domingo, 25 de octubre de 2015

FINFISHER: ESPIONAJE ESPAÑOL



  
     Ya sabemos que el Estado español vigila a sus ciudadanos, no descubrimos nada nuevo, como el reciente escándalo de la empresa italiana HackingTeam, que arrojó a la luz que el Estado español contrató sus servicios.
   Ahora es el turno de FinFisher, spyware utilizado por el gobierno en sus laboratorios de inteligencia, que aunque ya se daban datos en el 2011, a día de hoy ha cobrado más fuerza, y ya son 32 países sospechosos de usarlo, incluido el estado español. Otro dato importante es que parece ser que terceros países están colaborando, es decir, se generan redes entre los estados, cediendo datos obtenidos. Evidentemente, todo en la sombra.
   El programa cuesta 3 millones de euros y pertenece a Gamma Group International, empresa especializada en vigilancia y espionaje informático. Su funcionamiento pasa por infectar al objetivo a través de un archivo malicioso (troyano), que puede tener la apariencia de actualización de seguridad, complemento de navegador… 
   Los objetivos no se limitan a computadoras, también afecta a teléfonos. Una vez infectado el spyware recolecta información del equipo (conversaciones, textos, webcam, descarga de datos, correos…). Es decir, el/la operador/a de FinFisher, tiene acceso remoto al objetivo, por lo que puede hacer prácticamente lo que quiera en él.
   Recordemos que ya no se buscan personas, sino que el espionaje es una herramienta de control total de la población. Como ya se desprendía de los correos extraídos de las bases de datos de HackedTeam, lo que necesitan es un sistema tecnológico que no siga a un individuo, si no que proporcione datos de forma masiva.
   No nos sorprendamos. En los últimos años el estado español ha invertido tiempo y dinero en avanzar en este tipo de sistemas.
Por ello debemos ser precavidxs, mantenernos segurxs y aprender a usar las herramientas existentes con el fin de preservar nuestra privacidad y ponérselo difícil. No importa para qué utilicemos tanto el ordenador como el teléfono, se trata de generar una cultura de la seguridad, se trata de establecer medidas que frenen sus avances. Existe multitud de documentación en la red de como hacerlo.

Fuente: Elbinario.net

 

martes, 20 de octubre de 2015

DEJA CIEGO A GOOLGE II: GEOLOCALIZACIÓN



 Alguien dijo una vez que los moviles son sistemas de espionaje que te permiten hacer llamadas.

   Cada vez que nos adentramos en las tripas del funcionamiento de los dispositivos, a raíz de las declaraciones de Edward Snowden, nos damos cuenta de que esa frase es la más pura verdad.

Un recorrido por nuestra privacidad

     Google sabe que muchos de sus servicios pasan por combinarse con tu ubicación, y para saberla simplemente tienes que haber utilizado el GPS alguna vez, activados los servicios de localización, conectada a alguna wifi pública, o simplemente mediante la Ubicación en alguna de las miles de redes sociales que hay.
   Google sabe seguramente donde vives y donde has estado. Pero lo mejor es que tienen un servicio para mostrarte donde has estado cada día y en cada momento. De tu casa al trabajo, del trabajo a tu cafeteria preferida y así…

   Los datos se van recolectando poco a poco, y a medida que más servicios usan tu localización habrá más posibilidades de que Google registre tu ubicación. No debemos juzgar el uso que una empresa multinacional puede hacer con esa información pero es increíble como con el auge de la telefonía móvil se nos puede registrar de una manera tan accidental.

   La mejor forma de evitar que sepan nuestros movimientos es desactivar el servicio de ubicaciones, pero hay que tener en cuenta que aplicaciones como Google Now, que requieren la ubicación actual del dispositivo para ofrecer la información precisa al usuario no funcionará correctamente.

Si quieres ver tu historial de ubicaciones, pincha en este enlace.
     



TECNOLOGIA Vs PRIVACIDAD



     Otro video sobre privacidad, esta vez de Gerardo Richarte, dedicado a la seguridad informática desde hace más de 15 años, co-fundador de la empresa Core Security Inc y Satellogic S.A. Presentó en conferencias y dio cursos sobre seguridad informática y programación de exploits.


