-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 _____________________________________________________________________ | | | ======= == === === ==== == == === | | = == = = = = == == = | | = = = = = = = = = = = = | | xxxxx x x x x xxxxxx x x x x x | | x x x x x x x x x xxxxxxx | | x x xx x x x x x x x | | xxxxxxx xxx xx xxx xxxxx xxx xxx xxx xxx | |_____________________________________________________________________| Boletín del Taller de Criptografía de Arturo Quirantes http://www.cripto.es Número 58 2 de Marzo de 2008 ======================================================================== EDITORIAL NOTICIAS DE ACTUALIDAD - Ataques fríos contra ordenadores calientes CRIPTOGRAFÍA HISTÓRICA - François Viète y sus métodos LIBERTAD VIGILADA - Internet, objetivo prioritario ======================================================================== <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> EDITORIAL <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> La criptografía sigue estando de moda, no hay duda. Este mes nos hemos encontrado con la noticia de que se ha desvelado una ataque contra el cifrado de los teléfonos móviles que prácticamente cualquiera puede hacer en su casa. También nos hemos sorprendido al saber que, cuando un ordenador se apaga, la información de su RAM no desaparece de inmediato. De sus consecuencias sobre el cifrado de disco duro hablamos en este boletín. También prestamos atención al pasado. Concretamente, a la época de Felipe II, en la que un sagaz criptoanalista francés se merendaba con las mejores cifras españolas. Gracias a un reciente artículo, veremos aquí cómo lo hacía. Resulta curioso que los procedimientos para atacar cifras hace siglos sólo sean conocidos ahora. Quién sabe qué descubrimientos nos quedan todavía por hacer. Por cierto, que el desafío "SHA-1 Collision Graz" sigue adelante (ver boletín 54). En estos momentos, el equipo del Taller de Criptografía está en la posición número 70 del "Top Equipos." Hemos perdido posiciones, pero seguimos contribuyendo en la medida de nuestras posibilidades. Hemos superado ya los 79.000 créditos. Por cierto, que seguimos sin saber qué es un crédito. Uno de los miembros del equipo organizador de Graz me ha asegurado que en breve aclararán esa y otras dudas en un artículo que, por supuesto, leeremos aquí con interés. Pero eso será otro día. <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> NOTICIAS DE ACTUALIDAD <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> =----------------------------------------------------------------------= Ataques fríos contra ordenadores calientes =----------------------------------------------------------------------= En los últimos tiempos, pintan bastos para la privacidad. Tampoco es noticia que existen múltiples opciones para mejorar el nivel de protección en los campos de anonimato, confidencialidad y protección informática en general. Una de las herramientas más útiles es el cifrado del disco duro, que en teoría podría proteger el contenido de nuestro ordenador. Por desgracia, un artículo recientemente publicado indica que incluso usando programas de cifrado de disco, un atacante podría obtener acceso al ordenador. Para ello necesita actuar rápidamente, justo después de que el ordenador haya sido apagado. No se trata de un fallo del algoritmo de cifrado, ni de una mala implementación de software. Sencillamente, han buscado claves criptográficas almacenadas en el ordenador. Es el problema de siempre: guardar las claves de forma segura. Lo novedoso del caso es que no se trata de los sitios en que buscaríamos de buenas a primeras, como el disco duro o las unidades Flash, sino de la memoria RAM. Más concretamente, la memoria DRAM (Dynamic Random Access Memory). Las memorias RAM (con alguna letra delante, pero RAM a fin de cuentas) son el lugar donde el ordenador almecena todo aquello que necesita para trabajar, desde los drivers de la disquetera al ejecutable de Word. Eso incluye las claves criptográficas de sistemas como los cifrados de disco duro. La memoria RAM sólo está activa cuando el ordenador está en marcha, y se borra cuando éste se apaga; es decir, no es un lugar para almacenar información de manera permanente. Mucha gente, incluyendo expertos, pensaban que el borrado de la información de la memoria RAM era prácticamente instantáneo. Básicamente, funciona como un condensador, almacenando información mientras está cargado. Un condensador perfecto, con sus terminales aislados, nunca se descargaría espontáneamente, pero en la práctica acaban haciéndolo antes o después. Para evitarlo, las DRAM deben ser "refrescadas". Puesto que la tasa de refresco es del orden de los milisegundos, se suponía que en ese intervalo de tiempo la RAM se descargaría. Sin embargo, el período de remanencia es mucho mayor. El motivo es que incluso pérdidas pequeñas de información podrían dar al traste con el buen funcionamiento del sistema, así que necesitamos tasas de refresco altas. Es aquí donde entra el grupo de Princeton (http://citp.princeton.edu/memory/). Mediante una serie de experimentos, descubrieron que diversos módulos de memoria de varios fabricantes (Infineon, Samsung, Elpida, Micron) retienen la información almacenada en ellos durante un período de entre 2 y 50 segundos. Asimismo, vieron que el patrón de decaimiento de la información distaba mucho de ser uniforme. En http://citp.princeton.edu/memory/media/ pueden ver algunos ejemplos. En uno de ellos, una imagen de la Mona Lisa permanece prácticamente indistinguible a los cinco segundos del apagado del ordenador, y es aún identificable a los 60 segundos. Para empeorar las cosas, la persistencia de la información en la memoria RAM aumenta drásticamente con la temperatura. A una temperatura de -50ºC (conseguida mediante sprays de "aire enlatado"), más del 99% de los bits permanecen pasados diez minutos. A la temperatura del nitrógeno líquido (-196ºC), se preserva el 99,83% de los bits al cabo de !una hora! A decir verdad, ya desde los años 70 se sabía que el contenido de las memorias DRAM podía sobrevivir durante cierto tiempo. En 1978, un investigador consiguió retener durante una semana información en una DRAM enfriada con nitrógeno líquido. Peter Gutmann, en 1996, advirtió de los peligros de almacenar información en una RAM durante demasiado tiempo, y aconsejaba no guardar una clave criptográfica en el mismo sitio durante más de unos pocos minutos. Pero este ataque se realizó sobre memorias que sólo habían almacenado información de forma momentánea. Los autores examinan diversas formas en las que puede actuar un atacante, y no resultan demasiado complicadas. Por ejemplo, puede usar una unidad USB para arrancar el ordenador, o bien extraer físicamente la DRAM para hacer una copia, incluso llevar a cabo ataques remotos bajo determinadas circunstancias. Los investigadores se centraron en la extracción de claves criptográficas, lo que consiguieron con diversos grados de éxito. Incluso cuando no se obtienen todos los bits correctos de la clave, el hecho de que algunos parámetros de las claves se pre-computan y almacenan en memoria facilita mucho la tarea, tanto para los algoritmos simétricos más habituales (DES, ASE) sino también para claves públicas (RSA). También se atrevieron con programas reales de cifrado de disco duro, como BitLocker, FileVault, TrueCrypt y dm-crypt, con éxito en todos los casos. Las consecuencias pueden ser graves. Desde un punto de vista forense, proporciona una herramienta muy valiosa a las fuerzas policiales, que podrán así extraer las claves del ordenador protegido de un detenido. Por otro lado, los espías industriales o gubernamentales pueden aprovecharlo para obtener información de forma fraudulenta. Claro que sería ingenuo pensar que no lo hacen. En 1991, una publicación de la NSA sobre la remanencia de datos en medios digitales analizaba sistemas como discos duros, pero no hacía mención alguna de memorias RAM. ¿Se les pasó por alto estudiarlo? Saque cada cual sus propias conclusiones. ¿Y las soluciones? Los autores dicen que la BIOS podría ayudar, ya que puede hacer una comprobación de memoria destructiva durante el arranque (POST: Power-On-Self-Test), aunque no sé yo si eso será eficaz ahora que la capacidad de las memorias RAM se mide en gigas. Los autores proponen diversos métodos: aprovechar la capacidad POST, exigir una contraseña antes de arrancar por red o por medios removibles, suspender el sistema de forma segura (hibernación con una contraseña), evitar pre-computaciones de elementos de la clave, entre otros. Por desgracia, ninguna solución es efectiva, y en este caso no hay remedios fáciles. La computación confiable (Trusted Computing) no sirve, las soluciones en hardware precisarán cambios que requerirán tiempo y dinero ... y cruzar los dedos. <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> CRIPTOGRAFÍA HISTÓRICA <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> =----------------------------------------------------------------------= François Viète y sus métodos =----------------------------------------------------------------------= Es bien sabido que una de las primeras decisiones de Felipe II fue la de cambiar las cifras y claves de su gobierno. El Rey Prudente era bien consciente tanto de la debilidad de éstas como de las capacidades de sus enemigos en Europa, que eran muchos. En efecto, durante todo el período de su reinado, las cifras españolas sufrieron el ataque de muchos criptólogos enemigos. De ellos, uno de los más conocidos es François Viète. Recientemente, un artículo publicado en la revista Cryptologia desveló el descubrimiento de algunos manuscritos, perdidos hasta entonces, en los que el propio Viète nos desvelaba sus métodos de descifrado (término que se utilizaba entonces para lo que hoy conocemos como criptoanálisis). Antes, una pequeña introducción. François Viète nació en 1540 en Fontenay-le-Comte, cerca de la costa atlántica de Francia. No parecía en principio dotado para las matemáticas. Muy por el contrario, estudió derecho en la Universidad de Poitiers, tras lo cual volvió a su pueblo natal para ejercer de abogado. Sin embargo, tenía una inquietud por la ciencia, escribió algunas obras sobre cosmología y estaba particularmente dotado para las matemáticas. Sus relaciones con los calvinistas lo llevaron