Nota de la EFF sobre la acción del gobierno en el referendum

No hay justificación posible para la censura en Internet durante el referéndum catalán.

captura-de-pantalla-110117-201846

La implacable eficacia con la que el gobierno español censuró Internet antes del referéndum sobre la independencia catalana auguraba la severidad de su represión en los centros de votación el 1 de octubre. Hemos escrito anteriormente sobre un aspecto de esa censura: la incursión del registro de dominios de primer nivel. cat. Pero había mucho más que eso, y muchos de los más de 140 dominios censurados y servicios de Internet siguen bloqueados a día de hoy.

Comenzó con la toma del dominio referéndum. cat, el sitio web oficial del referéndum, el 13 de septiembre por la Guardia Civil, en virtud de una orden emitida por el Tribunal Supremo de Cataluña. A lo largo de los días, est orden se extendió rápidamente a otros réplicas no comerciales del sitio web, como por ejemplo ref1oct. cat y ref1oct. eu, que fueron confiscadas si se alojaban en un dominio. cat, y bloqueadas por los ISP si no lo eran. (El hecho de que los ISP españoles ya hayan bloqueado sitios web como Pirate Bay por orden judicial permitió que el bloqueo de sitios web adicionales se desplegara rápidamente).

Una de estas órdenes de censura, emitidas el 23 de septiembre, fue especialmente destacable en la medida en que facultaba a la Guardia Civil para bloquear no sólo una lista de sitios web nombrados, sino también futuros sitios con contenidos relacionados con el referéndum, difundidos en cualquier red social por un miembro de la Generalidad de Cataluña. Esta orden aceleró el bloqueo de otros sitios web sin necesidad de una nueva orden judicial. Aparentemente, estos incluían la censura de colectivos ciudadanos no partidistas (por ejemplo, empaperem. cat) y otras organizaciones sin fines de lucro (assemblea. cat, webdelsi. cat, alerta. cat), y sitios web de campañas de partidos políticos legales (prenpartit. cat).

Captura de pantalla de 2017-10-09 23-25-16

El viernes se obtuvo una orden judicial por separado que exigía a Google eliminar una aplicación de votación de la tienda de aplicaciones de Google Play. Similar a la del 23 de septiembre,la petición también requería que Google eliminara cualquier otra aplicación desarrollada por el mismo desarrollador. Aquellos que violan tales órdenes estableciendo espejos, poderes inversos o dominios alternativos para contenido bloqueado se les llama a juicio y se enfrentan a cargos criminales. A uno de estos activistas también se le confiscaron las cuentas GitHub y Google.

Ni que decir tiene que, aunque el bloqueo de la información electoral conforme a estas órdenes judiciales hubiera sido legítimo y proporcionado (no lo creemos), era inevitable que las órdenes resultaran en el bloqueo y la censura del contenido legal. Un ejemplo de esto fue el bloqueo de la pasarela de dominio. ipfs. io. Este dominio es el servidor web principal del Sistema de Archivo InterPlanetario (IPFS), un protocolo experimental de Internet para el almacenamiento distribuido de información. A pesar de que cierta información sobre el referéndum del 1 de octubre fue alojada en este sistema de archivos distribuidos, ésta era una pequeña proporción de la información que fue bloqueada. El mismo día del referéndum, Internet se cerró en los centros de votación para evitar que los votos se transmitieran.

A lo largo de estos disturbios, un grupo de activistas que comparten la cuenta de Twitter @censura1oct ha estado verificando los bloques de múltiples ISPs, y compartiendo información sobre las medidas técnicas utilizadas. Todas las medidas de censura que se adoptaron en el período previo al referéndum parecen seguir vigentes hoy, aunque no sabemos por cuánto tiempo. El Gobierno español espera, sin duda, que la represión del discurso político en Cataluña sea olvidada si los sitios censurados vuelven rápidamente a la red. Tenemos que asegurarnos de que no sea así.

privacidad

Con una gama extremadamente estrecha de excepciones, la censura gubernamental a Internet está prohibida por el artículo 19 de la Declaración Universal de Derechos Humanos y por el artículo 10 del Convenio Europeo de Derechos Humanos, que garantizan el derecho de toda persona a recibir y difundir información e ideas sin consideración de fronteras. La censura del gobierno español al discurso en línea durante el periodo del referéndum catalán es tan desproporcionada y excesivamente amplia que su violación de estos instrumentos parece casi incontrovertible.

open

 

Anuncios

DRM normalizado

drm-2

El Consorcio World Wide Web abandona el consenso, normaliza el DRM con un apoyo de 58.4%, la EFF renuncia.

En julio, el Director del Consorcio de la World Wide Web rechazó las objeciones, de docenas de miembros, a la publicación de un estándar DRM sin comprometerse a proteger el acceso, la seguridad, el archivado y la competencia.

La EFF apeló la decisión, la primera apelación de la historia de la W3C, que terminó la semana pasada con una profunda división entre sus miembros. El 58,4% del grupo votó a favor de continuar con la publicación, y así hizo la W3C, un movimiento sin precedentes en un organismo que siempre ha operado por consenso y compromiso. En sus declaraciones públicas sobre el estándar, el ejecutivo de la W3C dijo repetidamente que no creía que los defensores del DRM estuvieran dispuestos a comprometerse, y en ausencia de tal voluntad, el ejecutivo les ha dado todo lo que exigían.

Este es un mal día para el W3C: es el día en que publica un estándar diseñado para controlar, y no para potenciar, a los usuarios de la web. Esa norma que fue explícitamente publicada sin ninguna protección -incluso el compromiso más mínimo fue rechazado sin discusión, una intransigencia que los líderes del W3C aprobaron tácitamente. Es el día en que el W3C cambió su procedimiento para recompensar el estancamiento sobre el compromiso, siempre y cuando los que lo hicieran fueran las corporaciones más grandes del consorcio.