 
 
 

HACKING TEAM USABA FACEBOOK Y WHATSAPP PARA ROBAR INFORMACION



        HackingTeam, la compañía italiana dedicada a adquirir información para agencias y gobiernos, que fue hackeada dejando 400GB de contenido confidencial, código fuente de sus productos y comunicaciones por email, vuelve a salir a la palestra.
Esta vez se ha descubierto que usaba las aplicaciones de Facebook, WhatsApp, Viber, Google Chrome, Telegram y Skype para robar información de los usuarios.

   El robo de información sucedía luego de engañar a los usuarios a instalar una aplicación modificada de diferentes aplicaciones más descargadas de la App Store.
Según explica The Next Web, las apps modificadas eran capaces de obtener el historial de navegación en Chrome, Fotos dentro del dispositivo, SMS e interceptar llamadas en Skype, WhatsApp, Facebook Messenger y Wechat, entre otras.
Más info: Wayerless


TE VIGILAN DESDE LOS CENTROS COMERCIALES



       Hoy os explicamos dos técnicas para la vigilancia de los clientes por parte de los centros comerciales: Wifitracking y Web Browser Fingerprinting


 
¿Cómo Funciona el WifiTracking?

        El “wifitracking” es la nueva moda de las empresas de marketing para rastrear los hábitos de sus clientes, algo que desde nuestro punto de vista pone en riesgo la integridad y la privacidad de las personas.
   Nuestro movil con la wifi activada está constantemente enviando señales para buscar redes disponibles. El wifitracking lo aprovecha instalando receptores en las tiendas de los grandes centros comerciales para tener “localizado” al cliente y saber detalles de su compra como: La hora de entrada/salida, cuanto tiempo estuvo de espera en la cola, qué áreas de la tienda visitó y en cuales permaneció más tiempo, etc..
   Hoy en día los centros comerciales ponen a disposición de sus clientes una wifi abierta para que puedan conectarse mientras están de compras en el centro.
Todas estas wifis públicas suelen contar con un “portal cautivo”, donde los usuarios tienen que registrarse para poder acceder a la navegación. Normalmente este “registro” se realiza con los datos del cliente pero algunos centros “modernos” permiten el login con nuestras cuentas de redes sociales privativas (Facebook, Twitter, Google, etc..)
   Cuando entramos en estas wifis publicas con nuestras redes sociales, le estamos ofreciendo al comercio una buena parte de nuestros datos privados (edad, profesión, gustos, hobbys, etc..) que irán a parar a grandes bases de datos de clientes para planificar estrategias de marketing, sin contar que todas las paginas por las que naveguemos desde esa red irán a engrosar la gigantesca base de datos de nuestros hábitos de consumo, y vete a saber si de otro tipo, ya que la venta de datos a terceros es un gran negocio que mueve muchos millones.

 ¿Cómo Funciona el Web Browser Fingerprinting?

       Es una técnica utilizada para obtener la “huella” de tu navegador y así saber más datos sobre tu terminal.
      NOTA: Por si os interesa el tema, la EFF publicó https://panopticlick.eff.org/browser-uniqueness.pdf donde se incluyen una serie de técnicas para obtener la “huella de tu navegador”
   Hay que decir que tener instalado “adobe flash” en el navegador de tu terminal puede ofrecer muchos datos sobre el mismo como ip, versión de kernel, sistema operativo, etc.. Aunque no “naveguemos” por estas redes porque no hayamos querido ingresar nuestros datos en el “portal cautivo” no estamos a salvo de dicho seguimiento, puesto que el ESSID (nombre de la red wifi) de esa red ya ha quedado registrado en nuestro móvil, y este lo irá propagando a todos los “puntos de acceso” que se encuentre por el centro comercial.
   Así se establece un “recorrido” de todos los lugares por donde ha pasado ese móvil, analizando las trazas del ESSID dejado en los demás “puntos de acceso”.


