Artículos

Vigilancia de la NSA: una guía para mantenerse seguro

A patron works on his laptop during the Tech Crunch Disrupt conference in San Francisco, California, September 11.

por  para The Guardian

La NSA tiene enormes capacidades. Con eso en mente , aquí están cinco maneras de mantenerse a salvo.

Ahora que ya tenemos suficientes detalles acerca de como interviene a escondidas la NSA en la red, incluyendo las revelaciones actuales de debilitamiento deliberado de la NSA de los sistemas criptográficos, por fin podemos empezar a encontrar la manera de protegernos .

Durante las últimas dos semanas, he estado trabajando ilustrandome en historias de la NSA , y he leído cientos de documentos de la NSA de alto secreto proporcionados por Edward Snowden . Yo no era parte de la historia; estaba en proceso mucho antes. Pero todo lo que leo confirma lo que informa The Guardian.

En este momento, siento que puedo dar algunos consejos para mantenerse seguro contra tal adversario.

La manera principal de la NSA, sobre como actua sobre las comunicaciones de Internet se encuentra en la red. Han invertido en enormes programas para recopilar y analizar el tráfico de la red de forma automática . Todo lo que les obliga a enfocarse en las estaciones individuales es mucho más costoso y arriesgado para ellos, y van a hacer las cosas con cuidado y moderación.

Aprovechando sus acuerdos secretos con las empresas de telecomunicaciones; todos los Estados Unidos y el Reino Unido, unos, y muchos otros ” socios ” en todo el mundo – la NSA tiene acceso a las líneas externas de comunicación que mueven el tráfico de Internet . En los casos en que no tiene ese tipo de acceso a usar, hace todo lo posible para vigilar clandestinamente los canales de comunicación : aprovechar los cables submarinos , interceptando las comunicaciones por satélite , y así sucesivamente.

Eso es una enorme cantidad de datos, y la NSA tiene equivalentemente enormes capacidades para tamizar rápidamente a pesar de todo , en busca de tráfico interesante . Interesante se puede definir de muchas maneras: por la fuente, el destino, el contenido, los individuos involucrados, y así sucesivamente. Estos datos se canalizan en el vasto sistema de NSA para el análisis futuro .

La NSA recoge mucho más metadatos sobre el tráfico de Internet : ¿quién está hablando con quién, cuándo , cuánto, y con qué medio de comunicación . Los metadatos son mucho más fáciles de almacenar y analizar que el contenido. Puede ser muy personal para el individuo, y la inteligencia es muy valiosa .

La Dirección de Inteligencia de Sistemas se encarga de la recogida de datos y los recursos que dedica a esto es asombroso. Leí informes, hablando de capacidades , detalles operativos , actualizaciones planificadas , y así sucesivamente . Cada problema individual – la recuperación de las señales electrónicas de fibra, mantener el ritmo de los flujos de terabytes a medida que pasan, filtrando las cosas interesantes – tiene su propio grupo dedicado a resolverlo. Su alcance es global.

La NSA también ataca directamente a los dispositivos de red: routers , switches , firewalls , etc. La mayoría de estos dispositivos tienen la capacidad de vigilancia ya construidas en ellos, el truco es convertir a escondidas en sondas de vigilancia. Esta es una vía especialmente fructífera de ataque; los routers se actualizan con menos frecuencia , tienden a no tener software de seguridad instalado en ellos, y por lo general son ignorados como una vulnerabilidad .

La NSA también dedica considerables recursos para atacar las estaciones . Este tipo de cosas se hace por su TAO  (Operaciones de acceso a medida). TAO tiene un menú de las hazañas que puede servir en contra de su equipo – si usted trabaja en Windows, Mac OS , Linux , iOS , o algo más – y una variedad de trucos para conseguir entrar en su equipo . El software anti- virus no los detectará , y tendría problemas para encontrarlos, incluso si sabe dónde mirar. Estas son herramientas de hacker diseñadas por hackers con un presupuesto esencialmente ilimitado. Lo que me llevé de la lectura de los documentos Snowden fue que si la NSA quiere entrar su equipo , lo hara y punto .

La NSA con los datos cifrados se beneficia más al subvertir la criptografía subyacente que mediante el aprovechamiento de los avances matemáticos secretos. En primer lugar , hay un montón de mala criptografía por ahí . Si encuentra una conexión a Internet protegido por MS- CHAP , por ejemplo , eso es fácil de romper y recuperar la clave. Aprovecha las contraseñas de usuario mal elegidas , usando el mismo diccionario de ataques de hackers sin clasificar.