Captura de pantalla de 2016-01-08 20:30:34

La EFF ya no cree que el procedimiento de la W3C sea el adecuado para defender la red abierta. Hemos dejado del Consorcio, desde hoy de forma efectiva. A continuación nuestra carta de renuncia:
Querido Jeff, Tim, y colegas,

En 2013, la EFF se sintió decepcionada al enterarse de que el W3C había asumido el proyecto de estandarizar “Encrypted Media Extensions”, una API cuya única función era proporcionar un papel de primera clase al DRM dentro del ecosistema del navegador web. Al hacerlo, la organización ofreció el uso de su reserva de patentes, el apoyo de su personal y su autoridad moral a la idea de que los navegadores pueden y deben estar diseñados para ceder el control sobre aspectos clave de los usuarios a partes remotas.

Cuando quedó claro, después de nuestra objeción formal, que los mayores miembros corporativos y la dirección de W3C se habían unido a este proyecto a pesar del fuerte descontento de sus miembros y el personal de la W3C, sus socios más importantes y otros partidarios de la Web abierta, propusimos un compromiso. Acordamos renunciar a la norma EME, siempre que el W3C extendiera sus políticas de DPI existentes para disuadir a los miembros de utilizar las leyes DRM en relación con el EME (como la Sección 1201 de la Ley de Derechos de Autor del Milenio Digital de los EE. UU. o las implementaciones nacionales europeas del Artículo 6 de la EUCD) excepto en combinación con otra causa de acción.

Este pacto permitiría a los grandes miembros corporativos del W3C hacer valer sus derechos de autor. De hecho, mantuvo intactos todos los derechos legales a los que las empresas de entretenimiento, los proveedores de DRM y sus socios comerciales pueden reclamar. El compromiso limitaba meramente su capacidad de utilizar el DRM del W3C para detener actividades legítimas, como la investigación y las modificaciones, que requerían eludir el DRM. Señalaría al mundo que el W3C quería marcar una diferencia en la forma en que se aplica la DRM: que utilizaría su autoridad para trazar una línea divisoria entre la aceptabilidad de la DRM como tecnología opcional, en lugar de una excusa para socavar la investigación y la innovación legítimas.

Más directamente, tal pacto habría ayudado a proteger a los interesados clave, presentes y futuros, que dependen de la apertura de la Web y que trabajan activamente para proteger su seguridad y universalidad. Ofrecería algo de claridad jurídica para aquellos que eluden el DRM para participar en la investigación de seguridad para encontrar defectos que pondrían en peligro a miles de millones de usuarios web; o que automatizan la creación de vídeo mejorado y accesible para las personas con discapacidades; o que archivan la Web para la posteridad. Ayudaría a proteger a los nuevos participantes en el mercado que se propongan crear productos competitivos e innovadores, sin que los vendedores se imaginen que pueden bloquear el vídeo web.

A pesar del apoyo de muchos sectores de la W3C, los dirigentes del W3C rechazaron este compromiso. Los dirigentes del W3C contrarrestaron con propuestas -como la constitución de un grupo de discusión no vinculante sobre las cuestiones de política que no estaba previsto informar hasta mucho después de que el buque EME hubiera zarpado- que hubieran dejado desprotegidos a investigadores, gobiernos, archivos y expertos en seguridad.

El W3C es un organismo que, aparentemente, opera por consenso. Sin embargo, a medida que la coalición en apoyo de un compromiso de DRM crecía y crecía – y los grandes miembros corporativos continuaban rechazando cualquier compromiso significativo – la dirección del W3C persistió en tratar a la EME como un tema que podría ser decidido por uno de los bandos en debate. En esencia, un núcleo de partidarios del EME impuso su voluntad sobre el Consorcio, sobre los deseos de un grupo considerable de objetores – y de cada persona que utiliza la web. El Director decidió anular personalmente cada una de las objeciones planteadas por los miembros, expresando varios beneficios que la EME ofrecía sobre el DRM que HTML5 había hecho imposible.

Pero esos mismos beneficios (como las mejoras a la accesibilidad y la privacidad) dependen de que el público pueda ejercer los derechos que pierde bajo la ley DRM – lo que significa que sin el compromiso que el Director estaba destrozando, se podrian realizar ninguno de esos beneficios. Ese rechazo motivó la primera apelación contra el Director en la historia del W3C.

En nuestra campaña sobre este tema, hemos hablado con muchos, muchos representantes de las organizaciones que nos confiaron, en privado, su creencia de que el EME era una idea terrible (generalmente usaron un lenguaje más fuerte) y su sincero deseo de que su empleador no estuviera en el lado equivocado de este asunto. Esto no es sorprendente. Hay que buscar bastante y con dificultad para encontrar un tecnólogo independiente que crea que es posible el DRM, por no hablar de una buena idea. Sin embargo, en algún momento, los valores comerciales de aquellos que estaban fuera de la red adquirieron suficiente importancia, y los valores de los tecnólogos que la construyeron se volvieron lo suficientemente desechables, que incluso los sabios ancianos que hacen nuestras normas votaron a favor de algo que saben que es un estúpido mandado.

Creemos que se arrepentirán de esa elección. Hoy en día, el W3C lega un área de ataque legalmente no auditable a los navegadores usados por miles de millones de personas. Dan a las compañías de medios de comunicación el poder de demandar o intimidar a aquellos que podrían volver a usar el video para personas con discapacidades. Se ponen de parte de los archiveros que se están apresurando para preservar el registro público de nuestra era. Las empresas que han hecho su fortuna desbaratando el orden establecido han abusado del proceso W3C, y ahora, gracias a EME, podrán asegurarse de que nadie les someta a las mismas presiones innovadoras.

Así que seguiremos luchando para mantener la red libre y abierta. Seguiremos demandando al gobierno de los Estados Unidos para que revoque las leyes que hacen tan tóxico el DRM, y seguiremos trayendo esa lucha a los parlamentos del mundo que están siendo engañadas por el Representante Comercial de los Estados Unidos para instigar a los equivalentes locales a los errores legales de los Estados Unidos.

Renovaremos nuestro trabajo para combatir a las empresas de medios que no adaptan los vídeos a efectos de accesibilidad, aunque el W3C ha derrochado el momento perfecto para cumplir la promesa de proteger a los que están haciendo ese trabajo por ellos.

Defenderemos a aquellos que son puestos en peligro por denunciar los defectos en las implementaciones de EME.

Es una tragedia que estemos haciendo eso sin nuestros amigos en el W3C, y con el mundo creyendo que los pioneros y creadores de la web ya no se preocupan por estos asuntos.

A partir de hoy, el FEP renuncia al W3C.