¿Qué podemos hacer para evitar esta vigilancia?
  • No encender la wifi en ningún centro que use esta tecnología
  • Utilizar una VPN para navegar por la wifi y borrar las credenciales del essid de nuestro móvil cuando terminemos.

 Fuente: elbinario.net

DEJA CIEGO A GOOLE I: HISTORIAL DE ACTIVIDAD



          Siempre se dice que "Google lo sabe todo de nosotros" y hasta cierto punto es cierto. La compañía almacena y conoce gran parte de nuestra información a medida que utilizamos sus servicios y aplicaciones.

   Afirma que almacena nuestros datos para mejorar la experiencia de usuario, pero también sabemos que la información es poder y la venta a terceros está a la orden del día en un mundo de mercado como el que vivimos (leed las condiciones de uso y asustaos un poco).
   Podemos acceder a gran parte de esta información y controlarla accediendo a una web que, aunque es de la propia Google y esto nos haga desconfiar, si que al menos nos da acceso a qué es lo que saben sobre nosotros y poder eliminar esa información.

   Podemos acceder a los siguientes datos:

  • Actividad en la web y aplicaciones.
  • Actividades de voz y audio.
  • Información del dispositivo.
  • Historial de ubicaciones.
  • Historial de reproducciones de Youtube.
  • Historial de búsquedas de Youtube.
  • Otras.

Accedemos a https://history.google.com y tras introducir nuestros datos accederemos a dicha información.
   En la parte izquierda están las categorías y nos irán apareciendo en la pantalla por días, meses o incluso años. Para eliminar la información elegiremos la papelera en el menú de la parte superior derecha (los tres puntos) y elegimos "Avanzado" para eliminarlo todo. Siempre es mejor no usar Google para nada y usar las numerosas alternativas buenas que existen, pero si aun así sigues usando los servicios de Mountains View, al menos ya sabes como conseguir un poco más de privacidad. 





TU IMPRESORA TE ESPÍA



    Las impresoras láser a color, esos inofensivos cacharros que muchos tenemos, aparte de imprimir ahora también puede convertirse en un peligroso enemigo ya que se ha descubierto el código secreto de las impresoras a color mediante el cual es posible espiar a los usuarios.

    El espionaje a través de las impresoras a color era algo ya conocido y admitido por el Gobierno de Estados Unidos, una administración que se ha visto envuelta en numerosas polémicas por la vigilancia no autorizada de ciudadanos y corporaciones.

   La EFF (la Electronic Frontier Foundation) ha descubierto el método usado para poder acceder a datos de los usuarios, que consiste en el patrón dejado por los puntos que las impresoras generan en los documentos a la hora de imprimirlos.
   Según la EFF, los puntos de color amarillo indicarían la hora y la fecha del documento. Estos puntos se repiten en todas las páginas del documento creando un patrón que puede analizarse aunque para ello hay que echar mano de instrumental óptico ya que son imperceptibles a primera vista.

   La EFF ha conseguido descifrar el algoritmo usado por las impresoras de la marca Xerox, aunque este sistema de espionaje también lo usan Canon, HP o Brother, entre otras. Ahora la EFF quiere hacer públicos todos los algoritmos del resto de marcas.

   En teoría los fabricantes entregan este algoritmo "solo" a los servicios secretos del país, y "solo" ellos pueden descifrarlo y "solo" en casos de investigaciones penales falsificadas. El caso es que ya hay una marca que vulnera nuestra privacidad.

En este enlace tienes la lista completa de impresoras que incluyen dichos códigos en las impresiones.



sábado, 17 de octubre de 2015

EL MEJOR CENTRO DE ESPIONAJE: TU MISMO



       Vivimos en un mundo en el que hay gente muy codiciosa que tiene mucho dinero pero no se sacian nunca y quieren más y más dinero, todo el dinero del mundo. Pero también hay mentes codiciosas que quieren toda la información y tampoco tienen nunca suficiente, porque además viene con el añadido de que información es poder, independientemente del sitio donde se viva. Esas mentes, que tienen nombres y apellidos buscan saber cuanto cobras, cuanto dinero tienes en el banco, cuantas deudas tienes, qué compras, cuales son tus hobbys, y por supuesto, donde te encuentras.
   Los codiciosos de la información quieren más, les interesa tus conversaciones privadas con amigos, con tu pareja, qué le dices a tus hijos, quieren saber literalmente lo que pasa por tu mente (ya ha ocurrido con los smarTV de LG).

