Boletín ENIGMA - nº 65

30 de Noviembre de 2008

 


Boletín del Taller de Criptografía de Arturo Quirantes Sierra


Dirección original: http://www.cripto.es/enigma/boletin_enigma_65.htm


EDITORIAL

TEMAS DE ACTUALIDAD - Apología de PGP (o carta a un periodista)

TEMAS DE ACTUALIDAD - Hashing y búsquedas razonables

TEMAS DE ACTUALIDAD - Ataques WiFi (I): WEP

TEMAS DE ACTUALIDAD - Ataques WiFi (II): WPA
LIBERTAD VIGILADA - Lucha contra el crimen y espionaje
 


 

 EDITORIAL

 

Este boletín me ha salido con una claro sabor de actualidad. Si en otras ocasiones procuro combinar noticias modernas y antiguas, en esta ocasión la actualidad se ha abierto paso a patada limpia. Este mes se ha conocido, por ejemplo, una decisión de un tribunal norteamericano relativa al uso del hashing como herramienta forense, en la que se pregunta hasta qué punto puede considerarse una búsqueda razonable por parte de las fuerzas policiales. Al margen de su relevancia en nuestro sistema judicial, creo que es un tema interesante por sus implicaciones en el balance libertad-seguridad.

Otra noticia nos lleva a la detención de unos de los grandes jefes de la banda terrorista ETA, el conocido como Txeroki. Entre otras cosas, se ha filtrado la noticia de que dicho personaje usaba PGP para cifrar sus documentos. No es noticia que grupos terroristas usen cifrado para protegerse (la noticioso sería que no lo hiciesen), pero un artículo firmado este mes me obligó a redactar una respuesta, que incluyo en su totalidad en el presente boletín. Los lectores interesados podrán ampliar información en Kriptópolis, que abrió un hilo al respecto. Casualmente, el capítulo de Libertad Vigilada de este mes trata del uso de criptografía por parte de ETA. Que dicho este capítulo, el último que nos quedaba por reproducir en el Boletín ENIGMA, toque un tópico tan actual, puedo prometer y prometo que es fruto de la casualidad. A veces las cosas vienen así.

Tampoco podíamos dejar de hablar de un tema de candente actualidad: la vulnerabilidad de los protocolos de seguridad wireless. Si hace algún tiempo hablamos de los problemas de WEP, en esta ocasión nos hacemos eco de un reciente ataque revelado contra una versión de WPA. Y, ya puestos, echamos un vistazo a ambos protocolos, con lo que aprendemos un poco.

Finalmente, el último capítulo de Libertad Vigilada. Sólo nos queda el epílogo, que probablemente aparezca el mes que viene. ¿Y después, qué? No me gusta copiar por copiar, pero probablemente haya algún libro que nos resulte de interés. ¿Alguna idea? Mientras se me ocurre algo, aprovecho la oportunidad para agradecer al autor, Nacho García Mostazo, su autorización para reproducirlo aquí, y para enviarle un mensaje personal. Nacho, he perdido contacto y no sé donde estás, así que si me estás leyendo, ¿qué pasa con el jamón que me debes?

Antes de meternos en harina, un mensaje a todos vosotros. Un par de personas me han comentado que, al entrar en www.cripto.es, sus antivirus les avisan de un virus o troyano. He hablado con mi servicio de hosting y efectuado un barrido antivirus personalmente, y el resultado ha sido negativo. Si os sucede lo mismo os ruego me lo hagáis saber. Indicad nombre de troyano, tipo de antivirus, sistema operativo y navegador. Es posible que se trate de un falso positivo, pero si hemos aprendido aquí algo es a ser cautos y no caer en lo obvio.

Saludos y que aproveche la lectura.

 


 

  TEMAS DE ACTUALIDAD - Apología de PGP (o carta a un periodista)

 

[A mediados de noviembre de 2008, el etarra Txeroki era detenido por la policía francesa. Entre otras noticias, se hizo público que utilizaba el programa de cifrado PGP para proteger la información. Óscar de Otálora, del Diario Vasco, publicó el día 11 un artículo crítico con PGP y su creador. El día 12 le envié la carta que adjunto a continuación:]


Granada, 12 Noviembre 2008

Estimado Sr. de Otálora,

Me llamo Arturo Quirantes Sierra. Soy profesor de Física en la Universidad de Granada, y dirijo extra-académicamente una web sobre criptografía (www.cripto.es). Como aficionado a la cripto, he leído con interés su artículo “La muerte se escribe en PGP” (disponible en web en: http://www.diariovasco.com/20081111/politica/eta-cifra-mensajes-2008111 1.html). La he leído con interés, sí, pero también con algo de disgusto, debo reconocerlo. En su artículo, plantea usted la criptografía como un arma que permite a los criminales campar a sus anchas. Según ese mismo razonamiento, deberían prohibirse los cuchillos de cocina, ya que hay gente que los usa para matar a otra gente. También podríamos entregar copia de nuestras llaves de casa a la policía, porque lo mismo los criminales usan las cerraduras para impedir que alguien entre en su casa. O más aún, seguro que en el piso de los etarras encontraron papel higiénico, así que ¿por qué permitimos que el papel higiénico siga vendiéndose legalmente?

La táctica que usted usa -criminalizar algo porque puede ser usado por criminales- es muy antigua, y por desgracia eficaz. Pero no hay más que ver los usos que se dan hoy día a la criptografía (desde las conexiones seguras a páginas web, pasando por los teléfonos GSM o los sistemas de apertura de puertas a distancias) para reconocer que, si bien la criptografía puede ser usada mal, en general es una herramienta muy útil en todos los niveles.

El primero de tales niveles es la protección de nuestra propia privacidad. Si usted investiga un poco, encontrará mil y un ejemplos de interceptaciones de comunicaciones ilegales, irregulares o poco ... digamos ... restringidas. Precisamente PGP fue inventado a comienzos de los años 90 en un esfuerzo por mantener algo de criptografía en manos del público. En aquellos días, el gobierno norteamericano imponía fuertes restricciones a la exportación de cripto, y parecía que la propia criptografía civil iba a ser ilegalizada de un momento a otro (como estuvo cerca de suceder). Es en ese contexto, el de la lucha de los gobiernos por asegurarse comunicaciones fácilmente interceptables, en el que nació PGP, y no en el de la guerra fría, como incorrectamente afirma usted. Puede vd. leer sus propias palabras al respecto en http://www.pgpi.org/doc/whypgp/es/ .