Gracias, gracias,

Cory Doctorow

Representante del Comité Asesor de la Fundación de la Frontera Electrónica en el W3C

linux

El retorno de Firefox

1022dc170e8769727e615489e1f07e7d_extra_large

Ha desaparecido la imagen que representaba al Navegador Mozilla desde 2003. En su lugar, el Vice Presidente de Firefox Mark Mayo abrió el acto presentando un zorro en actitud amenazante, denominado Mark 57.

Según Mozilla no es un mensaje sutil; Firefox 57 ha sufrido un cambio radical y está listo para el combate. Su principal rival es Google Chrome, seguido de Safari y después Firefox, según la firma de análisis StatCounter. No hay que olvidar el gran aumento de navegación que se ha dado en móviles y tabletas, que suelen usar el navegador que lleva el sistema operativo por definición. La inmensa mayoría de los móviles tienen al S.O. de Google y luego va el navegador de Mac, a una distancia bastante considerable.

Mozilla perdió la batalla del S.O para móvil y además de eso, perdió a su confundador y lider técnico Brendan Eich, en una tormenta política sobre el matrimonio gay. Que abandonó Mozilla y ahora le hace la competencia con otro navegador, Brave.

Algunas de las cosas que estamos haciendo resultan increíbles”. Declara Andreas Gal.

Mozilla lanza de manera experimental la búsqueda por voz, el compartir archivos y una herramienta para tomar notas en Firefox.

Por ahora, son herramientas en fase experimental y no hay ninguna garantía de que se conviertan en  fijas en la versión de Firefox.  Los primeros experimentos incluyen lengüetas laterales y flujo de actividad.

mozilla2

Mientras la nueva búsqueda de voz, que actualmente trabaja en los buscadores Google, Yahoo y DuckDuckGo, y la toma de notas sonn plugins del navegador, La nueva herramienta de envío está basada en la web y permite que cualquiera – sin importar el navegador que utilice – envíe archivos de hasta 1GB de tamaño. Codifica el archivo a medida que se carga y te da un enlace que puedes compartir con tus amigos y compañeros de trabajo. Los archivos se borran automáticamente después de una descarga o un día después. Este no es exactamente el más novedoso concepto (y Mozilla ha sido a menudo criticada por desviar la atención de sus competencias básicas), sino el cifrado integrado y la naturaleza de código abierto de la herramienta que lo hace.

mozilla3

mozilla1

¿Alambradas en la Frontera Electrónica?

Hace unos años Internet era “la última frontera” terminología nacida en los EEUU de América, heredera del anglosajón “espíritu de la frontera”. En ese momento la Red era libre, para lo bueno y para lo malo, era libre y nadie se erigía en policía o espía en la misma. Pero Internet ha cobrado mucha fuerza  y los Gobiernos le temen, le temen más que a la peste, son datos e información que se les escapa. En los EEUU ya comenzó el Gobierno anterior a intentar socavar la libertad de la red, al socaire del mismo van muchos otros gobiernos, entre ellos el inútil y emponzoñado Gobierno español. A eso se ha añadido la ambición de varias empresas de la red que tienen como objetivo vender los datos que nosotros introducimos en nuestros “usuarios”, hoy, más que nunca, NADA ES GRATIS.

El Gobierno norteamericano actual, como es de suponer, pone más ahinco, si cabe, en dicha campaña. Si los que circulamos por dichas autopistas no la defendemos, como el resto de nuestro entorno y vida, pereceremos. Cada día estamos más cerca de 1984 y del Mundo Feliz, en algunos casos hemos sobrepasado la imaginación de los autores de ambas. Varias fundaciones en la web luchan por defenderla, pero sin nuestra colaboración, participación, ayuda, la guerra está perdida. El Software Libre de manera general se encuentra en la lucha por la libertad, desde el principio, así como la Fundación de la Frontera Electrónica nacida hace años para defender la red. Que el comunicado que transcribo se circunscriba a los EE.UU. de América tiene su sentido, pero podemos hacer una extrapolación muy fácilmente.

Termino está entrega, en Defensa de la Libertad en la Red, con una petición que está presentada o apoyada tanto por la FSF como por la EFF y algunas fundaciones y empresas, que aparecen en dicha petición, en este caso es una firma contra las Restricciones Digitales. Con un simple pulsar en el gráfico, vas a ella.

¡Feliz jaqueo!

who-has-your-back-2017-2d

Amazon no lo consiguió, mucho menos consiguieron “Las mejores prácticas de privacidad”, Facebook, Google y Microsoft que fallaron al prometer que se mantendrían firmes frente a las órdenes del FBI

San Francisco, California – Mientras que muchas compañías tecnológicas continúan intensificando su estrategia de privacidad adoptando “las mejores prácticas” para proteger la información confidencial de los clientes cuando el gobierno exige datos de los usuarios, las compañías de telecomunicaciones no priorizan la privacidad del usuario cuando el gobierno reclama, el nforma anual de la EFF lo demuestra. Incluso los gigantes de la tecnología como Apple, Facebook y Google podrían hacer más para defender a sus usuarios.

El séptimo informe anual de la EFF Quién guarda tus espaldas “ , Publicado recientemente, se centra en la manera en que muchas empresas de tecnología están recibiendo el mensaje sobre la privacidad del usuario en esta era de vigilancia digital sin precedentes. Los datos almacenados en nuestros teléfonos móviles, ordenadores portátiles y, especialmente, nuestros servicios en línea pueden, cuando se juntan, pintar un cuadro detallado de nuestras vidas – donde vamos, quiénes vemos, qué decimos, nuestras afiliaciones políticas, nuestra religión y más.

Esta información es un imán para los gobiernos que buscan vigilar a los ciudadanos, periodistas y activistas. Cuando los gobiernos hacen esto, deben cumplir con la ley, y los usuarios están exigiendo cada vez más que las compañías que tengan sus datos promuevan políticas más duras para proteger la información de los clientes “, dijo el director de activismo de la EFF, Rainey Reitman.

