0wn3d! (o cómo la NSA mató el espíritu de Internet)

Tras ver todas las filtraciones publicadas recientemente sobre las acciones realizadas en la red por la agencia de espionaje norte-americana, creo sinceramente que la NSA ha matado el espíritu de Internet. No han dejado un rincón donde mirar, y han mancillado la red en todos los puntos posibles. Uno tras otro sistemáticamente, lo que obligará a pensar en una refundación completa y total de lo que desde hace tanto tiempo se llama la red de redes.

Pinchazos en el cable de Internet y las redes locales

Para capturar el tráfico de lo que transita por Internet, la NSA tiene sistemas distribuidos por todo el mundo que actúan como sniffers. X-Keyscore - del que se filtró un mapa de las ubicaciones de sus servidores - y la operación Tempora mantenida a medias con sus socios del Global Communications HeadQuarters británico dotan a la NSA con una capacidad de escuchar entre el 1% que dicen ellos, y el 96% que dicen los analistas, del tráfico de Internet para capturar datos de todo tipo.

Figura 1: ¿Dónde está X-Keyscore?

Por si fuera poco ese tráfico capturado en la red principal, la NSA cuenta con un programa de inmersión dentro de las redes locales conectadas a Internet, hackeando dispositivos expuestos, tales como routers, switches, cámaras de vídeo-vigilancia o impresoras. Para conseguir ese acceso, los miembros de la NSA realizan tareas puramente de hacking o directamente fuerzan a los fabricantes a dejar fallos de seguridad en sus productos o cuentas de usuarios de backdoor que les permitan tomar el control en cualquier momento.

Si llegado el momento apareciera la necesidad de colarse dentro de un sistema, desde la propia herramienta de X-Keyscore es posible explotar las vulnerabilidades y tomar control de un sistema, aunque eso signifique equivocarse miles de veces y colarse dentro de los sistemas por error.

El cifrado

Si los datos están cifrados, no sólo te hacen merecedor de una atención extra por ser un posible terrorista, sino que además desde el año 2010 se ha trabajado en un programa llamado Bullrun por el que se han estado recopilando las claves de descifrado. Para ello la NSA cuenta con un programa de varias fases:

1) Consiguiendo entidades de certificación intermedias que no alerten de ataques man in the middle.
2) Solicitando las claves de descifrado "legalmente" a las entidades de certificación.
3) Consiguiendo de forma ilicita y mediante intrusiones las claves no disponibles.
4) Incidiendo en la inserción de bugs en la tecnología en comités de certificación internacionales.

La primera de las opciones consiste en montar una infraestructura similar a la que tiene el Gran Firewall Chino, solo que con la ayuda de que las principales entidades de certificación en Internet son americanas. La segunda de ellas, está basada en hacer uso del Acta de Patriotismo y la Foreing Intelligence Survilliance Act. La tercera de ellas consiste en hacer algo de hacking usando el control de los dispositivos de la red y los exploits de X-Keyscore (por ejemplo) o preparar una operación APT contra el dueño de las llaves.

Figura 2: Diapositiva interna sobre BullRun

La última de ellas, la de incidir en los comités de certificación e inducir a la construcción de standards de seguridad y sistemas de cifrado inseguros es la más crappy de todas. El crear una operación de tal magnitud exige un conocimiento tecnológico, una preparación previa y un trabajo de años para lograrlo. Y ellos lo hacen. 

Esto me ha hecho recordar en cómo los algoritmos de cifrados de ciertos productos aparecen limitados y prohibidos para su uso fuera de USA y en cómo sistemáticamente año tras año, en conferencias de hacking, los investigadores de seguridad encuentran bugs en las implementaciones de los sistemas de cifrado, como recientemente sucedió con la implementación del 3DES en el MS-Chapv2. ¿Lo sabrían desde sus orígenes ellos?

Figura 3: Otra diapositiva interna sobre BullRun

Cuando un investigador publica un bug siempre se dice que es mejor que el mundo lo sepa, por si algún malo lo ha descubierto ya y lo está explotando. Visto esto habrá que modificar un poco la frase para que la gente entienda que ese bug podría haber sido introducido a sabiendas desde el día de la creación del sistema.

Siempre se ha pensado que la ocultación de sus miembros es debido a que rompen las leyes americanas de compartición de algoritmos de cifrado, y que por tanto deben residir en el anonimato. Sin embargo, viendo la virulencia con la que el gobierno americano es capaz de operar en casos como Wikileaks, la persecución y castigo más la sentencia de Bradley Manning, o la lucha por detener a Edward Snowden, me llama poderosamente la atención que sigan conservando el dominio .org o que sus servidores no vivan bajo acoso y derribo constante.

