Archives: Internet

¿Es el protocolo seguro HTTPS realmente seguro? Lecciones que nos deja Snowden, la NSA y Lavabit

A estas alturas la gente anda ya un poco saturada de las filtraciones que nos va facilitando The Guardian sobre los papeles que Edward Snowden sacó de la NSA.

Aunque hay muchos y diversos temas sobre los que hablar a partir de estos papeles, me gustaría centrarme en este post en el tema del cifrado de las comunicaciones por Internet, principalmente en el protocolo de comunicación seguro para la web HTTPS, el que nos debería proteger cuando hacemos transacciones con nuestro banco, leemos el correo en Gmail, etc. cifrando desde nuestro usuario y contraseña, a los datos que enviamos o recibimos.

Desde el punto de vista del usuario medio, el HTTPS es eso que hace que aparezca un candado de color verde al lado de la dirección de la web en nuestro navegador.

ssl-gmail

ssl-santander

Algún usuario más avispado se habrá fijado que en algunas webs, además de aparecer el candado en verde indicando una presunta conexión segura, también pueden ver una pastilla con información de verificación del nombre de la empresa que ha solicitado el certificado de seguridad para esa web.

ssl-fastenal
ssl-deutschebank

 

Básicamente, esta pastilla con información sirve para verificar que estás realmente entrando a Deutsche Bank y no a una falsificación.

¿Es más segura la web de Fastenal (una cadena de cientos de ferreterías en EE.UU) que el Gmail de Google?

¿Es más segura la de Deutsch Bank que la del Santander que no dispone de esa información?

No necesariamente.

Más allá de la seguridad del servidor que almacena estos certificados, tema que daría para unos cuantos posts, vamos a centrarnos en la parte de la seguridad de las comunicaciones.

Confiar en que el candado verde significa que nuestras comunicaciones son seguras es un error que poca gente sabe que está cometiendo.

Ese candado tan solo nos informa de que el sitio web al que nos estamos conectando usa un protocolo de cifrado de datos y que el certificado que usa es correcto, ni ha caducado, ni está revocado y lo firma una autoridad certificadora de confianza.

Como se esté empleando luego el certificado seguro para cifrar el tráfico HTTPS es otra cosa bien diferente.

En la parte menos visible nos encontramos con que existen varios protocolos sobre los que se sustenta HTTPS: SSL versión 2, SSL versión 3, TLS versión 1.0, TLS versión 1.1, TLS versión 1.2

Dentro de estos protocolos tenemos diferentes métodos de cifrado, de establecer la comunicación segura entre el servidor y tu navegador, opciones para comprimir o no el tráfico HTTPS.

Aquí es donde verdaderamente reside la seguridad, en los protocolos y métodos de cifrado que se le han configurado al servidor para poder abarcar todos o la mayoría de los navegadores web del mercado ofreciendo la máxima seguridad posible.

Una de las enseñanza de Snowden es que la NSA y otros organismos afines almacenan durante un tiempo indeterminado la información cifrada con vistas a poder descifrarla en el futuro.

Esto puede suceder de varias formas, que el sistema de cifrado sea antiguo o débil, que se encuentre un nuevo fallo que permita adivinar la clave de cifrado o romperla, o que el FBI pida una orden judicial para que el propietario del servidor entregue el certificado y llave de cifrado.

Esto le ha sucedido al dueño de Lavabit, donde Snowden tenía su dirección de correo electrónico. Aunque el certificado se revocó en cuanto la información salió a la luz, el daño ya estaba hecho, gran parte de la información que pudiera tener el FBI almacenada, podría ser descifrada con facilidad gracias a esa orden del juez y a que Levison tuvo mal configurados los métodos de cifrado de las comunicaciones del servidor bastante tiempo.

¿Se podría haber evitado? Sí, utilizando una propiedad de los sistemas de cifrado llamada Forward Secrecy, que he visto por ahí traducida como «secreto hacia adelante», a mi me suena mejor «confidencialidad futura».

Forward Secrecy es lo que anunciaba hace poco Google como novedad en su sistema de cifrado HTTPS que ya funciona para las comunicaciones con Gmail.

Para no liarnos demasiado con que es Forward Secrecy, la diferencia fundamental de usarla o no en las comunicaciones radica en que con FS, cada sesión que tengamos con el servidor, genera una clave nueva que se destruye al terminar la sesión, es decir, que no hay manera de que pase lo que ha pasado con Lavabit.

Sin FS el cifrado recae en el certificado y la llave del servidor, que son datos registrados en el sistema de almacenamiento de la máquina y que pueden ser solicitados por el juez.

Cierto es que si el juez está bien asesorado puede pedir al dueño del servidor que guarde una copia de todas las claves de sesión, pero todo el tráfico de datos HTTPS anterior no se podría descifrar teniéndolo almacenado como hizo el FBI en el caso Lavabit.