Percibo, por su parte, cierta animadversión contra Zimmermann, el creador de PGP. Cuando afirma usted que que demandado y ganó, no parece recordar que, en realidad, la demanda no tenía base alguna. Se le culpaba de exportar el programa cuando a) muchas otras personas lo habían hecho antes (en alguna ocasión legalmente), y b) nunca hubo la menor evidencia en su contra.

En cuanto al párrafo:

“El creador del PGP, por contra, defiende un tipo de proyectos más cercanos al anarquismo o el liberalismo más exacerbado. En este sentido, en los escritos de Zimmermann se denuncian los intentos de la Administración Bush por controlar el mayor número de sistemas de comunicación entre ciudadanos. «Si la privacidad está fuera de la ley, sólo los que están fuera de la ley tendrán privacidad», resume el informático.”

no puedo estar más en desacuerdo. No tiene usted más que escarbar un poco en algunos de los proyectos de interceptación más polémicos (Echelon, la ley Patriot, las escuchas legalizadas por orden presidencial) para caer en la cuenta de que protegernos contra nuestro propio gobierno no es sólo tarea de paranoicos, sino que por el contrario constituye una labor de buen gobierno y autoprotección. Por otro lado, yo he participado en diversos proyectos legítimos que, por uno u otro motivo, debían permanecer confidenciales en su momento, y le aseguro que esa necesidad de protección es necesaria más allá de si es un “proyecto cercano al anarquismo o el liberalismo más exacerbado”, como usted afirma. Por desgracia, es muy fácil etiquetar alegremente a quienes queremos criticar que razonar sus motivaciones de modo desapasionado.

En otro orden de cosas, tomarla con PGP es absurdo, entre otras cosas porque los protocolos criptográficos están disponibles a cualquiera. Un informático con dos dedos de frente (e incluso con uno) puede tomar las instrucciones de esos algoritmos y convertirlos en líneas de código, muy fácilmente. Borremos PGP, y aún dispondremos de centenares de programas de encriptación para usarlos libremente.

También me gustaría expresarle mi convencimiento de que, incluso usando PGP, los mensajes cifrados pueden ser en ocasiones recuperados. No mediante el desciframiento directo. Pero la policía dispone de herramientas forenses muy poderosas, que exploran el disco duro en busca de información residual como archivos borrados (¿sabía usted que un archivo borrado realmente sigue en el disco duro y puede ser recuperado fácilmente?) o contraseñas guardadas en memoria caché, así como listas de diccionario y otros procedimientos sofisticados para intentar averiguar la clave. Se pueden insertar troyanos que capturen las contraseñas, o bien “olfatearlas” a distancia. No basta con PGP para proteger un mensaje en un ordenador, del mismo modo que una puerta blindada no basta para proteger una ventana que tiene una ventana abierta. Y usted, como periodista, debiera haberse informado mejor al respecto.

Finalmente, su comentario:

“Según un experto de las Fuerzas de Seguridad, para que el
empleo del PGP sea eficaz en una organización, es necesario que en algún nivel de la estructura exista una persona que controla todas las llaves. «Sin un administrador de las claves, es muy fácil que se pierdan documentos al olvidar una contraseña. Para que el método sea eficiente», continúa el experto, «el sistema tiene que tener una memoria única que controle todas las informaciones para evitar que una parte importante de la información se destruya».”

me resulta sencillamente increíble. Si hay algo que caracteriza PGP es su carácter descentralizado. No hace falta ninguna persona o autoridad central que cree o administre claves. Es cómodo, pero no imprescindible. Usted y yo podríamos crear nuestras claves, intercambiarlas y comunicarnos en modo seguro durante años. Yo lo hago. Y no necesito que nadie controle mis claves. De hecho, PGP incorpora un funcionalidad que permite, mediante una clave de descifrado adicional, descifrar mensajes incluso si el dueño no está disponible.

Resumiendo: ni PGP es invencible en un entorno real, ni es una herramienta imprescindible, ni es usado exclusivamente (ni siquiera aproximadamente) por los malos. Muy por el contrario, le recomiendo su uso, porque seguro que en más de una ocasión habrá necesitado disponer de comunicaciones y almacenamiento de datos confidencial y seguro.

Por lo demás, estoy a su disposición para cualquier aclaración o asesoramiento que vd. desee. Puede encontrarme en aquirantes@cripto.es, y en la web www.cripto.es

Cordialmente,

Arturo Quirantes Sierra

[Publicado anteriormente en Kriptópolis: http://www.kriptopolis.org/la-muerte-se-vende-como-cuchillos-de-cocina ]

 


 

 TEMAS DE ACTUALIDAD - Hashing y búsquedas razonables

 

En todas las películas y series norteamericanas donde aparecen policías o abogados, una de las cosas que aparecen son las órdenes de registro. Llamadas genéricamente "warrants", autorizan a la policía a registrar lugares, personas u objetos en busca de pruebas. Los seguidores de CSI están habituados a ver órdenes para ver zapatos, registrar dobladillos de pantalones o examinar ruedas de repuesto de automóviles. En principio exigir una orden para un zapato izquierdo nos parece algo demasiado específico (¿qué pasa si luego la mancha de sangre está en el zapato derecho).

Pero el engorro en especificar qué se quiere registrar, cómo y por qué motivo, evita que los abogados defensores puedan invalidar una búsqueda por ser demasiado amplia. Uno de los principios de la ley norteamericana consisten en exigir lo que se necesita para la investigación, y nada más. Viene impuesto nada menos que por la Constitución de los Estados Unidos, cuya Cuarta Enmienda protege a los ciudadanos contra registros no razonables ("unreasonable search"): "No se emitirán órdenes [warrants] salvo mediante causa probable ... describiendo particularmente el lugar que será registrado, y las personas o cosas que serán registradas".