Es decir, si realmente fuera un problema para la NSA acceder a los datos cifrados por TrueCrypt y tuvieran que fiarlo todo a las herramientas de cracking de volúmenes cifradas conocidas - visto lo visto - ¿no creéis que hubieran hecho algo por conseguir las claves de descifrado? A lo mejor son paranoias mías, pero lo cierto es que algo no encaja en todo esto.

Los servidores Proxy para ser anónimo

Cuando publicamos la charla de Owning bad guys {and mafia} using JavaScript botnets yo preguntaba al final de la misma, en el minuto 36 de la presentación preguntaba. "¿De verdad creéis que no hay nadie más haciendo esto?" Un estudio posterior marcó la cifra en el 30% de los proxies anónimos. Es decir, uno de cada 3 servidores proxy anónimos estaban manipulando el contenido que entregaban a los clientes de estos proxies. ¿Sería alguno de ellos de la NSA? Apuesto doble contra sencillo.

Los datos

Y si no vale con el tráfico de red, pues siempre se puede tirar de PRISM y aprovechar que las principales empresas de servicios en Internet son americanas y están sujetas a la ley de los USA, por lo que se pueden solicitar datos para alimentar PRISM a Google, FaceBook, Apple, Microsoft, Yahoo!, etcétera.

Figura 5: Diapositiva filtrada sobre PRISM

¿Hay acceso directo a los datos o es una colaboración fluida de petición y denegación de información? Difícil responder. Aunque algunas filtraciones apuntan a un acceso más o menos directo, otras apuntan a una colaboración fluida pero sin acceso. En cualquier caso, Google y Microsoft han decidido demandar incluso al gobierno por los daños causados con este programa.

Fuera de Internet

¿Y si el dato se produce fuera de Internet? Pues entonces se montan las operaciones de espionaje al uso. Para ello, se ha podido ver cómo la NSA y GCHQ han montado dispositivos de hacking directo de teléfonos o el montaje de redes WiFi falsas en reuniones de G8 y el G20. Además se han puesto micrófonos y troyanizado los faxes en las embajadas de la Unión Europea y países amigos para poder saber qué sucedía e influir en la toma de decisiones, llegando hasta espiar en el cuartel general de la ONU.

También se accede a los registros de llamadas de teléfono tanto de sistemas como Skype, como de registros de operadoras tipo Verizon. Todo por nuestro bien, obviamente.

Acceso a los smartphones

En este fin de semana Der Spiegel informa de que además tienen acceso a la mayoría de los smartphones de los usuarios, hackeando BlackBerry, iPhone y Android. BlackBerry ha dicho que no tiene puerta trasera (no olvidemos que la empresa es de Canadá) - lo que podría significar que lo hacen con exploits como se vio en el caso del espionaje al G8 y G20 - sin embargo, con Android, iPhone y Windows Phone se especula con la existencia de puertas traseras o acceso a las copias de seguridad. No olvidemos que se ha reportado que la NSA está enviando código de Android y que la mayoría de los terminales iPhone o iPad hacen backup en iCloud y por supuesto sin cifrar.

Figura 6: Filtración del espionaje a miembros del G20 con BlackBerry

Tiempo ha, anonymous publicó un fichero con datos de los dueños de los sistemas iPhone & iPad que decía había conseguido del equipo de un miembro del FBI. Posteriormente esto fue negado por el FBI e incluso una empresa reclamó que había sido ella la víctima. ¿Sería una cortina de humo para frenar la filtración?

Cortina de Humo

Mientras todo esto sucede, lo más curioso es que el gobierno de los USA ha estado acusando desde comienzo de este año sistemáticamente a los chinos como los principales ciberespías de Internet. Informes como el de APT1 o el informe anual de ciberseguridad remitido al congreso apuntaban a las malas artes de los chinos malos que se cuelan en las redes para espiar a los buenos. Lo mejor, volver a ver la conferencia del general de la NSA en BlackHat USA 2013.

The End

Y resumido someramente todo esto, ¿queda algún sitio por mirar? Seguramente cuando descubramos ese sitio donde falta por mirar, ya hayan mirado allí. Desde luego mi percepción de Internet ya nunca será la misma tras todos estos acontecimientos y creo que tampoco la de muchos otros. La pregunta es qué hacer ahora. ¿Se podrá salvar Internet con la tecnología existente? ¿Hay que refundar la red desde cero? ¿Hay que cambiar hasta las infraestructuras de conexión? Difíciles respuestas.