Como se ha puesto de manifiesto hoy en día, la NSA también trabaja con los proveedores de productos de seguridad para garantizar que los productos de cifrado comerciales se dividan en caminos secretos que sólo ellos conocen. Sabemos que esto ha sucedido históricamente : CryptoAG y Lotus Notes son los ejemplos más comunes , y no hay evidencia de una puerta trasera en Windows . Algunas personas me han contado algunas historias recientes acerca de sus experiencias , y tengo la intención de escribir sobre ellos pronto. Básicamente , la NSA pide a las empresas cambiar sutilmente sus productos en formas no detectables: hacer que el generador de números aleatorios menos al azar , fugas de una tecla de alguna manera , la adición de un exponente común a un protocolo de intercambio de clave pública , y así sucesivamente . Si se descubre la puerta de atrás, se puede entrar. Y como ahora sabemos , la NSA ha disfrutado de un enorme éxito aqui.

TAO también hackea computadoras para recuperar claves a largo plazo. Así que si usted está funcionando con un VNP que utiliza un secreto compartido complejo para proteger los datos y la NSA decide que le importa , podría tratar de robar el secreto. Este tipo de cosas sólo se lleva a cabo contra objetivos de alto valor.

¿Cómo te comunicas con seguridad contra tal adversario ? Snowden dijo que en un Q & A en línea poco después de que hizo público su primer documento : ” . . Obras de cifrado  fuertes correctamente implementados son una de las pocas cosas en las que usted puede confiar ”

Creo que esto es cierto , a pesar de las revelaciones de hoy y sugerencias tentadoras de “capacidades criptoanaliticas revolucionarias ” realizados por James Clapper, director de inteligencia nacional en otro documento secreto. Esas capacidades implican debilitar deliberadamente la criptografía .

Lo que dice Snowden es igualmente importante: ” Por desgracia , la seguridad de punto final es tan terriblemente débil que la NSA puede encontrar con frecuencia a su alrededor . ”

Punto final significa que el software que está utilizando usa una red local. Si la NSA puede modificar el algoritmo de cifrado o dejar un troyano en el equipo, toda la criptografía en la mundo no importa en absoluto . Si usted desea permanecer seguro en contra de la NSA , que tiene que hacer todo lo posible para garantizar que la encriptación puede operar sin trabas .

Con todo esto en mente , tengo cinco consejos :

1 ) Ocultar en la red. Implementar servicios ocultos . Usar Tor para anonimizar mismo. Sí, el NSA apunta a los usuarios de Tor , pero es un trabajo para ellos. 

2 ) Cifrar las comunicaciones. Usar TLS. Utilizar IPsec . Una vez más, si bien es cierto que la NSA apunta a conexiones cifradas – y puede tener hazañas explícitas en contra de estos protocolos –  está mucho mejor protegido que si usted se comunica sólo.

3 ) Se supone que, si bien el equipo puede verse comprometido, la NSA se tomaría el trabajo y el riesgo innecesario Si usted tiene algo muy importante , utilizar un espacio libre. Desde que empecé a trabajar con los documentos  de Snowden , me he comprado un ordenador nuevo que nunca se ha conectado a Internet . Si quiero transferir un archivo, que cifra los archivos en el equipo seguro yllevarla a Internet , es recomendable usar una memoria USB. Esto podría no ser a prueba de balas , pero es bastante bueno.

4 ) Desconfíe de software de encriptación comercial, especialmente de grandes proveedores. Mi conjetura es que la mayoría de los productos de cifrado de grandes empresas de EE.UU. tienen puertas traseras que la NSA puede usar. Es prudente suponer que los productos extranjeros también tienen puertas traseras instalados . Los software de código cerrado es más fácil para la NSA instalar backdoor que el software de código abierto

5 ) Trate de utilizar el cifrado de dominio público que tiene que ser compatible con otras implementaciones . Por ejemplo , es más difícil para la NSA encontrar backdoors en TLS que BitLocker, porque en TLS cualquier fabricante puede ser compatible con TLS, mientras BitLocker sólo tiene que ser compatible con el mismo , dando a la NSA mucha más libertad para hacer cambios. Y como BitLocker no es propietario , es mucho menos probable que se descubran esos cambios. 

Desde que empecé a trabajar con documentos de Snowden , he estado usando GPG , Silent Circle , Tails , OTR , TrueCrypt , BleachBit , y algunas otras cosas que no voy a escribir. Hay una función de cifrado de indocumentados en mi programa Safe Password desde la línea de comandos) , he estado usando eso.

Entiendo que la mayoría de esto es imposible para el usuario típico de Internet. Incluso yo no uso todas estas herramientas para casi todo lo que estoy trabajando . Y todavía estoy principalmente en Windows, por desgracia. Linux sería más seguro .

La NSA ha convertido el tejido de la Internet en una gran plataforma de vigilancia , pero no son mágicos . Están limitados por las mismas realidades económicas que el resto de nosotros, y nuestra mejor defensa es hacer que la vigilancia de nosotros sea tan cara como sea posible.

Confía en la mátematica. El cifrado es tu amigo. Utilice bien, y hacer todo lo posible para asegurarse de que nada puede comprometerlo . Así es como se puede seguir siendo seguro incluso en la cara de la NSA.