confianza en software y algoritmos de cifrado revisados por pares es la opción más segura posible.
3- Las comunidades mundiales académicas y de hackers tienen medios superiores (en dinero y equivalentes de cerebros) a los de cualquier agencia gubernamental.
El uso de sofisticadas tecnologías ComSec sólo atrae hacia usted atención no deseada. Esto era muy cierto y todavía es parcialmente cierto. Pero la tendencia está en la dirección correcta. Lo que este argumento dice es que en una cultura donde la mayoría de la gente usa postales para comunicarse usar una carta en un sobre cerrado te hace ver sospechoso. Bien, es cierto, pero sólo en la medida en que pocas personas están utilizando sobres. Lo que ha cambiado respecto del pasado, digamos, 20-30 años, es que hoy en día todo el mundo espera un cierto grado de seguridad y protección. Por ejemplo, muchos de ustedes podrían recordar que en el pasado la mayoría de las direcciones de Internet comenzaban con HTTP, mientras que ahora en su mayoría comienzan con HTTPS: que “s” al final significa “seguro”. Incluso aplicaciones muy comunes como Skype o Whatsapp utilizan una tecnología muy similar a la que justifica la “s” al final de HTTPS. Ahora vivimos en un mundo donde el número de usuarios de sobres sellados está creciendo y donde el uso de tarjetas postales está en caída libre. Sin embargo, es cierto que en algunos casos el uso de un esquema de encriptación de primera línea llamará la atención de alguien sobre usted.

[Nota al margen: he experimentado personalmente eso. A finales de la década de 1990 usaba el cifrado PGP para intercambios de correo electrónico con mi ahijado. Efectivamente, un día mi jefe me llama a su oficina, me muestra la impresión de un correo electrónico mío encriptado y me pregunta qué es esto. Mi respuesta fue: “un mensaje cifrado”. Luego procedió a preguntarme por qué estaba encriptando mis correos electrónicos. Le respondí que lo hice para “asegurarme de que sólo mi correspondiente pudiera leer el contenido”. Me lanzó una mirada muy dura y luego me dijo que me fuera. Este incidente probablemente contribuyó en gran medida a mi eventual despido de ese trabajo. Y esto fue en Suiza “democrática”…]

