Archive for septiembre, 2009

21/09/2009

Tu peor enemigo: el PDA

pdaAlguien me acaba de preguntar por qué las agendas electrónicas y los PDAs son objetos de interés forense. La respuesta es simple: se trata del único dispositivo que un sospechoso lleva consigo todo el tiempo, por razones de tamaño, comodidad y posibilidades de acceso inmediato al hallarse siempre en funcionamiento y no tener que realizar un ciclo de carga del sistema. Además son los aparatos que guardan nuestras pequeñas miserias, documentadas con fotos a todo color y mensajes de texto de lo más descriptivo. Por tanto, constituyen una fuente inapreciable de evidencia para el investigador. El PDA no solo persigue al criminal, sino también a las personas normales. Si usted ha metido en su agenda electrónica algo de lo que pudiera llegar a avergonzarse, o informaciones sujetas a cláusulas de confidencialidad de su empresa, piénselo dos veces antes de pasárselo a un familiar o a un amigo. Piénselo tres antes de subastarlo on line, porque entonces es mayor la probabilidad de que llegue a poder de alguien con experiencia en recuperación de datos.

Gracias a que el usuario siempre quiere estar a la última y comprarse el dispositivo último modelo, gran cantidad de PDAs cambian todos los días de manos en eBay. Compre algunos y se dará cuenta de que en la mayor parte de los casos siguen llevando los datos personales del vendedor. Dentro de estas máquinas podrá encontrar listas de direcciones y contactos, mensajes de correo electrónico relacionados con el trabajo, anotaciones e incluso fotografías tomadas en los momentos más personales. Si se molesta en llamar al antiguo propietario, este casi siempre le dirá que no tenía ni idea de que esa información hubiera podido quedar retenida en el dispositivo.

Pequeños y sucios secretos, listos para ser cosechados por un investigador forense: esto es lo que hace que los dispositivos móviles sean portadores de una evidencia en ocasiones crucial. La huella digital dejada en una agenda electrónica, un PDA, blackberry o teléfono móvil, por no hablar de un ordenador ultraportátil, es mucho más profunda e indeleble de lo uno cree. Del iPod como amenaza para la seguridad corporativa ya hablaremos, porque el tema da para largo y tendido.

Para saber más: Rick Ayers y Wayne Jensen: “PDA Forensics Tools: Overview and Analysis”.

19/09/2009

Las orejas electrónicas del gobierno

intervencionesUn post reciente en este blog ha recogido una cantidad inusual de comentarios críticos argumentando que la Constitución y el Código Penal incluyen garantías suficientes para la cobertura de escuchas telefónicas. Fue una discusión a la española, en la que se interpretan pejiguera y teatralmente los puntos y las comas de la ley, no tanto para llevar razón como para dejar en evidencia a quien sostiene la posición contraria, y en la que algunos llegaron a citar párrafos de leyes mal nombradas con una tendenciosidad en cualquier caso mucho mayor que la que se pretendía atribuir al autor del artículo. Todo ello para invalidar la tesis principal del post: que Sitel permite a las Fuerzas de Seguridad del Estado, y por extensión a quien las manda, un acceso a la privacidad del ciudadano tan solo limitado por la negativa de este a hacer uso de su propio teléfono. Muerto el perro, se acabó la rabia. Eso es precisamente lo que hacía un antiguo Canciller de la República Federal de Alemania. Enterado de que el sistema inalámbrico de su automóvil era objeto de seguimiento constante por parte de los servicios secretos de la R.D.A., mandaba parar al chófer ante una cabina telefónica y desde allí hablaba de asuntos importantes con los miembros del gabinete.

Eran los años 80. Con Sitel no habría podido utilizar el mismo ardid, a no ser que el Consejo de Ministros estuviera reunido en otra cabina telefónica o en un bar. La potencia de los sistemas de interceptación actuales, basados en la informática y en la instalación de interfaces adecuados en las compañías telefónicas al servicio de la autoridad (Esto no es cachondeo: lo decía la Ley General de Telecomunicaciones en su versión del 2003), permite realizar un seguimiento de llamadas en tiempo tanto real como diferido, por llamante y por destinatario de la llamada, y por extensión a toda la agenda de contactos telefónicos de uno y de otro. Sitel, además de una valiosa herramienta para la seguridad del Estado, es un tren de laminación para el derecho a la privacidad y las leyes de protección de datos.