a relacionarse con el rey Enrique III de Navarra, lo que unido a los éxitos en su carrera (consejero del tribunal de justicia de París, y luego del de Bretaña) le valió su participación en delicadas negociaciones políticas. En 1580, como resultado de todo ello, fue nombrado consejero del rey de Francia Enrique III. Sin embargo, donde Viète brilló con más luz fue en el campo de las matemáticas. Fue el primero que usó letras para representar números, y no en vano se le conoce como el padre del álgebra moderna. También gozaba de una virtud para su rey: su habilidad como criptoanalista. Para entenderlo, hay que considerar la situación de Francia en aquella época. A finales del siglo XVI, Francia estaba dividida en dos bandos, católicos y protestantes. La Santa Liga católica, apoyada por España, controlaba las principales ciudades de Francia, incluida París. En 1589, Enrique III de Navarra ascendió al trono con el nombre de Enrique IV, pero apenas controlaba su propio país. En esas circunstancias, cualquier ayuda era bienvenida. Y Viète le daba una posibilidad para afianzar su trono. Ya en 1589, consiguió leer un despacho cifrado de Alejandro Farnesio (jefe de las fuerzas españolas en la Liga). Ascendido en 1589 a miembro del consejo privado del Rey, Viète recibió cierto número de cartas de Felipe II que habían sido interceptadas, con la esperanza de poder repetir los éxitos del año anterior. Estaban dirigidas a su oficial de enlace Juan de Moreo, y a su embajador en Francia Bernardino de Mendoza. En dicha correspondencia se ocultaban muchos detalles de interés para Enrique IV, no sólo los planes españoles sino las rencillas internas entre los miembros de la Liga. El descifrado de los mensajes no tuvo consecuencias militares directas. De hecho, David Kahn nos recuerda que, un día antes de que Viète terminase de descifar las cartas, el ejército de Enrique IV consiguó en Ivry (15 de marzo de 1589) una importante victoria militar sobre el ejército de la Liga. Sin embargo, el descifrado de los mensajes no fueron un mero "ejercicio académico", sino que tuvo consecuencias de mayor alcance. Una de las cosas que Viète descubrió en las cartas cifradas fue la ambición del duque de Mayenne, comandante en jefe de los ejércitos de la Liga, quien ambicionaba convertirse en rey de Francia; algo que debió contrariar mucho a Felipe II, quien quería colocar en el trono a una de sus hijas. Gracias al conocimiento de las rencillas enemigas que le proporcionó Viéte, y ayudado por la victoria de Ivry, Enrique forzó un compromiso por el que se convirtió al catolicismo (aquello de "París bien vale una misa"), al tiempo que Mayenne se sometía a su autoridad. Las consecuencias fueron más allá: los tercios españoles de Flandes entraron en Francia, empantanándose allí durante varios años, sin posibilidad de obtener la victoria ... mientras los rebeldes holandeses, al borde del colapso, recibían un inesperado período de gracia. Hasta qué punto los acontecimientos de 1589 y años posteriores se vieron influidos por el descifrado de Viète, resulta imposible de calibrar. Se sabe, eso sí, que fueron usados como propaganda útil. En 1590, Viète publicó en un folleto todos los detalles sobre el descifrado que hizo de la carta de Moreo de 1589. Enrique IV y el propio Viéte eran, no cabe duda, conscientes de la gravedad de tal acción, ya que avisaría a España de que sus cifras eran vulnerables. Sin embargo, el valor político fue innegable, ya que reveló algunas de las más oscuras intenciones de Mayenne, como la ya mencionada de convertirse en rey y ceder a España diversos territorios en Picardía, e incluso admitir la presencia de fuerzas militares españolas en Francia para mantenerle en el trono. Es muy posible que el folleto de Viète haya jugado un papel fundamental para convencer y cambiar de bando a los partidarios de la Liga ... incluyendo al propio Mayenne, quien juró fidelidad a su nuevo rey Enrique IV en 1594. Sin embargo, el folleto en cuestión, con sus detalles sobre el criptoanálisis que llevó a cabo Viète y sus métodos, no sobrevivió hasta nuestros días. Una lástima para nosotros, pues nos hubiera dado pistas sobre cómo resolvía las cifras españolas uno de los mejores criptoanalistas de la Historia. Ni siquiera se saben cuántas cifras consiguió descifrar. Como mínimo, sabemos la cifra que usaba Juan de Moreo era un diccionario con 423 términos, un número nada despreciable y que no hubiera resultado tarea fácil. En realidad, tengo mis sospechas de que la cifra particular de Juan de Moreo era muy similar a un "nomenclátor" (alfabeto homofónico, silabario y vocabulario). En suma, no era moco de pavo. ¿Cómo se las apañaría para romper un sistema de cifrado así? Felizmente para nosotros, existe una copia. La encontró hace algunos años Peter Pesic, quien publicó sus descubrimientos en un artículo de Cryptologia ("François Viète, father of modern cryptanalysys - - two new manuscripts", Enero de 1997). El documento que encontró Pesic es una copia de la memoria original de Viéte, escrita en 1603 para el duque de Sully y que se custodia en la Bibliothèque de L´Institut de France en París. Resulta muy interesante, porque