   En el siglo 19 y 20 las dictaduras o las férreas monarquías, durante años mantenían el control sobre la población. Llegado el siglo 21 se ha conseguido esclavizar al ser humano con deudas de por vida, aceptando leyes abusivas e inaceptables, aceptando como coartada la seguridad.
 "Por tu seguridad" nos recortan derechos y anulan leyes libres que antes teníamos; lo que antes era libertad y era legal, ahora no lo es. Ese sueño de control lo han conseguido, ya no tienen que venir a casa a ponernos una cámara o un micrófono, ahora las adquirimos en forma de movil, ordenador, o peor aun, en el denominado "internet de las cosas" (chaquetas, pantalones, relojes, patinetes), conectados 24h al día a internet, ofreciendo todos nuestros datos al Big Data, porque todos los aparatos han sido cuidadosamente diseñados para crear una adicción psicológica en el ser humano.

   Lo que antes costaba mucho dinero para una dictadura como era un sistema de control, ahora lo pagamos nosotros. Ya no tienen que mandar a alguien que nos siga, porque nosotros mismos llevamos un gps en el smartphone, que no solo envían información al satélite de turno, si no que se ha comprobado que además se envia a otros sitios.

   Uno de los sitios donde recaban esta información es a través del movil. En España, a través del sistema SITEL (sistema de escuchas telefónicas). Con toda esta información hacen un correcto análisis de información para conocer milimétricamente todo sobre nosotros.
   Podemos pensar: "Bueno, quien va a querer saber algo de mi si no soy nadie y además no tengo nada que ocultar". Cuidado con estas afirmaciones porque ha habido mucha gente buena, honrada, discreta, que se ha visto comprometida, y de la noche a la mañana se ha metido en problemas graves. Hay gente en la cárcel por haber escuchado sus grabaciones, se han filtrado fotos de famosas en actitudes sensuales o han sido introducidas en listas negras policiales sin haber cometido delito alguno.

   Estamos en un modelo político en toda occidente por el cual no se puede hacer prácticamente nada sin que salga el marco legal, por lo que aquello que se dice o escribe puede ser susceptible de delito hoy o mañana si cambian las leyes, y hoy en día el delito es muy amplio. Pero el mayor logro que han conseguido esas mentes brillantes es que la gente los defienda. Tienen centros de estudios sociológicos que asesoran a gobiernos para implantar políticas a cambio de una moneda sin valor: promesas y esperanza, la zanahoria delante del burro.

Algunos ejemplos.

  • Echelon, considerada la mayor red de espionaje y análisis para interceptar comunicaciones electrónicas de la historia, que capturar comunicaciones por radio y satélite, llamadas de teléfono, faxes y correos electrónicos en casi todo el mundo e incluye análisis automático y clasificación de las interceptaciones. Se estima que ECHELON intercepta más de tres mil millones de comunicaciones cada día.
  • NSA-Key. En 1999 el programador Andrew Fernández de Kripton Corporation descubrió que dentro del Windows NT service pack 5 había un registro extraño llamado NSA-Key con 1024 bytes de una clave pública. M$ nunca quiso desvelar para qué servía esa clave de cifrado.
  • Wikileaks, que en 2006 Julian Assange publica a través de su sitio web informes anónimos y documentos filtrados con contenido sensible en materia de interés público.
  • PRISM, programa estadounidense divulgado por los medios de comunicación en 2013. Captura los datos de compañías como Google, Apple, Microsoft o Facebook. Su participación se filtró en una presentación de la propia NSA.
  • Edward Snowden, informante de la CIA y la NSA que en 2013 hizo públicos documentos clasificados como alto secreto sobre varios programas de la NSA, incluyendo los programas de vigilancia masiva PRISM y XKeyscore.