Indudablemente, la Cuarta Enmienda se convierte en una limitación al trabajo de fiscales y policías, pero asimismo se convierte en una herramienta poderosa para la protección de los derechos y libertades individuales. Eso hace que, conforme avanza la tecnología y se complican las relaciones entre personas, se entablen batallas jurídicas apasionantes. ¿Una empresa, como entidad jurídica, es igual que una persona física a efectos de privacidad? ¿Se puede registrar la basura que ha tirado una persona? ¿Le pertenecen a una persona las huellas dactilares del vaso que ha tocado? ¿Se puede registrar una casa desde el exterior mediante medios no intrusivos, como examinar la radiación infrarroja (calor) que desprende, o con un radar?

La frontera es más difícil de establecer de lo que parece indicar el sentido común. Hay muchos procesos automáticos que difícilmente pueden considerarse registros o búsquedas; pero, por otro lado, ¿un registro se define por sus métodos, por sus resultados, o por el efecto obtenido? ¿Es registro una acción llevada a cabo fuera de la propiedad de una persona? Hasta 1967, los pinchazos telefónicos en los Estados Unidos se consideraban legales si no se invadía el domicilio del abonado; tuvo que ser el Tribunal Supremo el que dictaminara que una interceptación telefónica sí era un registro, y por tanto requería una orden judicial.

Puede uno imaginarse ejemplos actuales. Supongamos que usamos una cámara termográfica para medir el calor generado por una casa. Si lo hacemos desde el exterior, puede argumentarse que lo único que hacemos es recoger radiación infrarroja emitida por su dueño sin limitaciones. Pero si eso resulta una evidencia jurídica en un proceso judicial, la cosa se complica. Mi defendido, diría la defensa, nunca consintió que su calor fuese detectado, no fue informado de que se recogería en la calle, y estaba en su casa. Intenten ustedes resolver el intríngulis. Creo recordar que el Tribunal Supremo invalidó dicha búsqueda por violar la Cuarta Enmienda. Pero luego dijo que las fotografías que envía una persona para revelar pueden ser registradas por la policía sin necesidad de orden. Como digo, un laberinto jurídico.

Por supuesto, el boletín ENIGMA no se han convertido en un boletín de información jurídica. Si he sacado el tema a colación, es precisamente porque la frontera gris de la Cuarta Enmienda ha tocado un punto que ya hemos tratado desde el punto de vista técnico: las funciones hash.

Un hash es una función que toma un archivo o texto (M) y lo convierte en un "destilado" formado por unos cuantos bits. Es una forma cómoda de representar dicho archivo. Estamos acostumbrados a ver funciones hash dentro del esquema de la firma digital, ya que dicha firma no es más que el resultado de tomar un archivo, someterlo a una función hash y cifrar dicho hash con nuestra firma privada. Pero también sirve para identificar archivos. Si busco una imagen en Internet, me resultaría muy difícil. Digamos que quiero conocer el origen de una fotografía que una vez me pasaron. ¿Cómo describirla para que Google me la encuentre? Difícil, si se trata de una descripción verbal. Pero si en lugar de decir "una foto que vi una vez, que tenía flores blancas sobre un fondo de hieba, y un pequeño escarabajo a la derecha" indicamos el valor de su hash, el sistema puede buscar la foto cuyo valor de hash coincida con la nuestra. El hash vendría a ser algo así como nuestro número de DNI o de pasaporte.

Pueden imaginarse el valor que esto tiene para los que persiguen intercambios de música sin pagar, o sencillamente fotografías de contenido pederasta. Y aquí conectamos con el caso que nos ocupan. Recientemente, un tribunal norteamericano tuvo que dictaminar sobre si tomar un hash de un archivo constituye una búsqueda razonable o no. El caso tiene bastantes flecos interesantes, pero permítanme que nos centremos tan sólo en la parte criptográfica.

Antes, los antecedentes. El acusado, al que llamaremos Antonio (los nombres reales son públicos, pero no quiero contribuir a airearlos), estaba de alquiler, y según parece no pagaba la renta, así que su casero Carlos contrata a Manuel para que vacíe la vivienda. Manuel, entre otras cosas, encuentra el ordenador de Antonio y se lo da a su amigo Pepe. Éste se dedicó a trastear en el ordenador y, entre otras cosas, descubrió dos videos con pornografía sexual explícita entre menores. Asustado, borró los vídeos, y unos días después se dirigió a la policía y les entregó el ordenador.

En este punto, la historia ya está bastante liada. Hay que tener en cuenta si el casero estuvo dentro de la ley al coger las posesiones del alquilado, quien por su parte denunció el hurto de su ordenador. En cualquier caso, el detective Grissom (lo siento, no he podido resistirme a usar ese alias) toma el ordenador y lleva a cabo un análisis forense. Los pasos que siguió pueden ser de mucho interés para aquellos que se han preguntado cómo se puede, en un caso de este tipo, demostrar que la policía no ha alterado datos.

Lo primero que hizo Grissom es calcular un valor hash (usando el algoritmo MD5) de todo el disco duro. De este modo, más tarde se podrá detectar si ha sido cambiado siquiera un bit del disco. Dicho cálculo se efectuó mediante un programa en modo de sólo lectura (para evitar escrituras accidentales en el disco). A continuación, hizo un barrido antivirus, y después de ello creó una imagen, es decir, una copia exacta del disco duro. Usando los datos de la imagen, Grissom se dedicó a calcular valores hash de todos los archivos del disco duro, y más tarde los comparó con los valores hash existentes en una base de datos del National Center for Missing and Exploited Children. De ese modo, se puede verificar si algún archivo del disco duro es sospechoso de ser pornográfico sin siquiera ver dicho archivo. Según la denuncia, Grissom obtuvo 171 videos sospechosos, que tras una inspección ocular mostraron múltiples imágenes de pornografía infantil. Finalmente, examinó los registros del ordenador en busca de información sobre páginas web visitadas.

El lector debe fijarse en el uso de los valores hash como identificadores de archivo. El investigador no accedió directamente a los archivos sospechosos hasta que obtuvo indicios razonables basados en la comparación de valores hash con los de otros archivos. Hasta que obtuvo ese indicio, nadie visualizó los videos, y ni siquiera se había alterado un solo bit de la propiedad del acusado. Por otro lado, esos datos podían ser usados para incriminarles, y el proceso de obtención de las pruebas fue cuando menos cuestionable. Por ello, una de las solicitudes de la defensa fue la supresión del ordenador como prueba. Argumentaban violación de la Cuarta Enmienda.