bosqueja reglas generales para el desciframiento. Al contrario que otros antes que él, que se basaban en reglas de "palabra probable" y conjeturas, Viéte abogaba por un tratamiento matemático riguroso. Puesto que se basó en el ataque a cifras españolas, también nos sirve para calibrar la fortaleza de éstas. Lo primero que nos comenta Viéte es que, en su opinión, los españoles eran muy sutiles a la hora de redactar las cifras, pero muy crudos al usarlos en la práctica. En eso no le falta razón, ya que personalmente he visto cifras españolas estupendas usadas de la forma más tonta, sea repitiendo signos que podrían haberse sustituido de varias formas, o sencillamente negándose a utilizar símbolos nulos salvo a punta de pistola. Tras esbozar la forma general de los nomenclátores (las cifras estándar oficiales de Felipe II y sus algos funcionarios), se reitera en lo difícil que hubiera sido descifrarlos de haber sido usados correctamente. Como no fue así, pudo extraer diversas reglas a las que llama "observaciones", y que le ayudaron en su tarea. La primera observación es que los despachos se enviaban por diversos medios, y siempre en dos o tres copias al menos. Esto era poco menos que imprescindible en una época en que los medios de comunicación eran poco seguros: los correos a caballo eran asaltados, los navíos abordados o hundidos, los despachos se interceptaban o destruían. Lo malo era que, puesto que una palabra puede cifrarse de diversas formas, las copias de un despacho raramente eran exactamente iguales. Así, si un atacante conseguía juntar dos copias del mismo despacho, podría extraer información a partir de las diferencias entre ambos. Por ejemplo, una copia podía llevar cifrada la palabra "cardenal" a partir del diccionario, en tanto que otra podría ir separada en sílabas "car den al". Permitía, por tanto, revelar símbolos equivalentes. Su segunda observación se basa en la forma en que se cifran los números. ¿Cómo codificar el número 500, por ejemplo? Una de dos: o hacemos una tabla para cifrar todo tipo de números, o dividimos el número en letras o sílabas (qui-ni-en-tos). Pero los redactores de las cifras encontraron una forma más sencilla: basta con poner el número, y añadirle algún rasgo. Una forma típica era ponerles un punto por encima, o bien subrayarlos. De ese modo se puede extraer información valiosa. En primer lugar, sabremos que esos signos representan números. En segundo, podemos barruntar qué representan esos números: efectivos militares, barcos, dinero, fechas. Si vemos el número 100.000, es muy posible que se trate de una cantidad de dinero, así que los signos que le sigan significarán "escudos" o "ducados". Algo como "4000" seguido de cerca por "500" pueden indicar efectivos de infantería y caballería. Un número más pequeño puede indicar una fecha, lo que nos indicaría que los siguiente símbolos pueden representar el mes, o bien una expresión como "del presente [mes]". Este tipo de fallos era ya antiguo en época de Felipe II (creo haber visto pifias parecidas en documentos de Fernando el Católico cuando todavía era príncipe), así que sorprende que los creadores de códigos españoles no lo hubieran corregido. Quizá, sencillamente, los usuarios de las claves preferían la comodidad a la seguridad. Tercera observación: las frases estereotipadas. Los documentos oficiales están plagados de lenguaje oficial estándar. No se trata tan sólo de los encabezamientos y firmas típicos ("tengo el placer de informarle", "siempre a los pies de V.M."), sino latiguillos como "copia de", "memorial", "instrucción", "[respecto] de la carta (o del capítulo)" Cada vez que se usaba uno de estos términos, proporcionaban una forma de adivinar qué significa tal signo o cuál sílaba. Cuarta observación. Esta es la que el autor llama "cuarta y general". Aquí se lanza a un sofisticado proceso de análisis de frecuencia. Es decir, se contaba la cantidad de veces que aparece un signo, y se intentan obtener resultados. Lo primero que intentaba era identificar las vocales. A continuación, identificaba los dígrafos y trígrafos (grupos de dos o tres símbolos) más frecuentes. Se basaba en la idea de que, en el idioma español, prácticamente no hay ningún grupo de tres letras que no incluyese una vocal. Por supuesto, esto solamente vale cuando tenemos símbolos que representan letras, pero incluso en el caso de nomenclátores complejos tenía su aplicación. Veamos un ejemplo. Tomaremos el que incluyó David Kahn en su libro (pag. 99 ss), y que también menciona Peter Pesic en su artículo de Cryptologia (como ven, hoy estoy un poco vago). Se trata, para simplificar, de una sustitución monoalfabética simple: un símbolo, una letra. Vamos a escribir los símbolos cifrados en mayúscula. Al examinar un texto cifrado, encontramos que los trígrafos más frecuentes son: GJX, ZNU, COT, QHY, EAF. Puede que el texto cifrado no tenga separaciones entre palabra, así que no podemos identificar esos trígrafos con palabras de tres letras concretas. No importa. Ahora habamos la lista de los dígrafos más frecuentes, y digamos que el resultados es: GJ, XX, TZ, NU, CO, AM, VQ, FX. Resulta que en español los dígrafos