Mi consejo es simple: nunca utilice ningún tipo de cifrado en el trabajo o mientras esté de servicio. Si su dirección de correo electrónico es algo así como $fdJ&3asd@protonmail.com su empleador ni siquiera sabrá que está usando protonmail. Simplemente mantenga un perfil razonablemente bajo. Para el consumo público, también recomiendo usar Gmail de Google. No sólo funciona muy bien, sino que usar Gmail te hace parecer “legítimo” a los ojos de los idiotas. ¿Por qué no usarlo? Conclusiones:
1- El uso de tecnologías avanzadas de ComSec ahora es seguro en la mayoría de los países.
2- Cuantos más usuarios privados y la industria se vuelvan conscientes de la ComSec (y lo son), será más seguro utilizar estas tecnologías.
El eslabón más débil de una cadena determina la fuerza de la cadena. El gobierno de los Estados Unidos tiene muchas maneras de espiarle. Puede usar los esquemas de encriptación más avanzados, pero si su computadora está ejecutando Windows usted está *pidiendo* por una puerta trasera y, de hecho, probablemente ya tenga muchas de ellas en su máquina. Pero incluso si su sistema operativo es realmente seguro como, por ejemplo, OpenBSD o SEL-Debian, la NSA puede espiarlo a través de su CPU, o a través de la radiación de su pantalla de computadora, o incluso instalando un key-logger (registrador de teclas) en su teclado o una simple cámara en su habitación. La mayoría de los así llamados “hacks” (un nombre incorrecto, debe ser “cracks”) son localizables desde una acción humana, no pura tecnología. Así que justamente no debe confiar a ciegas en algún esquema de cifrado avanzado, sino mirar la “cadena” completa. Sin embargo, mientras al Tío Sam le cuesta exactamente *cero* dólares usar una puerta trasera preinstalada con Windows, le costaría mucho más dirigir a una tripulación de humanos a instalar una cámara en su habitación. De esta manera, temer que la NSA va a utilizar todas y cada una de sus herramientas para ir detrás de usted, también es simplemente estúpido. Lo más probable es que no lo harán. Precisamente, usted no es tan importante (¡lo siento!). Las conclusiones aquí son:
1- Su ComSec depende de su eslabón más débil y con el fin de identificar este eslabón usted necesita
2- Adquirir suficiente conocimiento para entender la función de la cadena completa y no confiar en un gadget o una aplicación muy cool.
La confianza es siempre relativa pero, cuando se otorga con cuidado, supera la desconfianza. Yo escucho muchas declaraciones dramáticas y absurdas como “nunca voy a confiar en ninguna tecnología o empresa” o “nunca voy a confiar en ningún esquema de cifrado”. Suenan razonables, pero son cualquier cosa menos eso. En realidad, no existe más la opción de “no confiar”. Todos usamos coches, computadoras, chips RFID, teléfonos inteligentes, GPS, Internet, tarjetas de crédito, etc. Aquellos que dicen que nunca confían en nadie se están mintiendo a sí mismos. La verdadera pregunta no es “confianza vs desconfianza”, sino cómo asignar mejor nuestra confianza. Desempeñarse con código abierto y algoritmos de encriptación de conocimiento público es mucho más racional que rehusarse a usar cualquier ComSec en absoluto (¡todos sabemos que la oficina de correos, y muchas otras personas, pueden abrir nuestro correo y leerlo – pero todavía usamos principalmente sobres sellados y no postales!). Si ComSec es importante para usted, realmente debería abandonar sus máquinas Windows o Mac/Apple. Ellos -como cualquier cosa de Google- son básicamente una filial de la NSA. Si utiliza servidores remotos para proporcionarle “software como servicio”, trate de usar a aquellos que tienen interés en ser revisados por pares y que sólo utilizan tecnologías de código abierto (el Silent Phone de Silent Circle es un ejemplo). Hay interés público y el tipo de “vigilancia” de organizaciones que le ayudarán a tomar las decisiones correctas, organizaciones tales como la Fundación para la Libertad Electrónica. Conclusiones:
1- Vivimos en un mundo complejo y de alta tecnología. Mientras usted puede rechazar todo eso y negarse a utilizar tecnologías avanzadas, a la vez, por eso mismo, se convierte en la oveja pasiva ideal que los poderes desean que sea. A lo que los poderes le tienen miedo es a los cyberpunks/cypherpunks, hackers de software libre, gente como Assange o Snowden, e instituciones como Wikileaks. Están tan aterrorizados de ellos que se *tranquilizan* afirmando que todos ellos son “agentes rusos” en lugar de mirar la terrible realidad de que éstas son las reacciones, naturales e inevitables, ante la violación mundial de los derechos humanos y civiles por parte del imperio anglo-sionista. Es la elección de usted el educarse o no sobre estos temas, pero si su opción es permanecer ignorante al mismo tiempo que paranoico los poderes lo aplaudirán con una ovación de pie.
2- Poner su confianza en X, Y o Z no tiene por qué ser un asunto de “sí o no”. Ponga tanta confianza como considere que la merece en, por ejemplo, software de código abierto, pero siga siendo prudente y cauteloso. Siempre piense en las consecuencias de tener su ComSec comprometida: lo que realmente le haría a usted, su familia, sus amigos o su negocio. Por ahí se trata de un juego dinámico y de rápido movimiento, así que manténgase bien informado y si no entiende un problema, decidir en quién confiaría entre aquellos que entienden estos problemas. Delegar la confianza en expertos confiables es una opción muy razonable y racional.
El costo real de la seguridad será siempre conveniente: la dolorosa realidad es que la buena seguridad siempre es incómoda. En teoría, la seguridad no necesita dañar la comodidad, pero en realidad siempre, siempre lo hace. Por ejemplo, para llegar a ser más o menos competente en ComSec necesita educarse, eso requiere tiempo y energía. Usar una llave para entrar en una casa lleva más tiempo que abrir una puerta sin bloqueos. Un escaneo de retina toma aún más tiempo (y cuesta mucho más). Posiblemente usted siempre invierta una gran cantidad de tiempo intentando convencer a sus amigos de que adopten sus prácticas, pero ellos rechazarán su consejo por muchas razones más o menos válidas. La clave aquí es “¿vale la pena?” y que es una decisión personal que usted debe tomar. Además, también tendrá que evaluar el impacto en los costos de no utilizar alta tecnología. Usted puede enviar un correo electrónico a un amigo o conocerlo cara a cara. Pero en este último caso, debes preguntarte cuánto tiempo y dinero necesitarás para que los dos se reúnan, cuán fácil será para los malos escuchar furtivamente tu conversación en voz baja, lo rápido que podrías transmitir cualquier información por tales medios o si llevar físicamente información confidencial a tal reunión es una buena idea en primer lugar. Conclusiones:
1- Ir hacia baja tecnología podría ser mucho más costoso y menos seguro que el uso inteligente de soluciones de alta tecnología.
2- “No-tech” en general es la peor opción de todas, aunque sólo sea porque es delirante en primer lugar.

Conclusiones
Traté de desmontar algunos de los muchos mitos y leyendas urbanas sobre ComSec en general y una agencia como la NSA en particular. Tuve el tiempo para hacerlo una vez, pero como este tema no es una prioridad para este blog, no podré repetir este ejercicio en el futuro. Espero que esto haya sido útil e interesante, si no me disculpo.
A partir de la próxima semana, volveremos a nuestros temas más tradicionales.
Abrazos y vítores.

No hay comentarios:

Publicar un comentario