La capacidad técnica de Sitel resulta tan sorprendente como endebles los bastidores jurídicos sobre los que se apoya. Este problema lo conocía de sobra el gobierno de Aznar, que hasta después de los atentados del 11 de marzo no pudo poner en marcha el sistema al no haber sido capaz de desarrollar un marco legal para su despliegue. El nuevo gobierno, tan poco respetuoso con las libertades del ciudadano como todos sus predecesores, y además con una tendencia a servirse de la ley y de las instituciones del estado con finalidades instrumentales al servicio de su propio poder, no tuvo tantos remilgos y se estuvo sirviendo de él durante un año sin cobertura legal alguna hasta la aprobación del primer reglamento regulador en abril de 2005. Consciente de los problemas jurídicos que causaba, el ejecutivo de Zapatero decidió enfocar el asunto Sitel como una cuestión meramente técnica, diseminando la normativa en forma de leyes de bajo rango y letra pequeña en los reglamentos del Ministerio de Industria.

En Estados Unidos (que por efecto de las series televisivas es el marco mental que inspira la argumentación bienintencionada de los partidarios conformistas del gobierno), cuando un investigador necesita huronear en la intimidad de un particular, solicita una orden del juez. En dicha orden el magistrado especifica con puntillosa exactitud los datos que hay que intervenir. Más allá no se avanza, y si el dispositivo o el ordenador pertenece a un periodista, entonces se vuelve intocable, porque hay una ley del Congreso (Privacy Protection Act § 42 U.S.C. 2000a) que lo protege. En España el procedimiento es otro. La Ley 25/2007 de 18 de octubre sobre conservación de datos permite al agente facultado, con carácter previo a la ejecución de la orden de interceptación, recabar de la compañia telefónica todas las informaciones relativas al servicio de telecomunicación utilizado por los sujetos a los que se quiere practicar el seguimiento: tipo de contrato, DNI, código de identificación fiscal, números de teléfono, etc. Para cuando la petición llega a la mesa del juez para que la firme, al individuo en cuestión -y también a sus interlocutores- ya les habrán escuchado de todo, hasta cantando en la ducha.

Escucharán al sospechoso y de paso a unos cuantos más, que no necesariamente habrían de guardar relación con el caso -Pruebas de funcionamiento, ya me entiende.¿Qué era el teléfono de un político del PP o de la Esquerra? Ay, disculpe usted, no nos dimos cuenta-. La naturaleza versátil y manipulable de los datos digitales también permite seleccionar el material. En otras palabras, unos jueces mayoritariamente legos en tecnología estarán firmando sin más lo que les presenten. No es como antes, que se entregaba la cinta entera y después era destruida. Por si fuera poco ahora también queda un backup en el ordenador de Sitel.

En 2008, y cuando ya había entrado en vigor la Ley 25/2007, el Tribunal Supremo dictaminó que el Real Decreto de 2005 era insuficiente para regular Sitel. Es aquí donde ha de verse el auténtico problema, no en el escaso rigor a la hora de citar la letra de una ley que por lo general en este país el gobierno y las administraciones públicas son los primeros en incumplir. Un sistema de intervenciones tan sofisticado y potente debería estar regulado por una ley orgánica. El objetivo no es iniciar un Watergate contra Zapatero, sino conseguir que esta problemática sea llevada al terreno del debate parlamentario.

15/09/2009

Organización empresarial para delinquir en Internet

delincuencia_informatica2Esta es una de las conclusiones del informe semestral sobre seguridad publicado por CISCO. A lo largo del año 2009 los delincuentes informáticos (asi es como hay que llamarlos, y no hackers: el hacking es otra cosa) funcionan cada vez más como empresas, con una estrategia comercial bien organizada y estableciendo asociaciones para maximizar el beneficio de sus actividades criminales. Las bandas no solo utilizan herramientas lícitas, sino que además se sirven de todo un arsenal compuesto en ocasiones por los mismos programas que utilizan los administradores de redes y expertos en seguridad: motores de búsqueda, Saas, etc. El empleo de la ingeniería social ha llegado a extremos de refinamiento que incluyen la explotación a escala masiva de los temores y la codicia de los usuarios. Los objetivos principales, aparte del spam y el activismo político financiado por gobiernos extranjeros, son ataques contra sitios web empresariales y robo de informaciones secretas para fines de extorsión, delitos contra la propiedad intelectual, espionaje industrial y chantaje.

El informe de CISCO expone algunas de las técnicas y estrategias empleadas por los piratas para abrir huecos en las defensas de las redes corporativas. También incluye algunas recomendaciones que tienen en cuenta a personas, procesos y tecnologías, desde un enfoque global para la gestión de los riesgos. La agilidad con que los intrusos detectan nuevas debilidades en la red obligan a la empresa a desarrollar formas avanzadas para luchar contra el cibercrimen e incrementar la vigilancia en todas las posibles vías de acceso. Traducido al español: hay que espabilar.