más comunes contienen una vocal, así que tenemos unas cuantas vocales, ¿pero cuáles? Lo que dice Viéte es que comparemos los dígrafos con los trígrafos, a ver si algunos se sopalan. Y lo hacen. GJX sopala a GJ; ZNU solapa a NU; COT solapa a CO; QHY solapa a HY. Por otro lado, un examen del texto nos indica que el signo más frecuente es la N. Hagamos la hipótesis de que N simboliza la letra e (la más frecuente en el alfabeto español), y a ver qué pasa. En ese caso, ZNU nos indica que Z es muy probablemente una consonante (U puede ser una consonante, pero también puede ser la letra a, ya que "ea" es bastante frecuente). A su vez, GJ contiene una vocal, y lo mismo pasa con CO. Podríamos dar un paso más y pensar que, como los trígrafos suelen tener una vocal en el centro, podríamos concluir que J y O también representan vocales. Por supuesto, no hay garantía de ello, pero eso nos da un punto de partida para ir probando diversas posibilidades. Viéte afirma asimismo que logró resolver sistemas monoalfabéticos homófonos de hasta 10 símbolos por letra. Esto parece algo inaudito, pero hay que recordar que en esos casos no todas las letras tienen tantos símbolos, y que por lo general las letras menos frecuentes tenían pocos símbolos para representarlos, lo que representa una vulnerabilidad. Sólo por poner un ejemplo, si consigo identificar un signo como la letra "q", sé que el siguiente signo que le acompaña ha de ser necesariamente una "u", y el siguiente será una vocal. Un examen del manuscrito de Viéte nos indica que hubo diversas cifras que atacó, no solamente las de Moreo. Cuáles y en qué medida constituye todavía tema abierto. Lo que no deja lugar a dudas, en mi opinión, es su valía como matemático. Si hoy día se le considera el padre del álgebra, por algo será. De modo similar, a pesar de que él no inventó el análisis de frecuencias, el hecho de que lo llevara hasta límites desconocidos hasta entonces le otorga un lugar destacado en la galería de padres del criptoanálisis. <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> LIBERTAD VIGILADA <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> =----------------------------------------------------------------------= Internet, objetivo prioritario =----------------------------------------------------------------------= [Extraído del libro "Libertad Vigilada", de Nacho García Mostazo, con permiso del autor] Primera parte, capítulo 19: Hasta ahora hemos visto cómo "Echelon" se dedica a interceptar todo tipo de comunicaciones, e incluso hemos mencionado que la red de espionaje global sería capaz de interceptar correos electrónicos o intercambios de información por Internet. La entrada en la World Wide Web ha sido probablemente la penúltima revolución en la comunidad de inteligencia norteamericana. Hay quien afirma que el rápido crecimiento de la Red plantea dificultades a las organizaciones de inteligencia, pero se trata de un error. A juicio de Duncan Campbell, "desde principios de los años 90 se han desarrollado sistemas Comint rápidos y complejos para interceptar, filtrar y analizar todas las formas de comunicación digital que se utilizan en Internet". Este autor asegura que, "como la mayor parte de la capacidad de Internet en el mundo está radicada o se conecta con Estados Unidos, muchas de las comunicaciones que cruzan el 'ciberespacio' pasan por estaciones intermedias ubicadas en EE.UU," lo que las convierte en objetivo directo de la NSA. En concreto, "las comunicaciones de Europa con Asia, Oceanía, África o Suramérica viajan normalmente a través de Estados Unidos". [1] Cualquier información que se intercambie en Internet utiliza unos protocolos que la dividen en "paquetes", llamados "datagramas", que incluyen números que identifican tanto su origen como su destino, denominados "direcciones IP". Estas direcciones son únicas para cada ordenador conectado a Internet, y en sí mismas son muy fáciles de identificar en lo que se refiere al país de origen y destino. Explicado de un modo muy simple, la dirección IP identifica al ordenador de cada usuario como si fuera su número de teléfono, prefijos de país y región incluidos, lo cual significa que cuando navegamos por Internet llevamos una "matrícula" por delante que va diciendo quiénes somos y dónde estamos. En cuanto a los correos electrónicos, éstos se dividen en pequeños "paquetes" de información al ser enviados. Cada uno de esos "paquetes" puede viajar por una ruta diferente hasta su destino, donde cada cual vuelve a tomar su lugar para reconstruir el mensaje enviado. Todos los "paquetes" también viajan perfectamente identificados con la "dirección IP" de quien los envió y la del receptor, porque de no ser así no encontrarían la ruta para llegar hasta su destino. "La gestión, clasificación y distribución de millones de estos paquetes por segundo es fundamental para el funcionamiento de los principales centros de Internet, pero el mismo proceso facilita la extractación del tráfico para obtener información Comint", según Duncan Campbell. [2] "Los itinerarios que siguen los 'paquetes' dependen del origen y destino de los datos, de los sistemas por los que entran y salen de