En la resolución judicial, se indicaba que, en efecto, un registro sin orden judicial es inaceptable, salvo casos muy concretos. Ello no obstante, se supone que cuando no hay expectativas razonables de privacidad la Cuarta Enmienda no te protege. Es decir, si un oficial de policía efectúa una búsqueda que no comprometa la privacidad del interesado, dicha búsqueda no está afectada por la Enmienda. Por poner un ejemplo tonto, si una persona está hablando en público por teléfono a grandes gritos, y el altavoz permite a cualquier persona escuchar las respuestas a varios metros de distancia, no debe quejarse de violación de la privacidad.

La acusación decía que se daba el caso de "no expectativa razonable de la privacidad". Pepe ya había accedido al ordenador de Antonio, y el posterior registro policial del ordenador se llevó a cabo en condiciones mucho más restrictivas (doctrina de registro privado, en el que no se aplica la Enmienda). De hecho, Grissom ni siquiera "accedió al ordenador", sino que se limitó a calcular valores hash. Resulta algo cuestionable, a menos de que por "acceso" quiera referirse a exámenes audiovisuales o alteraciones de datos. Sólo tras comparar los hashes con valores de videos pornográficos ya conocidos resultó legal el registro (examen visual) del contenido del ordenador.

Por contra, la defensa argumentaba que el hecho de obtener valores hash constituyó un registro más intrusivo que el examen visual de Pepe, y que la protección de la Cuarta Enmienda debería aplicarse sobre sus intereses de privacidad en el ordenador. La protección, en este caso, era un tema nuevo para ese tribunal, por lo que se dedicó a estudiar el tema en profundidad. El tribunal estimó adecuado que Pepe se chivase a la policía, ya que la interpretación legal de la Cuarta Enmienda permite que un tercero a quien el acusado haya comunicado datos se los pase a la policía. Según esto, si los investigadores policiales no registran el ordenador de forma más invasiva que Pepe, los resultados obtenidos no se consideran registro irrazonable.

Este es un punto importante: ¿fue el examen de Grissom más profundo, o menos, que el de Pepe? O dicho en otras palabras: ¿es más intrusivo un examen visual de un video, o una compilación de valores hash? La acusación afirmó que, puesto que los agentes no miraron ningún archivo, no hubo registro. El tribunal rechaza esta argumentación y decreta que la obtención de hashes sin orden judicial fue una violación de la Cuarta Enmienda"

"Para obtener los valores hash del ordenador de [Antonio], el gobierno [la parte acusadora] retiró físicamente el disco duro del ordenador ... o aplicó el programa EnCase a cada compartimento, disco, archivo, carpeta y bit. Al someter al todo el ordenador a un análisis de valores hash, cada archivo, historia de internet, fotografía y "lista de colegas" se hicieron disponibles para revisión por parte del Gobierno. Un examen tal constituye un registro"

El tribunal razona que la búsqueda de Pepe fue muy diferente que la de Grissom, y por tanto no se puede aplicar la doctrina de "Pepe lo hizo primero". Que Antonio perdiese las expectativas de privacidad con respecto a los dos videos visualizados por Pepe no significa que los perdiese con respecto al resto de sus archivos. La búsqueda con valores hash no cambian la cuestión, ya que permanece en pie el hecho de que los investigadores de la acusación obtuvieron con ella mucha más información que la proporcionada por Pepe.

Con todo, el modo de argumentar es algo extraño. Se cita un precedente, según el cual no es legítimo examinar todos los disquetes o CDs de la casa de un sospechoso sólo porque en uno de ellos un particular hubiese encontrado información sospechosa. El argumento de la acusación de que el disco duro es un sólo disco no se aplica, dice el juez, porque un disco duro está compuesto de diversas placas metálicas denomimadas "platters" que. aunque funcionalmente funcionan como un solo disco. pueden considerarse como "contenedores de datos" individuales, y por tanto, entidades físicas que pueden considerarse como si fuesen
disquetes separados.

Incluso el examen visual de los videos sospechosos, efectuado después de la comparación de valores hash, se considera según el juez protegido por la Cuarta Enmienda, y por lo tanto necesitado de orden judicial. Su conclusión es tajante: "Los funcionarios policiales, sin exigencia y sin autorización, llevaron a cabo una investigación no imitada, sin orden judicial del ordenador de una persona, a pesar del hecho de que una orden podía haberse obtenido con facilidad"

De todos modos, Antonio no debe descorchar el cava. Aunque no pueda usarse la evidencia obtenida del su ordenador, no lo tiene nada fácil. La policía también hizo sus deberes a la antigua usanza e interrogó al sospechoso en su casa, y Antonio terminó confesando que fue él quien introdujo esos videos en su ordenador. Su abogado intentó invalidar la confesión, pero el juez estimó que la hizo de modo voluntario y sin coerción, así que el proceso judicial continúa. Entre su declaración y el testimonio de testigos, dudo que Antonio salga airoso del caso.

La decisión de que los datos obtenidos del ordenador no sean admitidos como prueba van más allá del interés en situaciones similares. Como método de investigación legal, el análisis mediante comparación de valores hash se considera en iguales términos que el examen visual. Esto me parece adecuado, ya que permitiría obtener pruebas, sin orden judicial, que podrían condenar a un acusado o cuando menos influir fuertemente en un proceso. El cálculo de valores hash no puede apelar a su carácter no intrusivo para eximirse de protecciones tipo Cuarta Enmienda. Un valor hash puede ser usado para determinar el carácter legal o ilegal de un archivo (no de forma perfecta, pero puede ayudar en ocasiones), y por tanto un acusado debería ester protegido mediante las mismas salvaguardia legales que se otorgan a registros domiciliarios o interceptaciones telefónicas.