Con esta información estamos en disposición de responder a la primera pregunta:

¿Es más segura la web de Fastenal (una cadena de cientos de ferreterías en EE.UU) que el Gmail de Google?

La respuesta es un estrepitoso NO aunque visualmente la de Fastenal nos parezca más válida.

La realidad es que aunque ambos usan certificados de seguridad de confianza, Gmail implementa mejor los protocolos, así como las combinaciones de cifrado y negociado de claves entre el servidor y el cliente.

De hecho Fastenal sólo es capaz de ofrecer una combinación de cifrado sobre un servidor muy mal configurado que permite realizar ataques Man-In-the_Middle de tal manera que un atacante puede inyectar información en el contenido cifrado de la transmisión sin demasiada dificultad; aunque limitado a no poder recibir la respuesta, el atacante puede enviar peticiones con las credenciales de la víctima.

Gmail en cambio no solo no es vulnerable a este fallo (ya un poco viejo) sino que implementa Forward Secrecy en las comunicaciones cifradas, una capa más de seguridad para ponerle las cosas difíciles a los «amigos de lo ajeno», lo cual incluye a la NSA y demás sucedáneos nacionales e internacionales.

Con los bancos mencionados pasa lo contrario, Deutsche Bank, además del certificado con validación de empresa, cuenta con mejor cifrado que el Santander, aunque ambos cumplen con los requisitos mínimos para obtener el certificado PCI que viene a ser una garantía sobre la seguridad de las transacciones realizadas en esa web.

Por si todo esto de los diferentes tipos de cifrados no fuese suficiente, de vez en cuando aparecen noticias como esta en la que el servicio secreto francés ha usado a la entidad certificadora del Departamento del Tesoro para falsificar los certificados de varios dominios de Google y que los navegadores web no alertasen al usuario sobre el uso de una entidad certificadora no reconocida.

Que si era para vigilar a sus empleados, que si fue por un error, un descuido, el perro se comió mi clave privada… La cascada de excusas es la habitual cuando se pilla a todo un gobierno haciendo un ataque MitM empleando recursos que deberían ser confiables.

Google ya revocó esos certificados en su navegador Chrome, y ya hay en marcha varios proyectos para tratar de evitar que esto se repita, de momento sólo nos queda tener los ojos abiertos, ya que no sólo podemos ser víctimas de este ataque por parte de un gobierno junto con su entidad certificadora reconocida, también es posible que un desconocido ataque nuestra máquina y nos imstale un certificado propio como de confianza para poder descifrar nuestras comunicaciones basadas en SSL.

 

Convirtiendo PDF llenos de imágenes a texto

Tras la publicación de la contabilidad desaparecida del PP desde 1990 hasta 2011 muchos nos lanzamos a echar un vistazo.

Tras descargar los .zip, analizarlos y comprobar que estaban limpios de virus, etc. descubrimos en su interior archivos pdf llenos de imágenes escaneadas, nada de texto puro y duro sobre el que hacer búsquedas.

Iba a hacer yo mismo la conversión a texto y facilitarla a varios periodistas, pero me temo que me he topado con un problema legal interesante, en los pdf aparecen DNI, que una vez pasado a texto se convierten en un datos de carácter personal amparado por la LOPD (y no dispongo del tiempo necesario para leerme todo y limpiarlo), con lo que no puedo distribuir el resultado de la conversión, pero sí contaros como podéis hacerlo vosotros mismos en casa o en la redacción de un periódico.

Existen dos métodos para hacer esto:

1.- Método Barato reciclando un viejo script en Linux.

Consiste en tener una máquina Linux, instalarnos el OCR de Google y ejecutar un script.

Algunas distribuciones Linux lo traen como paquete, también se puede descargar de:

https://code.google.com/p/tesseract-ocr/

Descargados y descomprimidos los zip en una ruta del disco, creamos el siguiente script, modificando la ruta donde están nuestros archivos descomprimidos y ejecutamos:

#!/bin/bash

recursiverm() {
  for d in *; do
  if [ -d $d ]; then
    (cd $d; recursiverm)
  fi
  for a in *.pdf; do
    echo $a
    pdftoppm «$a» -f 1 -r 300 «$a».ppm;

    for b in *.ppm; do
      tesseract «$b» «$b» -l spa -psm 1;
      rm «$b»;
    done

  done
done
}

(cd /home/soydelbierzo/Descargas/Contabilidad; recursiverm)

Nota: No descarto que haya algún fallo en el script, se está ejecutando ahora mismo para comprobarlo. Editado: El script funciona correctamente y reconoce bastante bien el texto

Pero como esto no es asequible para mucha gente, hay una opción B:

2.- Comprar una aplicación que haga el trabajo por nosotros, en este caso Nitro Pro 8 que he probado con varios de los pdf y lo borda.