Internet y de una multitud de otros factores, como la hora del día. De este modo, los enrutadores situados en el oeste de los Estados Unidos se encuentran en su mayor parte inactivos a la hora en que el tráfico del centro de Europa es más intenso", afirma Duncan Cambpbell, para quien "es posible (y razonable) que los mensajes que recorren distancias cortas en una red europea muy ocupada viajen, en su lugar, a través de centrales de Internet situadas en California". De todo ello se deduce que "una gran proporción de las comunicaciones internacionales que se llevan a cabo a través de Internet pasan, por la propia naturaleza del sistema, por Estados Unidos, y por lo tanto son fácilmente accesibles para la NSA". [3] La red Internet se sustenta en las redes telefónicas internacionales, que se transmiten por satélite o por cables submarinos. Como ya hemos visto, Estados Unidos tiene acceso a tales medios de comunicación, ya sea con parabólicas, satélites en el espacio o "pinchando" los cables, por lo que no debería sorprendernos que la mayor parte de sus interceptaciones del tráfico por Internet se haga en sus propias bases militares de escucha. Para Duncan Campbell, esa circunstancia tiene una ventaja, porque el acceso a los sistemas de comunicación es clandestino, mientras que si las autoridades tuvieran que interceptar las comunicaciones de las centrales de Internet, su actividad sería más fácilmente detectable. Sin embargo, instalar aparatos de espionaje en las centrales de Internet "facilita el acceso a una mayor cantidad de datos y simplifica los métodos de clasificación", lo que explicaría el interés de las agencias de inteligencia en "pinchar" los nodos de Internet. [4] De acuerdo con Wayne Madsen, un antiguo empleado de la NSA, "la Agencia de Seguridad Nacional disponía en 1995 de programas 'husmeadores' para interceptar tráfico de Internet en nueve de los principales puntos de intercambio (IXP) de la Red". Concretamente se refería a los dos primeros nodos de Internet que se pusieron en marcha en EE.UU., uno situado en College Park, Maryland (FIX East), y el otro en Mountain View, California (FIX West), ambos gestionados por el Gobierno norteamericano. También citaba otros nodos que vertebraron la Red en Estados Unidos, como los NAP de Nueva York, Chicago y San Francisco. [5] Estas operaciones de la NSA para interceptar el tráfico de Internet en los nodos de Estados Unidos es posible que se hagan en colaboración con otras agencias estatales, como el FBI. Como hemos visto, la Agencia de Seguridad Nacional no está autorizada para espiar a ciudadanos norteamericanos porque la ley se lo impide. pero la Oficina Federal de Investigación (FBI) sí puede hacerlo. De hecho, su misión se circunscribe al interior de las fronteras norteamericanas. Esta agencia federal desarrolló en los años 90 un programa llamado "Carnivore" capaz de hacer un seguimiento de todo el tráfico de datos de un usuario concreto, incluida su trayectoria de navegación. Tras varios años de presión, el Congreso de Estados Unidos aprobó en 1994 la Ley de Asistencia en Comunicaciones para los Cuerpos de Seguridad (Communications Asisstance for Law Enforcement Act, CALEA). Esta norma establece la obligación legal de los operadores de telecomunicaciones y los fabricantes de equipos informáticos de incluir dispositivos de vigilancia en toda la red telefónica de Norteamérica. [6] No obstante, en un principio Internet quedó en parte exenta de dichos requerimientos, lo que el FBI resolvió con su programa "Carnivore". En abril del año 2000, el FBI empezó a instalar masivamente este sistema de espionaje en los Proveedores de Servicios en Internet (ISP), las empresas que dan servicios de conexión a los usuarios de la Red. Sin embargo, una de estas empresas se negó y su abogado, Robert Corn-Revere, desveló la existencia de "Carnivore", lo que obligó al FBI a reconocer la propiedad de esta sofisticada herramienta de espionaje. La controversia generada a partir de ese momento llevó a la Oficina Federal de Investigación a cambiar el agresivo nombre de "Carnivore" por otro mucho más anodino, "DCS1000", que se corresponde con las siglas de Sistema de Recolección Digital (Digital Collection System). En la actualidad, el programa "Carnivore" permanece instalado en decenas de ISP de Estados Unidos. [7] Debido a los impedimentos que algunos Proveedores de Servicios en Internet han puesto a las autoridades para instalar "cajas negras" en sus equipos, el FBI ha dado un paso más allá a fin de no tener que depender de los ISP para interceptar y seguir las comunicaciones por Internet de los ciudadanos. A finales de 2001, el propio FBI reconoció contar con un departamento de creación de virus informáticos para el espionaje. Se trata del controvertido proyecto "Linterna Mágica", que permite a la Oficina Federal de Investigación introducirse en el ordenador de cualquier usuario. La "Linterna Mágica" se propaga como un virus troyano, pero no provoca desperfectos en la programación del ordenador, sino que se instala y "husmea" todo lo que hace el usuario, dejándole una puerta abierta a los agentes para que capturen la información almacenada desde