La EFF evaluó las políticas públicas de 26 empresas y otorgó estrellas en cinco categorías. Este año, el EFF ha incluído dos nuevas categorías: “Promesas de no vender a los usuarios“, y “Resistir a las órdenes de la NSL“. La primera refleja nuestra preocupación por el objetivo declarado de varios miembros del gobierno de co-optar empresas de tecnología para rastrear a las personas por su estatus migratorio u religión. Entregamos estrellas a empresas que prohíben a desarrolladores y terceros capturar datos de usuarios para ayudar a los gobiernos en el espionaje.

También otorgamos estrellas a las compañías que ejercen su derecho para hacer que el gobierno inicie la revisión judicial de las órdenes mordaza que les prohíbe revelar públicamente que han recibido una Carta de Seguridad Nacional (NSL). NSL- peticiones secretas del FBI de información sobre el usuario emitida sin ninguna supervisión de cualquier tribunal – que permiten que el FBI de manera unilateral amordace a los receptores, un poder que la EFF cree que es inconstitucional. Facebook, Google y Microsoft han fallado en su promesa de pararlas y ejercer su derecho a que el gobierno ponga las NSL a disposición de los tribunales.

Nueve compañías ganaron estrellas en cada categoría este año: Adobe, Credo, Dropbox, Lyft, Pinterest, Sonic, Uber, Wickr y WordPress. Cada uno tiene un historial de defensa de la privacidad del usuario frente al exceso de gobierno y mejoró sus prácticas para cumplir con los estándares más estrictos en este año de Quién guarda tus espaldas.

Dos empresas de tecnología se quedaron atrás: Amazon y WhatsApp, que ganaron sólo dos estrellas. La encuesta de EFF mostró que aunque ambas empresas han hecho un trabajo significativo para defender la privacidad de los usuarios – la EFF, en concreto, alaba que WhatsApp adoptara el cifrado de punta a punta para sus mil millones de usuarios en todo el mundo – sus políticas siguen estando atrasadas. El gigante minorista en línea Amazon ha sido calificado de número uno en el servicio al cliente, sin embargo, no ha cumplido los compromisos públicos de respaldar la privacidad digital de sus usuarios como tiene el resto de la industria.

AT & T, Comcast, T-Mobile y Verizon obtuvieron la puntuación más baja, ganando cada uno una sola estrella. Si bien han adoptado varias prácticas recomendadas de la industria, como publicar informes de transparencia y exigir un requerimiento judicial por la información, todavía necesitan comprometerse a informar a los usuarios antes de revelar sus datos al gobierno y crear una política pública de solicitar la revisión judicial de todas las NSL.

La industria de la tecnología al unísono se ha movido para proporcionar a sus usuarios más transparencia, pero las compañías de telecomunicaciones – que sirven como una avenida para las comunicaciones y el servicio de Internet para millones de estadounidenses – no están presionando públicamente contra los excesos del gobierno” declaraba Nate Cardozo, Senior Staff Attorney de la EFF . “Tanto las empresas de telecomunicaciones legales como los gigantes de Silicon Valley pueden y deben hacerlo mejor. Esperamos que las empresas protejan, no exploten, los datos que les hemos confiado“.

drm

Libertad de comunicación

images.duckduckgo.comSegún Richard Stallman: “Cuando la gente reconoce que el nivel general de vigilancia es demasiado alto, la primera respuesta es proponer límites en el acceso a los datos. Eso suena bien, pero no soluciona el problema, ni tan siquiera un poco, aun suponiendo que el gobierno obedezca las leyes. (La NSA ha engañado a los tribunales, que se declararon incapaces de hacer efectiva la responsabilidad de la NSA.) La simple sospecha de un crimen será motivo para acceder, por lo que una vez que se acuse al denunciante de “espionaje”, si este encuentra un “espía” tiene una excusa para acceder al material obtenido.

El personal de espionaje federal hace uso indebido de los datos por razones personales. Algunos agentes de la NSA utilizan el sistema de vigilancia de los EE.UU. para realizar un seguimiento a sus amantes – Pasados, presentes, o deseados – en una práctica denominada “LoveINT.” La NSA dice que ha capturado y castigado esto un par de veces; no sabemos cuántas otras veces no fueron capturados. Pero estos actos no deberían sorprendernos, porque la policía ha usado durante mucho tiempo su acceso a los archivos de licencia de conducir para rastrear a quien les interesara, una práctica conocida como “ejecución de una placa para una fecha.”

Los datos de vigilancia siempre serán utilizados para otros fines, incluso si esto está prohibido. Una vez que los datos se han acumulado y el Estado tiene la posibilidad de acceso a ella, pueden hacer mal uso de esos datos de una forma terrible.”

Hace un par de años la FSFE (Fundación del Software Libre de Europa) nos decía:

“Routers obligatorios: !La red privada ha de ser privada!

fssfeEn tu casa has de poder utilizar un router de tu elección, así tendrás más control sobre la pasarela de tu red privada con internet. Pero en Alemania ISP comienza a obligar al usuario a utilizar routers concretos, y no les ofrecen las credenciales de acceso a internet para usar routers de su propia elección. Junto con voluntarios dedicados de OpenWRT, IPFire y otros, la FSFE trabajó en este asunto en 2013, enviando una carta a los autoridades, y haciendo 18 preguntas concretas. Nuestros argumentos fueron publicados en periódicos, revistas y televisiones alemanas.”…

Parece que en Alemania lo consiguieron, pero ¿Qué pasa en España? ¿Algún usuario decide, o tiene posibilidad de decidir, qué software tiene su enrutador?

Pero volvemos a los EEUU de A, donde, de acuerdo con la Fundación de la Frontera Electrónica:

En septiembre del 2014 Apple anunció que su sistema operativo iOS 8 cifraría los datos del teléfono de manera que la propia empresa no pudiera leerlos. “A diferencia de nuestros competidores, Apple no puede pasar por alto tu código de acceso y por lo tanto no puede acceder a estos datos“, escribió la compañía en su página web. “Así que técnicamente no es posible que podamos responder a las requisitorias del gobierno.” Poco después, Google anunció una actualización similar para su sistema operativo Android 5.0 Lollipop.

En una audiencia, el fiscal de Manhattan, Cyrus Vance, declaró que “contaba con más de 200 iPhones que no se han podido desbloquear, y que los agentes federales tenían necesidad “urgente” de una legislación que les autorizara a construir puertas traseras en las funciones de cifrado de las tecnologías en uso.