Con la proliferación del tráfico en Internet, el uso de funciones hash será cada vez más extendido, y no sólo en investigaciones de tipo penal. Ciertamente, se planteará ahora la conveniencia de que la policía obtenga permiso judicial para obtener valores hash, y no sólo en casos como el visto aquí, sino también para examinar material audiovisual de tipo pederasta que circule o se pueda intercambiar por Internet. Las investigaciones judiciales serán más difíciles a partir de ahora, pero a cambio quedarán salvaguardados nuestros derechos de privacidad.

Tal vez usted crea que no le concierne porque no tiene videos porno en casa. ¿Pero cómo cree usted que la industria audiovisual intenta controlar la piratería informática? Si una sociedad tipo SGAE penetra en las redes p2p y comienza a compilar listas de valores hash, podrá determinar quién se está descargando tal o cual video. Con tal información (que un usuario legítimo de p2p usa para localizar el archivo de su interés), pueden dirigirse al proveedor de servicios para que nos amenace con cortarnos la conexión, o incluso iniciar un procedimiento legal. Ya hay diversas iniciativas, o intentos, para desconectar a los usuarios que se descargen material no autorizado (la última en Francia). ¿Cómo podrá llevarse a cabo sin órdenes judiciales? Repita conmigo: funciones hash.

 


 

 TEMAS DE ACTUALIDAD - Ataques WiFi (I): WEP

 

En el boletín ENIGMA nº 52, mencionamos los últimos ataques contra el sistema de encriptación WEP, que protege (es un decir) las comunicaciones Wi-Fi de los router inalámbricos tan de moda hoy día. La solución, según todos los expertos, consistía en pasarnos al mucho más seguro sistema WPA. Sin embargo, incluso eso vamos a tener que replantearnos ¿El motivo? Parece que hasta el poderoso WPA está sucumbiendo a los ataques criptoanalíticos. Vamos a describir dicho ataque, y en el proceso aprovecharemos para arrojar un poco de luz sobre el modo en que funcionan tanto WEP como WPA. Por supuesto, evitaremos los escollos más engorrosos.

Antes, una breve introducción. La familia de normas técnicas para comunicaciones inalámbricas reciben el nombre genérico de estándar IEEE 802.11. En un principio, el acceso estaba protegido mediante el estándar Wireless Equivalent Privacy (WEP). Básicamente, WEP utilizaba dos algoritmos: RC4 para el cifrado y CRC-32 (Código de Redundancia Cíclica) para asegurar la integridad del mensaje. Usar CRC-32 permite, en teoría, detectar si se ha alterado el flujo de datos. Por desgracia, el carácter lineal de CRC-32 y el modo en que está implementado en WEP permite efectuar ataques activos, es decir, alterar bits del mensaje cifrado y luego modificar el valor de CRC-32. De esta forma se puede jugar con el mensaje transmitido sin que se detecte la alteración.

Centrémonos ahora en el cifrado en sí. RC4 es una cifra de flujo (Stream Cipher) que, a partir de una clave K, genera una corriente de números pseudoaleatorios a la que llamaremos "flujo pseudo aleatorio". Dicho flujo se suma (XOR) con el texto llano para dar texto cifrado.

Uno de los problemas de RC4 es que, si sabemos algunos bits de la clave K, es relativamente fácil obtener los otros. Recalco lo de "relativamente fácil" en el sentido de que puede no ser fácil en absoluto. Dependiendo de la cantidad de clave que se conozca, y de lo listo que sea uno, se pueden montar ataques para averiguar K, o cuando menos, para descartar las claves menos probables.

Segundo problema: si dos mensajes se cifran con la misma porción del flujo de clave, es un juego de niños obtener en texto llano. Es, por tanto, importante que dicho flujo no se repita. El problema es que, en una red inalámbrica, todos los intercomunicadores usan la misma clave K ("clave raíz"). Puede que no sea un problema en una instalación casera con un solo ordenador, pero si tenemos más de uno aparece el problema; y no les digo nada en un entorno corporativo.

Para su uso en WEP, el problema se multiplica, ya que cada paquete de datos ha de cifrarse de modo independiente. Para ello, el emisor envía un paquete de datos que consta de un vector de inicialización (IV) y la clave en sí (K). De ese modo el paquete compuesto IV/K funciona como clave para cada paquete de datos. El vector de inicialización IV tiene una longitud de 24 bits. En lo que respecta a la clave K, recordemos que cuando se desarrolló WEP había restricciones en EEUU a la exportación de material criptográfico, de modo que RC4 tenía dos sabores: el casero (104 bits) y el internacional (40 bits). Eso nos da claves compuestas de 64 y 128 bits, respectivamente.

Un punto a tener en cuenta es que RC4 no dispone de capacidad para generar vectores de inicialización, de modo que era el algoritmo WEP el que los producía. El esquema de funcionamiento es el siguiente. El emisor toma la clave compuesta IV/K (vector de inicialización mas clave) y lo usa con el algoritmo RC4. El flujo pseudoaleatorio se suma (XOR) al texto llano para dar el texto cifrado. Dicho texto, junto con el IV, se transmite por el aire. En el otro extremo, el receptor toma el IV que ha recibido, lo junto con la clave K que ya poseía, y reconstruyeel flujo pseudoaleatorio, hace una suma XOR con el texto cifrado y obtiene de nuevo el flujo llano.

Es decir, WEP no es más que RC4 con un añadido (el IV) para poder cifrar cada paquete por separado. Y aquí viene la parte que pone los pelos de punta. Ambas partes conocen la clave secreta K, y no se la dan a nadie. Sin embargo, durante la transmisión del texto cifrado, también ha de enviarse el vector de inicialización. !IV se envía en llano, sin cifrar! Esto significa que le estamos dando al adversario 24 bits de la clave compuesta. Es como si el director del banco le dijese al cliente que acaba de salir de la sucursal algo así como "!eh, señor López!, se me olvidó decirle que la primera cifra del PIN de su tarjeta es el tres." Que levante la mano quien no desearía volver y meterle la tarjeta en el gaznate al bocazas. Puesto lo mismo. Incluso en la versión doméstica, eso significa reducir de un plumazo la seguridad a la de una clave de 104 bits. Sigue siendo mucha seguridad, pero alguien que, de entrada, te reduce las claves posibles en un factor 2^24 no parece tener mucha idea del asunto.