dentro de la máquina del usuario sin que éste pueda siquiera saber lo que está ocurriendo. Algunas fuentes han llegado a acusar a las compañías que fabrican antivirus informáticos de connivencia con el Gobierno federal de Estados Unidos, ya que los más modernos productos contra los virus indeseables no detectan aquellos creados con fines de espionaje por el FBI. [8] Pero el ansia de espionaje de las agencias norteamericanas de inteligencia no termina ahí. También el ex espía Wayne Madsen desveló que la NSA había firmado acuerdos con Microsift, Lotus (IBM) y Netscape (AOL) para alterar sus productos destinados a la venta fuera de Estados Unidos. Esta revelación ha resultado ser cierta. Según Duncan Cambpbell, estas empresas "aceptaron adaptar sus programas para reducir el nivel de seguridad que proporcionaban a los usuarios no estadounidenses". Concretamente en el caso de Lutos Notes, que incluye un sistema seguro de correo electrónico, usa una clave de cifrado de 64 bits. De este modo se obtiene un nivel medio de seguridad. Sin embargo, "Lotus incorporó una trampilla 'de información auxiliar' para la NSA en su sistema Notes", según Campbell. Esa "puerta trasera" era en realidad un "campo de reducción del factor trabajo" en todos los mensajes de correo electrónico enviados por los usuarios de Notes. "Este dispositivo reduce las dificultades que tiene la NSA para leer el correo electrónico del resto de países, pasando de ser un problema casi irresoluble a una cuestión de pocos segundos." Así, junto con el correo también se envían 24 de los 64 bits de la clave criptográfica utilizada para cada comunicación. Ese "campo de reducción del factor trabajo", a su vez, está codificado "con un sistema que sólo puede leer la Agencia de Seguridad Nacional", según Duncan Campbell. [9] El Gobierno sueco lo descubrió en 1997. Por esas fechas, los diputados del Parlamento, 15.000 empleados de Hacienda y cerca de medio millón de ciudadanos de Suecia utilizaban Lutos Notes diariamente para enviar sus correos electrónicos. A través de un portavoz, Lotus admitió públicamente los hechos en declaraciones al diario sueco Svenska Dagbladet. Según dijo, "la diferencia entre la versión estadounidense y la versión de exportación del sistema Notes está en su grado de cifrado. Nosotros entregamos claves de 64 bits a todos los clientes, pero 24 bits de las claves incorporadas en la versión que comercializamos fuera de Estados Unidos están en poder del Gobierno estadounidense". [10] Asimismo, todas las versiones de exportación de los navegadores fabricados por Microsoft y Netscape "incorporan dispositivos similares", según Duncan Campbell. "Cada uno de ellos utiliza una clave estándar de 128 bits. En la versión de exportación no se reduce la longitud de la clave, sino que en su lugar, 88 bits se transmiten con cada mensaje, mientras que 40 permanecen secretos." Por tanto, cabe deducir que todos los ordenadores con programas de fabricación estadounidense cuentan con un "campo de reducción del factor trabajo" como característica estándar. Esa "puerta de atrás" permitiría a la NSA descifrar con facilidad el código del usuario y leer sus mensajes, de modo que mientras los ciudadanos norteamericanos navegan seguros por la Red, la información que intercambian en Internet los usuarios del resto del mundo es totalmente transparente para la NSA. Haciendo un paralelismo muy simple, podríamos decir que los usuarios de Internet que viven en Norteamérica se comunican con cartas metidas en sobres y lacradas, mientras que el resto de internautas en el mundo sólo pueden mandarse postales. [11] En cuanto a las páginas publicadas en Internet y de acceso público, la NSA emplea robots informáticos -también conocidos como "arañas"- similares a los que utilizan los grandes buscadores, como "Yahoo!", "Google" o "Altavista", para obtener información de interés. Por ejemplo, un sitio de Internet en Nueva York llamado JYA.com ofrece gran cantidad de información pública sobre las actividades Sigint y Comint y también sobre criptografía. Este sitio se actualiza muy a menudo con nuevos documentos e informes. Los registros de acceso a sus páginas "demuestran que todas las mañanas es visitada por un robot del Centro Nacional de Seguridad Informática de la NSA que busca nuevos archivos y hace copias de todo lo que encuentra", según Duncan Campbell, a quien se lo explicó personalmente John Young, el propietario de JYA.com. [12] Pero también hay otra forma de espionaje electrónico aún más indetectable: se trata del espionaje electromagnético. Cualquier aparato eléctrico o electrónico desprende campos electromagnéticos involuntariamente cuando está en funcionamiento. Así, la Unidad Central de Proceso (CPU) de un ordenador personal, el monitor, el teclado, e incluso el ratón, así como un teléfono inalámbrico o hasta un microondas, emiten este tipo de señales. El periodista Joan Carles Ambrojo lo ha explicado con un ejemplo muy fácil de comprender: "En un hotel cualquiera, un investigador descuidado, pongamos que de una multinacional farmaceútica, escribe en su ordenador portátil la fórmula secreta de un revolucionario medicamento. En la habitación