Todos nuestros casos en juicio están limitados por la ley“, declaró Vance.

Kenneth L. Wainstein, antiguo Ayudante del Fiscal General para la seguridad nacional en el Departamento de Justicia, dijo a los legisladores que la culpa es de las empresas de tecnología y los defensores de la privacidad al mostrar cómo las puertas traseras podrían dañar la seguridad del usuario, en lugar de respetar la ley y demostrar que la alteración de la esquema de cifrado sería seguro¡¡¡!!!.

captura-de-pantalla-110117-201846

Para la industria de la tecnología y los grupos de libertades civiles, esto significa la imposición de un apoyo técnico concreto, en la creencia de que un acuerdo con el gobierno socavaría la integridad del cifrado. Deben proporcionar datos fundamentales que demuestren exactamente cómo y cuánto, cada tipo de alojamiento puede afectar a sus sistemas de encriptación. Sólo cuando el Congreso reciba los datos es cuando podrán legislar con conocimientos de causa y equilibrar los peligros potenciales a la seguridad cibernética.. “, declaró.

Hay quien argumenta que las puertas traseras o las adaptaciones legales, podrían terminar comprometiendo el cifrado, lo cual es importante para la sociedad. Pero es la única manera de hacer nuestro trabajo y equilibrar la necesidad con un acuerdo contra al impacto que pueda dañar el cifrado, es su labor y el demostrar exactamente, en concreto y técnicamente, cómo podría hacerse este daño. … Hasta ahora no hemos oído nada y hasta que sepamos eso, no podemos hacer nuestro trabajo y alcanzar una solución “, declaró.

No tengo noticias de que alguien haya utilizado alguna vez algo parecido a en una escala tan prepotente como ellos desean. De hecho, es la razón principal por la que resulta tan difícil de cuantificar el riesgo: porque nadie ha probado este riesgo anteriormente.

Bruce Schneier, criptólogo.

Bruce Schneier es una de las 15 mejores del mundo en el tema de la seguridad de datos y la encriptación, que ha publicado “Llaves debajo de los felpudos,” un argumento de 32 páginas contra las puertas traseras. En un correo electrónico a Defense One, dijo que sería difícil de responder a una demanda de riesgos calculados con precisión.

Lo que tenemos son datos en bruto“, escribió Schneier. “De cada 1.000 líneas adicionales de código se cree que hay entre 0,5 y 3 defectos de código, dependiendo de quien lo escriba. Esto nos ayuda a comprender los defectos en la fabricación de un sistema más complejo, mediante la adición de nuevas características. Pero el acceso excepcional es aún peor, ya que, por definición, implica no solo la debilidad accidental en el código de cifrado, sino de ingeniería deliberada. [subraya Schneier]. El objetivo es construir un punto débil que sólo pueda ser explotado por los tribunales (en algunos casos, todos los tribunales de los Estados Unidos), pero que no puede ser explotado por el [Servicio Secreto ruso] o el crimen organizado o cualquiera de los adversarios extranjeros“.

Hacer del mismo un trabajo sistemático sería increíblemente difícil”, dijo. “No se de nadie que haya desplegado nada parecido a la escala que pretenden. De hecho, esa es la razón principal por la que es tan difícil de cuantificar el riesgo: porque nadie lo ha intentado antes”.

En EEUU los representantes de la ley dicen que corresponde al mundo de la tecnología y a los defensores de la privacidad, el demostrar que una puerta trasera supone un perjuicio para la seguridad de los datos. ¡¡¡!!!

Corresponde a las firmas tecnológicas y a los defensores de la privacidad demostrarexactamente, en concreto, y técnicamente” cómo las puertas traseras propuestas por el gobierno en los teléfonos móviles encriptados y otros productos pueden perjudicar a la seguridad de los datos, declararon a los legisladores norteamericanos funcionarios y ex funcionarios de seguridad.”

Este debate comenzó con el anterior Presidente de los EE.UU. de América (se supone que es un “demócrata”), de modo que con el actual esto puede que vaya a peor.

En España, no olvidemos que seguimos con una Ley totalmente antidemocrática y que aún no ha sido revocada, a pesar de tener la oposición mayoría parlamentaria. Y no olvidemos que las multas gubernativas por los twits son muy difíciles de controlar, aunque hay una página que lo está intentando.

 

 

 

 

Analizar redes con Nmap

 

nmap1Hoy en día están muy extendidas las redes informáticas, los sistemas más usados son las redes cableadas y las inalámbricas. Resultaría extraño qué en algún metro cuadrado de nuestra ciudad no encontráramos varias conexiones inalámbricas.

Todas esas redes, sean grandes o  pequeñas, sean cableadas o  inalámbricas, tienen un gran trabajo, a sus espaldas, y un mantenimiento permanente. Dentro de dicho mantenimiento se encuentra la vigilancia de la red para que no sea cableada e intervenida de forma “anónima” por un tercero. Al mismo tiempo, resulta complicado, en una red, saber en que lugar entra cualquiera de sus usuarios. Si se entra en sitios “no seguros” eso puede perjudicar a la red y a todos sus usuarios. Siendo misión de un gestor de red el hacer que esto no suceda.

Modos y maneras de enfrentarse a dichos problemas hay unos cuantos, el que presento a continuación: Nmap, es uno más., puede que no sea el mejor, pero tampoco es el peor, y es fácil de gestionar, tiene prestaciones que sobrepasan muchas expectativas y es libre.

La aplicación Network Mapper, más conocida como Nmap es un programa de código abierto. Se puede redistribuir y/o modificar bajo los términos de la Licencia Pública General de GNU según publica la Free Software Foundation, versión 2. Esta licencia garantiza el derecho de cualquiera a utilizarlo, modificarlo y redistribuirlo bajo ciertas condiciones.

Nmap está diseñado para explorar y realizar auditorías de seguridad en una red de ordenadores, así como efectuar rastreo de puertos. Permite descubrir información de los servicios y sistemas encontrados, así como el reconocimiento de huellas identificativas de los sistemas escaneados. De igual forma se puede utilizar para fines de hacking, ya que pone al descubierto puertos abiertos en los ordenadores de una red, también es posible conocer como se encuentra organizada, y de cuantos ordenadores consta una red. Escrito originalmente por Gordon Lyon. Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática.