Podéis descargarlo de aquí http://www.nitropdf.com/es/try

Solo funciona con Windows, permite usarlo gratis 14 días, luego os tocará pagar 114€ por seguir usándolo.

 

Bitcoins, de dinero virtual a «estampitas» digitales

art_bitcoin_flickr-620x349A estas alturas queda poca gente que no haya escuchado hablar de las bitcoins, que se admite como medio de pago en un montón de webs, que incluso se puede convertir en una suerte de moneda física, pero ¿sabemos realmente qué es el dinero?

A grandes rasgos el dinero debe cumplir tres funciones básicas:

1.- Ser la unidad de medida del valor de nuestro mercado contra el cual expresamos el valor económico de bienes y servicios.

Este debería ser constante, algo que no sucede en Bitcoin… y tampoco en casi todas las monedas de curso legal del planeta, sobre todo desde que el dólar y la libra abandonaron el «Patrón Oro» en 1971.

El valor del dinero es algo abstracto que los humanos concedemos a las cosas, sea un algoritmo seguro u oro lo que sustenta, se deben establecer los medios necesarios a gran escala para que su valor sea lo más estable posible y no esté a merced de los vaivenes de un puñado de webs donde se realiza la compra y venta de ese dinero.

En el caso de Bitcoin, Mt.Gox se jacta de manejar el 80% del mercado de Bitcoins mundial y los ataques a esta web influyen en el resto de mercados on-line, aunque ellos lo han achacado a un crecimiento desmesurado de usuarios en las últimas semanas tras el corralito bancario en Chipre… la sensación es que el 80% del mercado lo lleva una sola web que está en Japón, que carece de los medios necesarios para mitigar ataques y que tampoco dispone de los medios para dimensionar correctamente su servicio y evitar caídas de varias horas.

Tampoco las monedas de curso legal están libres de estos vaivenes como demostró George Soros hudiendo la Libra Esterlina en una mañana.

La diferencia es que él necesito vender 10.000 millones de libras (con un beneficio operativo de 1.000 millones de dólares), arrastrando a un montón de inversores a vender, y al Banco de Inglaterra a gastar 50.000 millones en parar el golpe lo máximo posible, lo que no evitó la devaluación de la Libra y su salida del SME.

En Bitcoin no hace falta tener ese poderío económico, ni mercados de derivados o pares de divisas como me decían en Twitter hace unos días:

Cualquiera con los suficientes conocimientos puede hacerse con una botnet y tumbar a Mt.Gox (aunque ahora esté tras CloudFlare) para hacer que la gente entre en pánico, venda y poder comprar barato tras haber vendido caro.

2.- Ser un medio de intercambio.

Si bien es cierto que podemos usar Bitcoins para comprar servicios y productos en una amplia variedad de webs, desde dominios, hosting anónimo, cambiarlo por tarjetas regalo de Amazon o productos de dudosa legalidad en webs de la red Tor como SilkRoad; no podemos usar estas en nuestra vida diaria ni puede sustituir a monedas de curso legal como el euro o el dólar (este es el patrón principal a la hora de establecer cuanto vale una Bitcoin).

En el momento de escribir esto existen en el mundo 11 millones de Bitcoins (el límite se alcanzará en 2140 con 21 millones que es el límite que tiene marcado el algoritmo de generación), frente a 1,18 billones de dólares en moneda (no he encontrado una fuente oficial y fiable de circulación de moneda en Euros).

Esto significa que cada Bitcoin debería valer más de 107.000 dólares para sustituir al dólar como moneda, habría que sumar el valor del total de euros en circulación para que pudiera sustituir a ambas.

Además de que para tener Bitcoins necesitas disponer de un dispositivo, ordenador, tablet, smartphone en el que mantener tu monedero digital o bien confiar en terceros que se encargasen de rellenar los Bitcoin físicos que enlazaba al principio, o que te cambiasen tu Bitcoin a moneda local.

Esto dejaría fuera de ese nuevo sistema monetario a todo aquel que no disponga de la tecnología necesaria.

¿Y que tienda en tu barrio puede permitirse cobrarte en una moneda que tardará en llegarle 1 hora a su cartera, tiempo en el cual puede perder gran parte de su valor?

 

3.- El dinero nos permite tener nuestra «riqueza» de forma líquida para la adquisición de bienes y servicios.

Este es el punto más flaco de Bitcoin, la volatilidad que ha mostrado en los últimos días nos demuestra que no es un valor en el que depositar nuestra confianza. ¿Te gustaría recibir tu sueldo en Bitcoins o firmarías una hipoteca en esta «moneda»?

Que no dudo que resulte muy atractivo lo de tener una moneda que no esté controlada por gobiernos, pero eso conlleva aceptar los riesgos que tiene su utilización, porque tampoco estás amparado por gobiernos a la hora de reclamar en caso de robo, estafa, etc.