contigua, un espía industrial está robando cómodamente sus secretos sin que la víctima pueda detectarlo. No ha ocultado una cámara de vídeo [...] sino que el atacante maneja una antena direccional, un osciloscopio, un sintonizador especial y otros dispositivos capaces de captar y reconstruir a distancia los caracteres o imágenes de ese portátil." [13] Ya en 1918 la Armada de Estados Unidos desarrolló métodos para evitar las emanaciones comprometidas de teléfonos de campaña y transmisores, porque sabían que era posible espiar las comunicaciones accediendo a los campos electromagnéticos creados por estos aparatos. "Peter Wright, un ex espía de la agencia británica MI-5, afirmó en un libro haber utilizado esta tecnología para captar los mensajes de los funcionarios franceses durante las negociaciones para la entrada del Reino Unido en la Comunidad Económica Europea en 1960", según Joan Carles Ambrojo. Para proteger los equipos de comunicaciones ante esta técnica del espionaje, el Gobierno de Estados Unidos aprobó en 1950 un estándar al que denominó "Tempest", por sus siglas en inglés (Transient Electromagnetic Pulse Emanation Surveillance Technology). Sin entrar en grandes detalles técnicos, los aparatos susceptibles de ser espiados por sus emanaciones electromagnéticas se suelen fabricar con aislamientos especiales que impidan la irradiación de señales. El estándar "Tempest" también afecta a las habitaciones donde se trabaja con equipos sensibles, de modo que generalmente se construyen cámaras acorazadas similares a las empleadas para hacer pruebas de resonancia nucielar en los hospitales. Estados Unidos y la OTAN utilizan la tecnología "Tempest" para evitar la fuga involuntaria de información, pero también bancos, grandes multinacionales, etc. Sin embargo, un ciudadano cualquiera no suele estar protegido contra este tipo de ataques, de modo que, si las agencias de inteligencia lo convirtieran en su objetivo, es muy difícil que pudiera escapar al espionaje electromagnético. De todos modos, el elevado coste de cada misión impide a las agencias de inteligencia llevar a cabo este tipo de operaciones tan concretas de forma masiva, y lo reservan sólo para casos excepcionales. Como es obvio, "Echelon" nada tiene que ver con este modo de obtener inteligencia. Su única relación con "Tempest" restiba en que los ordenadores de la red global de espionaje cumplen con este estándar para evitar las fugas involuntarias de información. Prácticamente todos los ordenadores del Ejército norteamericano están protegidos, mientras que la mayoría de los que operan con información sensible están instalados, además, en cámaras acorazadas especiales para mejorar su aislamiento. [1]. Duncan Campbell, "Interception Capabilities 2000". Op. cit. [2]. Íbid. [3]. Íbid. [4]. Íbid. [5]. Wayne Madsen, "Puzzle palace conducting Internet surveillance". Computer Fraud and Security Bulletin. Junio de 1995. Citado por Duncan Campbell, "Interception..." Op. cit. [6]. Más información sobre la ley CALEA y su aplicación en: http://www.askcalea.net/ [7]. Agencia Efe. "EE.UU.-INTERNET /El FBI ambia de nombre a su programa de vigilancia informática." Teletipo. Washington, 9 de febrero de 2001. [8]. Agencia Efe. "EE.UU.-SEGURIDAD INFORMÁTICA / EE.UU. ultima proyecto para espiar comunicaciones en Internet." Teletipo. San Francisco, 12 de diciembre de 2001. [9]. Duncan Campbell, "Interception Capabilities 2000". Op. cit. [10]. Fredrik Laurin y Calle Froste, "Secret Swedish E-Mail Can Be Read by the U.S.A.". Svenska Dagbladet, 18 de noviembre de 1997. Citado por Duncan Campbell, "Interception..." Op. cit. [11]. Duncan Campbell, "Interception Capabilities 2000" Op. cit. [12]. Íbid. [13]. Joan Carles Ambrojo, "Sellado antiespías". CiberPaís. Número 20. Marzo de 2002. pp. 20-22. ======================================================================== El boletín ENIGMA es una publicación gratuita del Taller de Criptografía, y se rige por las normas de la licencia de Creative Commons "Reconocimiento-NoComercial-CompartirIgual". Se permite su libre copia, distribución y comunicación para fines no lucrativos, citando nombre y referencia. Para más información, véase la licencia Creative Commons en sus formas reducida y completa: http://creativecommons.org/licenses/by-nc-sa/2.5/es/deed.es http://creativecommons.org/licenses/by-nc-sa/2.5/es/legalcode.es PARA DARSE DE ALTA: envíe un mensaje a la dirección alta arroba cripto.es añadiendo las palabras alta_enigma en el asunto (subject). PARA DARSE DE BAJA, envíe un mensaje a la dirección baja arroba cripto.es añadiendo las palabras baja_enigma en el asunto (subject) Para comentarios a este boletín (dudas, preguntas, consultas, críticas, noticias, colaboraciones, etc.), estoy a su disposición en la dirección noticias arroba cripto.es Página del Boletín Enigma (incluyendo números atrasados): http://www.cripto.es/enigma.htm (c) Arturo Quirantes 2008. ======================================================================== -----BEGIN PGP SIGNATURE----- Version: PGP 6.5i iQA/AwUBR8rzbQ7Y43Xkw2u9EQIMZACg7WAu6N/K5aFgJLAz6IoGbfSkZiEAnjFx dxOKmSIwzhEpS5c221rUakWv =h65I -----END PGP SIGNATURE-----