Son sus características:

* Identifica ordenadores en una red, por ejemplo listando aquellos que responden a un ping.

* Comprueba la configuración de los elementos de seguridad.

* Identifica los puertos abiertos en una ordenador objetivo.

* Determina qué servicios se están ejecutando en el mismo.

* Determina qué sistema operativo y versión utiliza dicho ordenador.

* Obtiene algunas características del hardware de red de la máquina objeto de la prueba.

Ha llegado a ser uno de las herramientas imprescindibles para todo administrador de sistema, y se usa para pruebas de penetración y tareas de seguridad informática en general.

Los administradores de sistema pueden utilizarlo para verificar la presencia de posibles aplicaciones no autorizadas ejecutándose en el servidor, así como los crackers pueden usarlo para descubrir objetivos potenciales.

Nmap permite hacer el inventario y el mantenimiento de los ordenadores de una red. Luego se puede usar para auditar la seguridad de una red, mediante la identificación de todo nuevo servidor que se conecte.

nmap2Hay quien lo confunde con herramientas para la verificación de vulnerabilidad, tipo Nessus (que suelen ir más lejos en su exploración de los objetivos). Nmap es muy difícil de detectar, ha sido creado para evadir los Sistema de detección de intrusos (IDS) e interferir lo menos posible con las operaciones normales de las redes y de los ordenadores que son analizados.

Una de las posibilidades más interesantes de Nmap es la versatilidad que tiene a la hora de realizar las exploraciones. Puede usarse tanto para una sencilla exploración rutinaria en los equipos de nuestra propia red, como para realizar una compleja predicción de números de secuencia y descubrimiento de la huella identificativa de sistemas remotos protegidos por sistemas cortafuegos. También se puede usar para la realización de una única exploración o de forma interactiva, para poder realizar múltiples exploraciones desde un mismo equipo, esto es realizar exploraciones de varios equipos de forma simultánea.

Como la mayoría de aplicaciones ejecutadas desde consola, (es programa de consola, aunque existen varios entornos gráficos a elegir) Nmap puede combinar toda una serie de opciones de exploración que tienen sentido en conjunto, aunque también existen otras operaciones que son especificas para ciertos modos de exploración.

A la hora de ejecutar Nmap con múltiples opciones a la vez, la aplicación tratará de detectar y advertirnos sobre el uso de combinaciones de opciones incompatibles o no permitidas.

Nmap puede funcionar en sistemas operativos como:

* las diversas variables de Unix (Solaris, Mac OS X, BSD y FreeBSD),

* GNU/Linux

* Microsoft Windows

* AmigaOS.

Interfaces gráficas

Si no se desea utilizar la línea de comandos de Nmap, se pueden usar varias interfaces gráficas, siendo la más conocida:

http://pages.infinit.net/rewind/

La interfaz de usuario oficial es nmapfe, escrita por Zach Smith, y Nmap lo integra desde la versión 2.2.

Existen otras interfaces basadas en navegadores Web. Algunos ejemplos son LOCALSCAN, nmapweb, y Nmap CGI. NMapWin es una interfaz para Windows (no actualizada desde la versión 1.4.0.). Una plataforma completa Nmap con capacidades para funcionar sobre distintos OS se encuentra en UMIT. Su autor es Adriano Monteiro Marques.

Téngase en cuenta que estamos hablando de Software Libre, con lo cual una cosa es la “página oficial” del equipo de desarrollo, y otra muy diferente la de los grupos o personas que, por su cuenta, deciden, un día, elaborar algo para el programa, en nuestro caso hablamos de “entornos gráficos”, y al poco tiempo pueden dejar de desarrollarlo. Con lo cual lo más aconsejable siempre es ir a la página oficial del programa en cuestión o a algún repositorio de confianza.

De forma parecida a la mayoría de herramientas utilizadas en seguridad informática, Nmap puede usarse para lo bueno o para lo malo.

• Puede usarse solo o para prevenir ataques, con otra herramienta de intrusión.

• Los mismos administradores de sistemas lo utilizan para buscar fallas en sus propias redes, o bien para detectar ordenadores que no cumplen con los requisitos mínimos de seguridad de la organización. (Nótese que Nmap por sí solo sólo dará una indicación básica de la vulnerabilidad de un ordenador, y que se usa normalmente junto a otras herramientas y tests).

Como curiosidad sobre dicho programa, podemos contar que:

• Nmap aparecía en la película The Matrix siendo usado por el personaje Trinity para penetrar en el sistema de la central eléctrica, mediante la explotación de vulnerabilidades en el servidor SSH y en el Control de redundancia cíclica.

• Nmap y NmapFE fueron también usados en The Listening, una película de 2006 sobre un exfuncionario de la NASA estadounidense, que deserta y organiza una estación de contraespionaje en los Alpes italianos.

• Partes del código fuente de Nmap pueden verse en la película Battle Royale.

licenciacc4

Nuestro Gran Hermano (1)

cia

 Listados que usa la CIA: El bueno, el malo, y el muy feo
Sacan a la luz 8.000 documentos para …:

El 20 de febrero WikiLeaks publicó una lista de 8761 documentos de espionaje por delitos políticos, podríamos destacar:

Primero, en estos documento hay muy poco que pudiera sorprender. La CIA es una organización de espías, después de todo, y, sí, espía a la gente.

Segundo, a diferencia de la NSA, la CIA no está loca por la vigilancia general: apunta a personas en particular, y las herramientas de craqueo reveladas por WikiLeaks están diseñadas para monitorizar a personas específicas. Por ejemplo, es posible que hayas visto algún titular sobre la CIA craqueando a Samsung TVs. Eso implica entrar en la casa de alguien y reprogramar físicamente la televisión con una memoria USB. Si la CIA quiere molestarte, te molestará de una forma u otra, desde una tele inteligente o no.  Probablemente te engañarán para que abras un archivo adjunto o descargar.

En realidad, es un complemento perfecto para todo esto: las apps encriptadas de extremo a extremo, como Signal y WhatsApp, son tan fuertes, que la CIA tiene que atacar tu teléfono, televisor u ordenador para leer tus mensajes y fisgonear en tu webcam y micrófonos, si tienes la mala suerte de ser su objetivo. Craquear dispositivos de esta forma está plagado de riesgos y costos, por lo que sólo atacan objetivos de gran valor. La gran mayoría de nosotros no somos objetivos del malware de la CIA, acechando nuestros bolsillos, bolsas para portátiles y pc de mesa.