Aun en los casos como los de las preferentes y la inacción del gobierno español protegiendo a los bancos, nos encontramos con que la justicia acaba dando la razón a los ahorradores que, sospecho no pensaron mucho antes de hacerlo, metieron su dinero en esta trampa.

Lo mismo que con las famosas hipotecas en yenes, que resultaban muy atractivas hasta que la moneda se depreció más de un 43% entre 2008 y 2012, aumentando su deuda con el banco un 57%… imaginad esto con Bitcoins, que se depreció un 400% en menos de 24 horas.

Pantallazo-18

Gráfica del auge y caída de Bitcoin (amarillo) y transacciones realizadas (azul) en Mt. Gox, en la que se ve el tiempo que el servicio estuvo prácticamente detenido por el ataque.

A esto hay que añadir los fallos de seguridad o de implementación en el algoritmo que maneja la cadena de Bitcoin, como el sucedido en 2010 que permitió inyectar 184.000 millones de Bitcoins en la cadena, problema solucionado en apenas 4 horas con un parche que eliminó esta transacción fraudulenta… no sé si sois conscientes de los problemas que esto representa si la red de Bitcoin se pone de acuerdo para eliminar cualquier otra transacción de la cadena como sucedió en este caso o hace poco más de un mes, cuando una actualización del software rompió la cadena en dos, teniendo que suspender 12h los depósitos, transacciones y originando una caída del 23% de su valor.

Más allá de estos problemas, de la solidez y seguridad de la cadena de Bitcoin, está la de los servicios que aparecen al calor del dinero fácil y ofrecen monederos on-line, entre otros, y acaban sucumbiendo ante la falta de seguridad.

El último ha sido Instawallet, donde han desaparecido Bitcoins por valor de más de 300.000 dólares; pero no es el único caso de webs o de usuarios, como Allinvain al que robaron 25.000 Bitcoins en 2011. A 100 dólares por Bitcoin, hoy esa cartera valdría 2.5 millones de dólares.

Y luego están los nuevos troyanos que infectan ordenadores para hacer minería de bitcoins… porque Bitcoin no está diseñado para ser un sistema equitativo, cuanto mayor sea la potencia de cálculo que tengas a tu disposición, más Bitcoins nuevas conseguirás según el algoritmo las vaya liberando.

La minería comenzó usando las CPU de los ordenadores, luego pasó por las GPU de las tarjetas gráficas, que son más rápidas para tareas específicas como esta, llegaron a los dispositivos dedicados FPGA, para estar actualmente en la minería de super computadores ASIC, con mucho más poder de cálculo a  bajo precio y consumo.

Así hay un usuario que está consiguiendo a diario más de 120 bitcoins, más de 12.000 dólares diarios al precio de cambio de hoy, gracias a disponer de máquinas Avalon ASIC.

Los que hayan optado por las ASIC de BitForce deben de estar tirándose de los pelos, desde Octubre de 2012 esperando por las máquinas que reservaron y pagaron, que ahora han aumentado de precio y bajado de velocidad de cálculo… y siguen sin ser entregadas.

Pantallazo-9

Hace unos días, 60 GH/s de potencia por poco más de $ 1.200

 

¡Sorpresa! Ahora son 50 GH/s por el doble de dinero... Esto seguramente no afecte a los compradores anteriores, los nuevos van a pagar los platos rotos de retrasos, mala planificación, etc.

¡Sorpresa! Ahora son 50 GH/s por el doble de dinero… Esto seguramente no afecte a los compradores anteriores, los nuevos van a pagar los platos rotos de retrasos, mala planificación, etc.

Según aumente la base de máquinas ASIC y vaya bajando el número de Bitcoin nuevas en la cadena hasta llegar a cero en 2140, la competencia va a ser cada vez más dura y económicamente no viable.

Posiblemente el futuro sea de sistemas como Bitcoin, pero de momento no pasa de ser un experimento que es el sueño húmedo de muchos liberales, mover dinero sin que el gobierno pueda controlarlo (aunque ya lo estén intentando), especulación fácil, anónimo… llama la atención que unos de los grandes poseedores de Bitcoins sean los hermanos Winklevoss, que seguramente los conoceréis mejor por su continua batalla legal con Mark Zuckerberg por Facebook y el robo o no de la idea original sobre la que se montó esta red social.

A nada que rebusquéis un poco encontraréis más fondos de inversión de capital riesgo que están metiendo un pie en este submundo financiero que está creciendo en la red.

Mientras tanto, Bitcoin no pasa de ser una estampita digital, un sitio inestable y peligroso donde invertir dinero por miedo a un corralito financiero, a los bancos o porque pensamos que es una buena inversión… y de inversiones que dan un buen interés y luego son una burbuja, sabemos bastante en España.