El asunto es peor de lo que nos imaginamos. Un IV de 24 bits significa que hay tan sólo 2^24 posibles valores para el IV. Si decimos que 2^24 = 16.777.216, suena mucho. Pero imaginemos que cada paquete cifrado tenga una longitud de 1 kilobyte. Una red transmitiendo a 11 Mbs agotaría todos los posibles IV en menos de cuatro horas. Para rematar la
faena, algunas tarjetas wifi usan los IV en forma secuencial: toman el primer IV como cero cuando la tarjeta se resetea, y luego va incrementando los IV en valores de uno. Como golpe final, el propio estándar 802.11 se limita a afirmar que cambiar el IV de un paquete a otro !es algo opcional! Si en este punto se pregunta usted qué utilidad tienen los IV en la seguridad, ya somos dos.

La debilidad de WEP en lo que toca a los IV permite diversos tipos de ataques pasivos, en los que el atacante se limita a "esnifar" paquetes de datos. Cuando suma (XOR) dos de esos paquetes que comparten IV, el resultado es igual que el de hacer XOR con los dos textos llanos correspondientes, lo que da información sobre dichos textos. El tipo de archivos, y el mismo carácter del tráfico por IP, hace que dicho tráfico sea bastante predecible. Y no olvidemos que el IV forma parte de la clave usada por RC4, de modo que conocerlos nos permite extraer información sobre el resto de la clave.

Los ataques contra WEP se centraron, por supuesto, en el carácter público de los IV. Se transmiten sin cifrar, así que no hay más que poner la oreja. Al mismo tiempo, podemos intentar imaginarnos los primeros bytes en texto llano de los paquetes transmitidos, ya que son hasta cierto punto predecibles. Los primeros ataques requerían una gran cantidad de paquetes (unos cinco millones), pero el personal se fue espabilando muy pronto. En 2004, una persona con el seudónimo Korek publicó en un foro de Internet un conjunto de ataques criptoanalíticos, que tenían probabilidades de éxito de entre el 5% y el 14%, y que estaban basados en diversas correlaciones que encontró entre los primeros L bits de la clave RC4 y los primeros bytes del flujo pseudoaleatorio generado. Otro nuevo ataque, de 2007 ("WEP, inseguridad inalámbrica", Boletín ENIGMA nº 52) solamente necesitaba unos 50.000 paquetes de datos para tener un 50% de probabilidades de éxito. Ya estamos hablando de apenas unos minutos en una red típica, y de escasos segundos de CPU para computación. Y mejor lo dejamos aquí, porque dan ganas de llorar. Baste decir que, en la actualidad, existen paquetes informáticos ("WEP Cracker") que efectúan esta labor de modo automático, sin que el usuario tenga que saber nada de criptoanálisis.

Queda claro que WEP queda descartado cuando mencionamos las palabras "seguridad inalámbrica". Según Bruce Schneier, muchos productos criptográficos inútiles han sido implementados por gente que leía su libro Applied Cryptography. En este caso, bien parece que WEP haya sido diseñado por gente que no se leía ni la página de crucigramas. El único motivo por el que se usa todavía es por inercia: las telecos no se quieren complicar la vida, y los usuarios ni saben del tema ni les preocupa. Por supuesto, los lectores del Boletín ENIGMA van en saco aparte.

 


 

TEMAS DE ACTUALIDAD - Ataques WiFi (II): WPA

 

Vista la forma en que WEP hacía aguas, se creó un grupo trabajo para resolver el fallo. El problema que apareció fue el común a muchos otros casos en los que hay que mejorar algo. Y el problema es: ¿creamos algo nuevo, o bien mejoramos algo antiguo? Ambas soluciones tienen sus peros. Mejorar algo antiguo es como aplicar un parche: a veces va bien, a veces mal, en ocasiones es peor el remedio que la enfermedad. En cuanto a crear algo nuevo, hay que contar con que no siempre salen las cosas bien a la primera, lo que significa mucho tiempo para comprobaciones y verificaciones, y mientras tanto ¿qué hacen los usuarios?

El grupo de trabajo adoptó ambas soluciones. Mientras por un lado se preparaba un sistema nuevo, por otro se adaptaba el ya existente y se mejoraba. Esto último permite que los sistemas que no puedan sustituirse se puedan al menos mejorar. Pues manos a la obra, dijeron, y desarrollaro un "parche" que permitía solventar los problemas derivados de un incorrecto uso de los IV. A dicha solución la llamaron Protocolo de Identidad Temporal de Clave, o TKIP (Temporal Key Identity Protocol). El protocolo TKIP, unido al viejo algoritmo RC4, constituyó un nuev sistema llamado WPA, o Acceso Protegido Wi-Fi (Wi-Fi Protected Access).

Paralelamente a WPA, que podemos considerar como un sistema de migración temporal ("legacy"), se desarrolló un segundo sistema en el que se cerraban diversos agujeros de seguridad. En lugar del cifrado en flujo RC4, decidieron sustituirlo por AES, auténtica "artillería pesada" criptográfica. Para evitar los problemas de integridad debidos a CRC-32, se decidió utilizar AES en el modo de encadenamiento conocido como CBC, en el que unos bloques cifrados depende de los bloques anteriores (se recomienda refrescar la memoria con el artículo "Encadenando bloques", del Boletín ENIGMA 64). La combinación de AES y el encadenamiento CBC (que recibe aquí el nombre de protocolo CCMP) fortalece la seguridad del sistema hasta cotas estratosféricas. Ahora sí que estamos hablando en serio.

Por desgracia, la necesidad de incluir los "sistemas legado" para asegurar la compatibilidad con las tarjetas antiguas hizo que el protocolo TKIP siguiera funcionando. Ahora tenemos dos soluciones: WPA y WPA2. La diferencia estriba en que WPA solamente permite el uso "legado" (RC4 y TKIP), en tanto que WPA-2 permite ambas soluciones (RC4+TKIP y AES en modo CCMP, a elección).