En tercer lugar, si sigues la política estadounidense y el papel dañino de WikiLeaks en el ascenso de Donald Trump, puedes haber calculado que la mierda del martes 17 estuvo calculada para ayudar al presidente a pinchar el servidor de correo electrónico de sus opositores políticos en la CIA. Los documentos filtrados sugieren que la agencia puede disfrazar sus operaciones como el trabajo de un gobierno extranjero. Por lo tanto, no fueron los rusos los que irrumpieron en las computadoras de los demócratas y, al filtrar los mensajes de correo electrónico, ayudaron a la elección de Donald – era la CIA todo el tiempo, Trump ahora puede protestar. Cerrará el servicio secreto. La oficina de noticias del presidente, ya está siguiendo esa línea.

Volviendo a los archivos filtrados. Una entretenida página detalla las discusiones en la CIA sobre cómo evitar que sus secretos salgan a raíz del robo de las herramientas de craqueo del Equation Group NSA. Junto con un informe detallado [PDF] sobre el craqueo de Equation Group, hay sugerencias de cómo proteger los recursos.

La CIA y la Casa Blanca aún no han comentado la veracidad del material filtrado y es poco probable que lo hagan. Pero al menos un ex agente de inteligencia con conocimiento de tales asuntos parece convencido de que son reales.

snow

Así que aquí hay un resumen de lo más destacado hasta ahora. Con tantos materiales por pasar, se puede perder alguna cosa importante. Siéntete libre de añadir tus propias ideas en los comentarios. Un buen número de estas armas cibernéticas fueron obtenidas de la NSA, GCHQ o investigadores privados de seguridad de informática, y guardadas sin aviso a los proveedores, en caso de vulnerabilidades son parcheados una y otra vez .

  • Windows: El equipo UMBRAGE de la CIA tiene una colección modesta de herramientas de ataque para sistemas alimentados por Microsoft, todos ellos listados aquí. Estas herramientas incluyen registradores de pulsaciones de teclas, cuerdas de escape de salvaguardias y mecanismos de prevención de antivirus. Los analistas de la CIA encontraron fallas en el Panel de Control y la capacidad de agregar flujos de datos a NTFS sin detección, para pasar datos en unidades de almacenamiento. Los archivos de biblioteca de Windows son pasos útiles para la ejecución de código malicioso, al igual que los archivos de Windows Theme.

Los archivos DLL [PDF] son un popular portador de ataque para la CIA [PDF]. También son útiles para ocultar malware en las aplicaciones y los documentos muestran que las aplicaciones comunes se han utilizado para espiar explotando las debilidades de DLL.

Una técnica de ataque DLL muestra que alguien en la agencia es fan de Will Ferrell. El programa RickyBobby, llamado así por el personaje de la película Talladega Nights, utiliza varios DLL de .NET y un script de Windows PowerShell para implantar un “puesto de escucha” en un PC con Windows.

Una versión se ha utilizado en unidades USB, de acuerdo con este documento. El software, con las herramientas de ataque llamada Fight Club, fue puesto en seis unidades e “insertado en la cadena de suministro de una red/grupo”.

Si usas Windows Exchange 2010, la CIA tiene una herramienta para eso, denominada ShoulderSurfe. Esta realiza un ataque de inyección de código contra el proceso de administrador de almacén de datos de Exchange que permitiría a un agente recopilar correos electrónicos y contactar a voluntad y sin necesidad de credenciales individuales.

Exchange 2007 es aún más fácil de romper, según la CIA. Para obtener un resumen detallado de Exchange y todas sus fallas, este documento [PDF] debería ser útil para los ingenieros de Microsoft que buscan solucionar los problemas.

  • OS X: La CIA tiene herramientas para este sistema operativo también.
    Muchas herramientas de hacking cubren OS X El Capitan, pero presumiblemente estas se han actualizado para subvertir nuevas versiones del sistema operativo. Dicho esto, parece que a través de la lectura de estos archivos Apple plantea un desafío mucho más difícil para la CIA que el código de Redmond.
    Los analistas señalan que el sistema operativo puede ser resistente a las aplicaciones que intentan deslizar malware en un Mac. Pero todavía es posible hacer una lista blanca del software de espionaje; Subvertir imágenes de NetInstall, crear programas zombies; Y subrepticiamente colocarse en el núcleo.
    Un interesante proyecto referente a los archivos se llama QuarkMatter. Esta es una técnica para ocultar el software de espionaje persistentemente en un sistema OS X mediante el uso de un controlador EFI almacenado en la partición del sistema EFI. Otro, denominado SnowyOwl, utiliza un pthread en un cliente OpenSSH para potencialmente retirar la supervisión remota de un sistema de destino.
    Los documentos muestran también un proyecto llamado
    HarpyEagle que analiza sistemas de Apple para claves privadas, y también sistemas Time Capsule.
  • IOS: Los archivos de la CIA muestran una larga lista de herramientas de ataque a iOS. Algunas fueron desarrollados en la propia agencia, otras por NSA o la británica GCHQ, y otras fueron hechas por empresas privadas. Parece como si algunos de los errores de seguridad fueran corregidos por Apple en las últimas actualizaciones de iOS, las versiones 8 y posteriores, o de lo contrario ya no son usadas. Por ejemplo, la redundancia de Redux y la explotación de Xiphos se usaron para craquear “iPhone 4S y posteriores, iPod touch (5ª generación) y posteriores, iPad 2 y posteriores”, pero ambos defectos fueron corregidos después de ser divulgados por el jailbreaker chino Pangu .

Aunque es probable que la lista sea antigua, muchos de ell La vulnerabilidad de Dyonedo, desarrollada por GCHQ, permite que código sin firmar se ejecute en dispositivos iOS, mientras que la herramienta Persistence de la CIA permite “crear un enlace simbólico [en iOS 7.x] o sobrescribir un archivo existente (iOS 8 .x) que ejecutará nuestro bootstrapper, dando [usuarios] la ejecución inicial en cada arranque. ”

Mientras el root es un objetivo, los documentos también detallan un ataque conocido como Portal Cautivo. Esto configura el navegador para encaminar todo el uso de la web a través de un servidor ejecutado por la CIA.