10/09/2009

Todos éramos informáticos forenses

norton

En serio. Sucedió en los primeros tiempos del PC, cuando todo aquello era nuevo bajo el sol, MS-DOS el no va plus ultra y Bill Gates sentenciaba que nadie llegaría a necesitar más de 640 kilobytes de memoria. La frase es apócrifa, pero de todos modos hizo bien en callarse lo que pudiera haber opinado sobre discos duros o frecuencia de la CPU. En aquellos días el usuario de a pie, desde el momento en que aprendía a teclear ‘dir’ y ‘Control+Alt+Supr’, tenía un privilegio que luego perdió: acceso directo al hardware. Y gracias a esto muchos recibieron sus primeras lecciones de forénsica digital, aun sin darse cuenta. Les sucedió igual que al célebre personaje de Molière, Monsieur Jourdain, que hablaba en prosa sin saberlo.

No me creen, ¿verdad? Y sin embargo, ustedes también utilizaron un minúsculo programa llamado Undelete para recuperar archivos borrados, cambiando el signo de interrogación inicial por un carácter cualquiera y volviendo a la vida algo que parecía definitivamente perdido. Sus amigas abrían la boca de admiración cuando le veían cazar a mano el virus de la pelotita o el temido Viernes Trece rastreando sus delatoras firmas con el Norton Disk Editor. Y no intente negarlo: usted mismo, en la intimidad de su cuarto, se sirvió de este mismo editor hexadecimal para aumentar su cifra inicial de fondos en SimCity y algún que otro simulador con el que se entretenía los fines de semana antes del despegue de Internet.

La edad de los pioneros y del usuario experimentado -que aprendía a fuerza de horas ante la línea de comando- llegó a su fin. Después vino la era Windows, con sus interfaces gráficos y un kernel que se hizo con el control. Las Utilidades Norton quedaron reducidas a una insípida suite de herramientas tontas y conformistas, y jamás volvieron a alcanzar su primitivo ratio de cobertura entre lo que el usuario esperaba de ellas y lo que realmente obtenía.

El círculo se cierra hacia el cambio de milenio con las primeras distribuciones Linux. El usuario volvió a tener acceso al hardware -si bien indirecto y limitado-. bash le ayudó a recuperar la línea de comandos, donde ahora puede ejecutar software procedente del mundo Unix, con una potencia y una versatilidad desconocidas en la informática de consumo. Con un entorno hardware que dicho sea de paso, hoy se encuentra a años luz no ya del existente en los tiempos del primer PC, sino incluso a comienzos de los noventa: microprocesadores varios miles de veces más potentes, discos duros con una capacidad diez mil veces superior, y los míticos 640 K de Bill Gates multiplicados por más de seis mil.

03/09/2009

Protegiendo datos confidenciales con TrueCrypt

truecryptSi eres abogado, ingeniero, o desempeñas un cargo público con competencias en la gestión de informaciones de acceso reservado, intenta imaginar la siguiente situación: para seguir trabajando desde tu domicilio en un caso importante has puesto todos tus datos en un pendrive de gran capacidad, o en tu último modelo de disco duro externo recién adquirido. En el camino lo pierdes: te lo has dejado sin querer en el mostrador de la gasolinera, o alguien te lo roba en el metro. Hay que reconocerlo: es bastante difícil que se de el peor de los casos, que los datos lleguen a poder de la competencia u originen un problema legal. Lo más probable es que el nuevo propietario se limite a reformatear el soporte y se sirva de él para sus propios fines. Pero de cualquier modo, y esto no deja de ser humillante, ahora mismo un individuo desconocido, en la intimidad de su cuarto, se regocija con los detalles morbosos de un caso de divorcio, ha conseguido la lista de tus clientes de telefonía móvil, o las hojas de mantenimiento de la piscina y del cuarto de máquinas del hotel, o intenta adivinar qué contienen todos esos archivos CAD del nuevo troquel en el que tu empresa lleva meses trabajando.