Y decimos "por desgracia", porque este mes se ha publicado un ataque contra WPA. Bajo el título "Ataques prácticos contra WEP y WPA", los investigadores Martin Beck y Eris Lewis, de las universidades técnicas de Dresde y Darmstadt, arremeten contra el sistema TKIP. Este protocolo es una versión mejorada del esquema de claves de WEP. Incluye una función para "mezclar" la clave K y el vector de inicialización IV. El código de reduncancia CRC-32, usado anteriormente para verificar la integridad del mensaje, es complementado por un comprobador de integridad (MIC, Message Integrity Check) llamado MICHAEL, de 64 bits. No es más que un parche para WEP, pero de ese modo los sistemas antiguos pueden ser mejorados mediante una actualización de software o de firmware.

Beck y Lewis aprovecharon algunas rendijas en el sistema para abrirse camino. La primera grieta es una ingeniosa táctica llamada "ataque chopchop", que ya usaron para WEP. Imaginemos un paquete de datos cifrado, que lleva un "checksum" o valor de CRC-32 para asegurar la integridad del paquete. En el chopchop, el atacante toma el paquete, retira el último byte (llamémoslo R), lo sustituye por otro que ha creado y calcula la "checksum", esto es, el valor correspondiente al paquete con el nuevo byte. A continuación, envía el nuevo paquete al punto de acceso, y comprueba si éste lo acepta. Si es así, el valor de R que ha creado es el correcto; si no, prueba con otro R.

Es algo así como preguntar al punto de acceso "¿es este el byte correcto?" Si la respuesta es afirmativa, ya sabemos cuál es el último byte del paquete. Y como no hay ningún control por parte del punto de acceso sobre cuántos paquetes son rechazados, el atacante puede seguir hasta encontrar con el valor de R que "cuela".

El problema sería análogo al de un ladrón que intenta sacar dinero del cajero con tarjeta ajena. Si hubiera una forma fácil de probar las diez mil combinaciones, no hay más que darle al botón y esperar. Para evitarlo, los cajeros automáticos imponen una espera entre un intento y otro, y se bloquea tras tres intentos equivocados. Para evitarlo, el algoritmo Michael (que sustituye al CRC-32) comprueba si hay dos "checksum" erróneas en un intervalo de sesenta segundos. Si eso sucede, el punto de acceso proceede a resetear el sistema durante un minuto y luego solicita un nuevo intercambio de claves para todos los clientes.

Aun así, hay ocasiones en las que se puede lanzar un ataque chopchop. Eso se debe a que el checksum generado por Michael se incluye en el paquete que, a su vez, es sometido al checksum de WEP. Esto permite montar un chopchop sin que Michael se entere.

Las condiciones son estas: supondremos que se utiliza el protocolo TKIP; la dirección IP es, hasta cierto punto, conocida (algo así como 150.168.0.XX); el sistema TKIP utiliza un intervalo de cambio de claves elevado (digamos una hora); y la red soporta el llamado QoS (Quality of Service), que permite que permite que los datos viajen por hasta ocho canales distintos.

Lo primero que hacemos es esnifar los paquetes hasta encontrar uno de tipo ARP. Los paquetes ARP (Address Resolution Protocol), responsables de asociar una dirección IP con una tarjeta Ethernet (MAC), son fáciles de identificar por su longitud. En un paquete ARP se conocen todos los datos salvo el último byte de la dirección IP (la dirección ethernet es conocida ya que se envía sin cifrar) . Cuando está cifrado, desconocemos otros 12 bytes: los del checksum Michael, que llamaremos MIC (Message Integrity Check, 8 bytes), y los del checksum de WEP, que llamaremos ICV (4 bytes).

MIC y ICV forman los últimos 12 bytes del texto llano. ¿Cómo "chochopearlos" sin que salten las alarmas? TKIP tiene dos contramedidas contra los ataques chopchop. En primer lugar, como hemos visto antes, dos valores MIC incorrectos en menos de un minuto dan lugar a un reseteo del sistema, seguido del envío de nuevas claves. En segundo lugar, cada paquete lleva un contador numérico. Si el sistema tiene su contador en el número 1540, y recibe un paquete con un número inferior (digamos, 1538), el paquete se descarta.

La solución es sencilla: hagamos el ataque por un canal distinto a aquel por el que se recibió el paquete. Escogeremos para ello un canal con poco tráfico, de modo que lo más probable es que tenga su contador a un nivel bajo, más bajo que el número del paquete. De ese modo, la segunda alerta anti-chopchop no se activa. En cuanto a la primera, basta con espaciar los ataques más de un minuto. Así, en poco más de 12 minutos, habremos averiguados los 12 bytes desconocidos. Una vez conocido el valor de MIC, podemos usar el algoritmo MICHAEL para descubrir cuál ha sido la clave que ha usado.

En este punto, el atacante ha conseguido no sólo recuperar el MIC, sino que también conoce el flujo pseudoaleatorio. Con él, podrá enviar paquetes falsos al sistema, con la salvedad de que hay que usar un canal de poco tráfico (es decir, cuyo contador sea más bajo que el del paquete falso). Como tenemos ocho canales, alguno habrá que se pueda usar. No es difícil, ya que en la mayoría de las redes todo el tráfico se envía por el canal 0, de forma que tenemos los canales 1-7 a nuestra disposición. El resultado no es espectacular, ya que solamente estamosatacando un pequeño paquete de datos llamado ARP. Pero pueden montarse ataques con paquetes ARP falsificados ("ARP poisoning"), cuyo resultado sería el establecimiento de un canal del atacante hasta el cliente.

Los autores de este ataque sugieren, como contramedida, reducir el intervalo tras el cual el protocolo TKIP cambia las claves, hasta uno o dos minutos como mucho. Afirman que el problema puede fijarse sin mayores complicaciones. Pero su mejor receta es la más obvia: olvidémonos de TKIP y usemos la versión fuerte, la que usa AES.

Por desgracia, buena parte de la prensa entendió mal el ataque de Becky Lewis. Algunos decían que eran las claves de cifrado (las que llamamos K anteriormente) las que habían sido recuperadas. Había incluso quien se mesaba los cabellos, desesperado porque el supuestamente indescifrable protocolo WPA había saltado por los aires. No hay que sacar las cosas de quicio. Se trata de un ataque parcial contra el sistema TKIP, que forma parte de WPA, pero sólo eso. Eso sí, habrá que cambiar de WPA a WPA2. Y confiar en que resista futuros ataques.