Android: Hay una lista mucho más larga para los abusos de Android que para el sistema operativo de su primo Cupertino.

Existen programas como Chronos y Creatine que atacan defectos específicos en los controladores Qualcomm Adreno GPU, y otros como Starmie y Snubble sólo funcionan contra teléfonos específicos de Samsung. También hay muchos ataques basados en Chrome para Android que sólo funcionarán en versiones anteriores del navegador. Aquí hay una lista completa de versiones históricas.

También hay tres implantes listados – Bowtie, SuckerPunch y RoidRage. Las notas de lanzamiento de RoidRage muestran que puede controlar todas las funciones de radio y permite el robo de SMS.

Aunque la mayor parte de las vulnerabilidades enumeradas permiten una escalada de privilegios, permitiendo a las aplicaciones maliciosas conseguir más o el control total del dispositivo infectado, hay algunos como BaronSamedi, Dugtrio y Salazar que permiten el acceso remoto. Muchos de estos han sido cerrados en teléfonos con Android versión 4.4 y superior, pero ten en cuenta que esta lista tiene tres años de antigüedad y la versión revisada de los espias actualmente en uso podría ser más eficaz contra las versiones más modernas de Android.

Antivirus: El almacen de la CIA contiene departamentos en la mayoría de los sistemas antivirus y sabe cómo derrotarlos. Gran parte de la información ha sido redactada, pero quedan algunos fragmentos.
Los documentos dicen que evadir los mecanismos de detección de F-Secure es posible, pero que el software tiene un motor heurístico bastante bueno que puede recoger el software troyano.

Avira es un objetivo de alto valor, ya que la documentación señala que es popular entre los objetivos de la lucha contra el terrorismo.

El motor heurístico de Bitdefender también ha causado algunos problemas a la CIA a la hora de detectar el malware de la agencia. Sin embargo, un archivo señala: “los recursos de texto claro o los recursos RXOR-ed sencillos no parecen hacer que Bitdefender se dispare“.

El código de Comodo se describe como una “PITA gigante” por su capacidad de detección de malware. Sin embargo, tiene un punto débil y no escanea el contenido de la Papelera de Reciclaje. Las notas dicen que el malware se puede almacenar ahí de forma segura, pero se puede detectar cuando se ejecuta.

Desde la versión seis del código de Comodo, las cosas se han vuelto mucho más fáciles y la CIA tiene un espia conocido como Gaping Hole de DOOM. Esa versión ignora el malware que cree que forma parte del sistema operativo Windows.

“Cualquier cosa que se ejecute como SYSTEM automáticamente se nombra 6.X. ANYTHING”, dice el documento.

Los detalles de AVG son incompletos, pero el troyano de la CIA señala por lo menos dos maneras de derrotar el software de seguridad. Estos incluyen un falso instalador y software malicioso que se puede lanzar a un sistema y activarse por un enlace web específico.

El código antivirus y otros programas también pueden ser objeto de una serie de herramientas desarrolladas bajo el apodo de WreckingCrew. La gran mayoría de ellos estaban en desarrollo, pero dos estan terminados y podrían utilizarse para anular software de seguridad y “trolear”.

  • Signal/WhatsApp: Una buena noticia para los defensores de la privacidad, parece que la CIA no ha tenido suerte en romper el popular protocolo de chat cifrado creado por Whisper Systems, que se utiliza en Signal y WhatsApp.
  • Ataques a CD / DVD: Todavía hay mucha gente en el mundo que usa CDs y DVDs, por lo que la CIA ha desarrollado un código llamado HammerDrill para explotar el medio de almacenamiento.

La versión 2 del software permite a un ordenador infectado registrar qué CDs y DVDs están siendo leídos por el usuario, durante cuánto tiempo y los datos que contienen. La CIA también agregó una función en la segunda compilación que le permite instalar un troyano oculto en los nuevos discos que se están quemando, si el objetivo está utilizando el popular software de grabación de Nero.

El desarrollador señala que un shellcode de 279 bytes se puede quemar en el medio del almacenamiento que se ejecutará en sistemas Windows de 32 bits. Los documentos señalan que el antivirus Kaspersky (muy usado en Rusia y en otros lugares) se puede intervenir de esta manera.

  • Smart TV: La CIA y los espías británicos del MI5 han desarrollado un ataque conocido como Weeping Angel. Este puede poner a los televisores inteligentes – se nombra a Samsung – en “modo Fake-Off”, que hace que el dispositivo parezca que está apagado con sus LED apagados. Sin embargo, todavía está encendido e incluso se puede utilizar como un dispositivo de escucha. Las teclas Wi-Fi que usa el televisor también son controlables.
  • Dispositivos de IoT: Está claro que la CIA está intentando activamente la subversión de los dispositivos del Internet de las Cosas con su Embedded Development Branch. Los documentos aquí son algo escasos, pero a partir de las notas de la reunión de 2014, está claro que los analistas están estudiando automóviles autodirigidos, hardware de consumo personalizado, sistemas integrados basados en Linux y cualquier otra cosa que pueda caer en sus manos.
  • Los dispositivos de Amazon Echo o Google Home resultan cada vez menos atractivos cada día.

Otros fragmentos interesantes son que algunos de los documentos que contienen las claves de las licencias del software que la CIA utiliza. Estos incluyen claves para el software de diseño gráfico OmniGraffle y el editor de texto Sublime, pero en este último caso, se incluyó la clave de licencia de 10 usuarios como perteneciente a Affinity Computer Technology, un pequeño taller de reparación de computadoras en Sterling, Virginia.
Hemos hablado con el gerente de Affinity, Bill Collins, quien revisó la página y se quedó confundido. Son un pequeño taller de reparación de computadoras, dijo, sin vínculos con la CIA.

También hay algunos toques divertidos. Un analista ha incluido los juegos que le gustan y algunas sugerencias de música. Él o ella también parece ser un fan de Monty Python.

No hay manera de leer el archivo completo en un día. Si eres un desarrollador o un tecnólogo, vale la pena que mires los archivos. Sospechamos que muchas compañías lo están haciendo, día tras día.

 

arton666 arton401
arton405  arton404