Todo esto se puede evitar con TrueCrypt, una herramienta gratuita y fácil de manejar, descargable desde el sitio web del desarrollador y con un excelente manual en castellano patrocinado por Kriptopolis. TrueCrypt funciona generando volúmenes encriptados en los que se puede cifrar prácticamente todo: desde archivos sueltos hasta la propia partición del sistema operativo (en Windows XP y Vista), pasando por carpetas, volúmenes e incluso discos duros completos. Dispone de un número de algoritmos de cifrado para elegir (AES, Serpent, Twofish) y también admite la creación de volúmenes ocultos, para dificultar todavía más la labor de mirones y hackers. El manejo es simple e intuitivo, tanto en Windows como en Linux. Una vez montados los volúmenes, el acceso es transparente, con posibilidad de copiar y arrastrar. El único defecto estético es la presencia visible de la papelera en el directorio raíz.

Utilizo TrueCrypt desde hace meses, y doy fe de que la inversión inicial de tiempo en el aprendizaje del mismo -que tampoco es gran cosa- queda de sobra compensada por las ventajas en cuanto a seguridad. Para quienes acostumbrar a trasladar información confidencial de la oficina a casa y viceversa, el perjuicio económico provocado por la pérdida de un soporte queda limitado a la reposición del hardware. Cuando el pelafustán que se lo llevó lo enchufe a su ordenador no verá nada, tan solo una unidad sin formatear. Ni siquiera con un editor hexadecimal podría llegar hasta los archivos, ya que todo está encriptado.

01/09/2009

Nuevas fuentes del derecho

vigilame2

Probablemente estas son las frases más acertadas que se hayan escrito jamás en el debate sobre el control político de las redes de telecomunicaciones:

“Ante todo es preciso superar un bloqueo mental: hasta la fecha ley y orden no parecían imaginables sin el estado. Y una renuncia a los mecanismos tradicionales de la soberanía estatal en la sociedad de las redes puede conducir al caos.”

Este, y no la pugna comercial en torno a los derechos de autor, ni la seguridad ciudadana, ni el proteccionismo cultural, es el centro de gravedad de la lucha por la red. Para saber de qué estamos hablando, he aquí un ejemplo procedente de la misma revista (Der Spiegel – Semana 33/2009) que publica el citado párrafo. Como sabemos, la posesión de un dominio de Internet constituye el salvoconducto de una persona, empresa u organismo administrativo para hacer visible su presencia en la red mundial. Los conflictos jurídicos relacionados con dominios actúan como catalizadores en la génesis de lo que podríamos denominar el borrador de una “constitución digital.”

La petrolera TotalFinaElf demandó a Greenpeace por usurpación de nombre en la página oil-of-elf.de, utilizada por ecologistas alemanes para polemizar contra la multinacional. La Audiencia de Berlín resolvió el caso aplicando leyes locales que prohibían a Greenpeace el empleo del dominio por abuso de la denominación comercial del gigante petroquímico. Sin embargo, la instancia inmediatamente superior falló a favor de Greenpeace al entender que el principio constitucional de la libertad de expresión tiene prioridad sobre el derecho de marcas.

Puesto que el secuestro de dominios se utiliza con frecuencia como arma para influir en la opinión pública, y en todo el mundo hay un ejército de abogados luchando contra esta forma de piratería, resultaba inevitable que ICANN, el organismo encargado de la asignación de nombres de dominio y rangos numéricos en Internet, interviniera en esta y otras disputas, constituyéndose en una especie de tribunal arbitral de la red. Este fue el dictamen de los guardianes del ciberespacio:

“Internet es principalmente un instrumento de comunicación global; su derecho se cimenta en la libertad de la palabra.”

La libertad es lo primero. Ningún tratado internacional, ni la Declaración de Derechos Humanos, ni la Ley Divina han sido citadas por los juristas de ICANN para emitir su veredicto. Lo escribieron sin más. Porque alguien, en última instancia, tenía que tomar la decisión. Hace años en la universidad aprendíamos que las fuentes del derecho son la ley, la costumbre y los principios fundamentales del derecho. La situación ha variado, y es en este cambio donde se encuentra el auténtico nudo gordiano de la era digital, con todos sus interrogantes del tipo: ¿quién manda en Internet? ¿qué está permitido y qué no? ¿deben existir organismos reguladores, guardianes, normativas, censura…?

Derecho sin estado: probablemente la red global es la primera estructura capaz de reemplazar el concierto internacional de unos estados en busca de consenso. Da la impresión de que el estado nacional ha entrado en una nueva etapa histórica caracterizada por la pérdida del monopolio legislativo, en la que se verá obligado a adaptarse a entornos nuevos, definidos por la actuación de una variedad de agentes que comprende no solo entes reguladores privados como ICANN, sino también ONGs, organismos internacionales, asociaciones políticas, etc.