NO TENGO NADA QUE OCULTAR



            La mayoría de nosotros piensa que, si no tiene nada que ocultar, no tiene nada que temer. Es una mentira que por mucho que se repita no deja de serlo. Puede que no tengamos nada que ocultar, pero sí tenemos mucho que temer.

Navegar es una actividad promiscua. Cada vez que introduces una dirección en el navegador, pinchas en un enlace o buscas una palabra en Google, tu navegador intercambia fluidos digitales con otros ordenadores desconocidos que pueden estar en cualquier parte del mundo y que obedecen a otra legislación. En cada uno de ellos revelamos por defecto una cantidad de información de la que nos somos conscientes, y esto pasa docenas de veces con un solo enlace.

   Todo se almacena en los Big Data, donde se acumulan miles de páginas sobre nosotros en un archivo que incluye nuestro nombre, dirección, estado civil, financiero y emocional; compras, viajes, amigos, inclinaciones políticas y predicciones acerca de nuestras vidas basadas en todo lo anterior, y esto sin que nadie nos «vigile» especialmente.

Sumemos las Agencias de inteligencia de Estados Unidos y del Reino Unido, las cuales han reconocido que nos espían, pero no sabemos lo que están haciendo las de Corea, Venezuela, Bielorrusia o Brasil.

   Las empresas que han rediseñado internet no han invertido millones en servicios gratuitos ni para proteger a los usuarios. Si algo que ha costado millones es gratuito, el producto eres tu.

SMURF SUITE. ESCUCHAS A CIUDADANOS A TRAVES DE SMS



           Edward Snowden ha hablado para la cadena BBC contando las “bondades” de varias herramientas en poder de la agencia de inteligencia británica GCHQ.
   Se trata de un software que permite hacerse con la información de los dispositivos móviles con un simple mensaje de texto y que se conoce bajo el nombre de Smurf Suite.
   Aunque su traducción sea Suite "Pitufo" y parezca inofensiva, estaríamos ante una herramienta de vigilancia tremendamente potente, que dejaría con poca capacidad de reacción a los propietarios para detenerla. Un programa de escuchas con el que los agentes únicamente tendrían que enviar un mensaje de texto, con la capacidad por ejemplo de acceder a la cámara o al micrófono de un smartphone. Smurf Suite sería además capaz de ocultar el hecho de que se ha tomado el control del dispositivo.

   Según explica Snowden: "Si el usuario quiere revisar el teléfono porque ha visto que algo extraño está pasando o si sospecha que algo andaba mal, la herramienta hace que sea mucho más difícil para cualquier técnico darse cuenta de que algo ha pasado".

   Esta noticia confirma las palabras del propio Snowden a comienzos de este año, momento en el que indicó que no utilizaba iPhone porque las agencias tienen un software especial que podía activarse sin que el usuario se diera cuenta y obtener así información acerca del mismo.

   "La herramienta utiliza un mensaje de texto para obtener el acceso al teléfono sin ser visto por el usuario. Se trata de un mensaje especialmente diseñado que se envía al número de un dispositivo como otro mensaje cualquiera, con la salvedad de que cuando llega no se muestra".

   Snowden explica que no sólo se trata de la agencia GCHQ, la NSA habría gastado también mil millones de dólares en herramientas similares. La propia BBC ha hablado con un portavoz del gobierno del Reino Unido acerca del programa, pero el miembro del ejecutivo no quiso hacer comentarios sobre asuntos de inteligencia, explicando que la labor de las agencias de espionaje se lleva a cabo dentro de un “estricto marco jurídico y político”.


Fuente: Elotrolado



 

¿POR QUÉ ME VIGILAN SI NO SOY NADIE?



     Sabemos que estamos vigilados, a través de nuestros móviles, ordenadores y cámaras. Pero no hacemos nada malo y por eso nos sentimos a salvo.
Marta Peirano avisa en esta charla que es urgente preocuparse y proteger nuestro anonimato en la red. Video realizado por Daniel Goldmann y editado por Xavi Fortino.