miércoles, 31 de diciembre de 2014

Lo que todavía se le resiste a la NSA: PGP, TrueCrypt, Tor y mensajería OTR

Ya ha pasado más de un año desde que Snowden empezase con las filtraciones sobre el programa de espionaje de la NSA. Durante este tiempo, hemos conocido cómo se infiltraron en redes privadas de compañías de Internet, cómo espiaron llamadas en países europeos e incluso cómo trataban de atacar a usuarios de Tor.


Lo que no nos ha quedado tan claro es dónde no han conseguido llegar, qué tecnologías se les han resistido. Teníamos una cierta intuición de qué seguía siendo seguro, pero hace unas horas Der Spiegel ha publicado más filtraciones que nos revelan algunas tecnologías que siguen siendo seguras.

Por ejemplo, tienen muchas dificultades para descifrar los mensajes enviados por servicios comoZoho o para monitorizar los usuarios de Tor. De hecho, ya vimos en su momento que aunque habían logrado monitorizar a algunos usuarios, en general las técnicas no eran especialmente efectivas y no les permitían atacar objetivos a voluntad.

En mayo de este año, TrueCrypt desaparecía con un aviso así de extraño.

TrueCrypt es otro programa que se le resiste a la NSA, o por lo menos lo hacía antes de su misteriosa desparición. La historia de TrueCrypt siempre ha sido turbulenta, con desarrolladores desconocidos y ahora con sospechas de haber cerrado por presiones de agencias gubernamentales, lo que toma bastante sentido si la NSA no ha logrado romper su criptografía.

Las comunicaciones instantáneas también se ven protegidas por el protocolo OTR (mensajes de texto) y por ZRTP (voz sobre IP): la NSA no ha logrado romper ninguno de los dos. Estos son los protocolos usados por RedPhone y Signal, aplicaciones para Android y iPhone que parece que protegen bien las comunicaciones. Como curiosidad, cuando Whatsapp integró cifrado de extremo a extremo lo hizo con los desarrolladores de RedPhone y con un protocolo similar a OTR, así que puede que este sea otro servicio a prueba de NSA.

Un viejo conocido de la seguridad y el cifrado también es un gran reto para la NSA: PGP (Pretty Good Privacy). Este programa para cifrar archivos y correos, creado en 1991, sigue siendo irrompible para la NSA.
Lo que no se le resiste: HTTPS, VPNs e incluso SSH

Por supuesto, a la NSA hay cosas que no se le resisten. Entre sus propias técnicas y el debilitamiento de estándares de seguridad, sus analistas pueden llegar a interceptar y descifrar 10 millones de conexiones HTTPS al día, y eso en 2012. Una de las posibles herramientas pueden ser ataques desconocidos (como Heartbleed), o quizás el uso de certificados comprometidos.

Las redes privadas tampoco son especialmente robustas. La NSA es capaz de descifrar el 20% de las conexiones VPN que intercepta, o al menos esos eran sus planes en 2009.

SSH, un protocolo ampliamente usado de acceso remoto a ordenadores, también puede haber sido vulnerado por la NSA en algunos casos, pudiendo sacar usuarios y contraseñas. Los documentos filtrados no aclaran si es un ataque efectivo contra todas las versiones o si sólo funciona con las antiguas.

En cierto sentido, lo que comenta Der Spiegel son "buenas noticias", entre muchas comillas, tal y como dice este comentario en Hacker News: parece que la NSA tiene, a grandes rasgos, la misma información que el público sobre qué protocolos son seguros y cuáles no. De momento, la tecnología que creíamos más confiable parece seguir siéndolo.

Vía | Der Spiegel