 


 

LIBERTAD VIGILADA - Lucha contra el crimen y espionaje

 

[Extraído del libro "Libertad Vigilada", de Nacho García Mostazo, con permiso del autor]

Segunda parte, capítulo 24:

Los terroristas saben perfectamente que sus comunicaciones son vulnerables, por eso utilizan métodos de cifrado, cambian las tarjetas a los teléfonos móviles, llaman desde cabinas telefónicas, hablan en clave o usan a personas como correos para transmitir la información. Ya hemos visto que tienen su propia organización de inteligencia, uno de cuyos trabajos consiste en analizar diariamente la prensa para detectar posibles objetivos, aunque también seleccionan otras noticias que pueden afectar al funcionamiento criminal de su organización. Por supuesto, en ETA tomaron buena nota de la autorización española a los espías norteamericanos para actuar en territorio nacional. Asimismo, también leyeron el reportaje publicado por Gordon Thomas en El Mundo, cuando desveló que Estados Unidos espía a ETA con un satélite. Sea o no cierta, la noticia seguramente hizo un flaco favor a la lucha antiterrorista. Es muy posible que los etarras también hayan leído informes y documentos sobre "Echelon" y sobre los últimos métodos policiales para acorralar a los criminales interceptando sus comunicaciones. De no ser así, no se entenderían las medidas que tomaron en 2001 para protegerse.

Según publicó José Luis Barbería en el diario El País en diciembre de 2001, "el 11 de septiembre le ha pillado a ETA huyendo de Internet. A estas alturas -decía el reportaje- ya tiene pruebas de que su programa de comunicación interna ha sido agujereado por los servicios de inteligencia españoles y extranjeros. El sistema, en apariencia perfecto, que durante años le ha garantizado el secreto absoluto y la simultaneidad de las comunicaciones, es cada vez más un espacio vigilado, una trampa, un terreno dúctil, blando, arenoso, que guarda las huellas de su paso y marca el rastro. Con la ayuda de las empresas matrices, la Policía está descifrando sus claves y códigos en la Red y, roto el blindaje, el sistema ETA-Internet se asemeja cada vez más a un queso gruyère. Al igual que Osama ben Laden, que, por lo visto, recurre últimamente al secular sistema de los mensajeros de confianza, ETA está volviendo a los zulos y buzones de siempre. No se fía de las nuevas tecnologías. Para ella, Internet ha dejado de ser El Dorado de finales del siglo pasado, y tampoco la telefonía móvil, tan práctica, le ofrece ya las garantías de años atrás". [1]

Así pues, ETA es consciente de que se están aplicando métodos mucho más potentes para adelantarse a sus actos criminales. En la lucha antiterrorista se ha dado un paso de gigante, ya que la Policía, antes, perseguía a los terroristas una vez que habían cometido sus crímenes, mientras que ahora se trabaja con métodos preventivos para tratar de anticiparse a sus acciones. En ese contexto, parece muy probable que se esté utilizando el entramado de espionaje de señales del Ejército norteamericano contra ETA. También es posible que las autoridades españolas estén usando otros mecanismos similares, aunque quizá menos sofisticados, con el mismo fin. En cuanto a las medidas aprobadas por las instituciones europeas sobre la intervención de las comunicaciones, parece obvio que en España se han adoptado inmediatamente para poderlas aplicar en la persecución contra ETA. Aunque es cierto que esta tecnología no es perfecta, como se demostró sobradamente el 11-S, y que el necesario "factor humano" puede desbaratar su capacidad, también es lógico pensar que, si está ahí, es porque funciona.

Fuentes del Ministerio de Defensa declinaron hacer comentarios a propósito de "Echelon" cuando solicitamos una entrevista con el ministro Federico Trillo-Figueroa para documentar este libro. Oficialmente, este asunto se desconoce, dijeron. La entrevista fue denegada. Sin embargo, el titular de la cartera de Defensa acudió el 14 de febrero de 2002 al programa "El Círculo a Primera Hora" de Telemadrid, la televisión pública de la Comunidad de Madrid. Los entrevistadores le preguntaron sobre la cooperación estadounidense en materia antiterrorista y, concretamente, por la cesión de "datos" obtenidos por la comunidad de inteligencia norteamericana. El ministro dijo que tenía que ser "obviamente muy discreto" en este terreno, pero afirmó que "no se trata de que los americanos nos den los datos. Se trata -dijo- de que ponga a nuestra disposición la capacidad tecnológica que ellos tienen para determinadas acciones. Y eso ya lo están haciendo. Desde hace unos meses, lo están haciendo", explicó, para concluir calificando de "enorme" y "sin precedentes" el avance en esta materia. [2]


[1]. José Luis Barbería, "La red financiera del terrorismo vasco". El País. Domingo 2 de diciembre de 2001.

[2]. El Círculo a Primera Hora. Telemadrid. Emisión del 14 de febrero de 2002. Palabras textuales de Federico Trillo-Figueroa tomadas del vídeo facilitado por el Departamento de Prensa de Telemadrid, S.A.

 



El boletín ENIGMA es una publicación gratuita del Taller de Criptografía, y se rige por las normas de la licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual. Se permite su libre copia, distribución y comunicación para fines no lucrativos, citando nombre y referencia.

Para más información, véase la licencia Creative Commons en sus formas reducida y completa:
http://www.cripto.es/licencia/deed.es.htm
http://creativecommons.org/licenses/by-nc-sa/2.5/es/legalcode.es

PARA DARSE DE ALTA: envíe un mensaje a la dirección alta arroba cripto.es añadiendo las palabras alta_enigma en el asunto (subject).

PARA DARSE DE BAJA, envíe un mensaje a la dirección baja arroba cripto.es añadiendo las palabras baja_enigma en el asunto (subject)

Para comentarios a este boletín (dudas, preguntas, consultas, críticas, noticias, colaboraciones, etc.), estoy a su disposición en la dirección noticias arroba cripto.es

Página del Boletín Enigma (incluyendo números atrasados): http://www.cripto.es/enigma.htm

(c) Arturo Quirantes 2009

 


Vuelta a la Página principal del Boletín ENIGMA