domingo, marzo 31, 2013

Enemigos de Internet: Ciberespionaje nacional a disidentes

Me pasaron por correo electrónico el informe titulado "Enemigos de Internet" que han realizado en Reporteros Sin Fronteras y que fue publicado el día 12 de Marzo - elegido Día contra la censura en Internet -, y creo que lo deberíais leer todos, ya que completa la visión de los incidentes de ciberespionaje, centrándose en el que realizan los gobiernos sobre sus ciudadanos. Recoge algunos datos en un solo documento, que dejan claras algunas técnicas de ciberespionaje y actos de censura en Internet hechas por parte de algunos países. El comienzo del documento os lo dejo aquí, que merece la pena su lectura.

Figura 1: El informe de Reporteros sin fronteras sobre Enemigos de Internet 2013
"“Mi ordenador fue interceptado antes que yo”, es el testimonio de un activista sirio detenido y torturado por el régimen de Bachar Al-Assad. Karim Taymour, explica a un periodista de Bloomberg cómo le presentaron, en su interrogatorio, más de 1.000 páginas que detallaban sus conversaciones electrónicas y sus archivos intercambiados por Skype. Sus verdugos sabían manifiestamente tanto de él como si hubiesen estado en su habitación o en su ordenador. La vigilancia en Internet representa un peligro enorme para los periodistas, blogueros, periodistas ciudadanos y defensores de los derechos humanos."
En él informe se apunta a países como China, Siria, Bahréin, Vietnam e Irán como los países que más control y censura por Internet están aplicando a sus ciudadanos para acallar las críticas y a los detractores de sus regímenes. También se apuntan a las empresas que les venden productos para que consigan sus objetivos, donde se encuentran algunas como Gamma - la archiconocida empresa de FinFisher y FinSpy cuyos paneles de control han aparecido ya en 25 países-, Trovicor, Hacking Team, Amesys y Blue Coat.

Algunas estratégias sorprendentes usadas dan miedo. En Bahréin se alerta de que se crean cuentas Twitter falsas simulando las cuentas de los disidentes que buscan desenmascarar. A partir de ese momento, si alguien hace clic en ella, solicitan la dirección IP de la cuentas que han hecho clic para sacar toda la información posible de esa dirección IP y localizar a las personas detrás, con el objetivo de llegar al disidente. Para ello, antes censuran en todo el país las opciones de anonimato, tirando abajo conexiones Proxy, VPNs y acceso a la red TOR desde dentro del país. Es lo que tiene controlar toda la infraestructura de comunicaciones de un país.

De hecho, en Bahréin, el centro de comunicaciones de Nokia - Siemens Network, fue comprado por Trovicor, una de las empresas denunciadas en el informe y que vende software de espionaje para terminales móviles. Desde 1990 se dice que el estado de Bahréin cuenta con sus productos comprados e instalados en todo el país.

En el caso de China, sin contar los innumerables ataques a los miembros de organizaciones Pro-Tibet con malware dirigido, ni las acusaciones de ciberespionaje industrial en el informe Mandiant sobre APT 1 o la operación Aurora contra Google, es archiconocido su Gran Firewall y sus estructuras de man in the middle con entidades de certificación controladas por el gobierno - usar SSLCop es una buena idea si vas a China - donde se permite casi todo menos la privacidad.  En el informe se relatan muchas de las actividades de espionaje que realizan a través de las compañías que ofrecen los servicios de Internet y el espionaje de redes de VoIP como Skype.

Figura 2: Requisitos de los servicios de monitorización de Internet en Siria

El informe desgrana el resto de los países, como Siria o Irán, y dan recomendaciones que se pueden tomar para protegerse en ellos. En Siria se ha implantado un sistema de monitorización de todo Internet en el país - aunque luego veríamos como en Noviembre de 2012 tiraban abajo la conexión del país a Internet algo que volverían a hacer otra vez en Mayo de 2013 - y la Electronic Freedom Frontier alerta del uso de Darkomet y otras RAT para vigilar los equipos de los activistas contrarios al regimen. Algo similar a lo que se descubrió que sucedía en Egipto con FinFisher.

Figura 3: La factura de FinFisher y FinSpy descubierta en el gobierno de Egipto

No obstante, el informe da recomendaciones de uso de VPNs o TOR cuando sea posible para evitar las técnicas de Deep Packet Inspection, pero en ningún momento hace referencia a protegerse contra las JavaScript Botnets y el Browser Caché Poisoning que afecta hasta los sistemas con VPN, Proxy o TOR. Ya cuando presentamos esta técnica, contamos que habíamos visto que mucha gente usaba Facebook a través de Proxys anónimos en Internet, y uno de los motivos por lo que lo hacía era precisamente por esto, para evadir la censura en sus países.

De hecho, ya conté este año en RootedCON que había recibido una petición de ayuda para montar una JavaScript Botnet con soporte para SSL en Irán  para hacer ataques dirigidos con la botnet en JavaScript, y una oferta de compra de los datos que se capturaron durante el test de la JavaScript Botnet - que se borraron tras dar las charlas -, lo que evidentemente no hicimos.

En definitiva, el documento es digno de su lectura y análisis, pues aporta muchos datos que puede que te hagan cambiar la visión del control que pueden llegar a ejercer los gobernantes de un país cuando se vuelven en contra de sus ciudadanos. Si este tema te interesa, no dudes en visitar a menudo la web Spy Files de Wikileaks, donde se informa de todo lo acaecido en esta materia.

Saludos Malignos!

5 comentarios:

Jesús M. dijo...

Gran artículo, Chema. Enhorabuena!

trifero dijo...

Qué pedazo de artículo.

Anónimo dijo...

No entendí bien el tema de protegerse de "JavaScript Botnets y el Browser Caché Poisoning". A qué te refieres exactamente? a que si estás por ejemplo con un js en cache malicioso tus credenciales o uso de navegación pueden ser robados?

Mi pregunta es, el uso de una javascript botnet o una cache cargada de scripts maliciosos, van a hacer que nuestro tráfico no vaya por donde dice la vpn o TOR?

Porque realmente, si tenemos el ordenador infectado de alguna forma, ya sea con javascript o un exe,.. siempre vamos a estar a disposición del atacante, usemos TOR, VPNS o no,... que creo que es evidente :S

A ver si puedes aclararme un poco el tema, pero para perogrullas como yo XD.

Chema Alonso dijo...

@anónimo. Un Js malicioso, o un cookie de seguimiento pueden identificar a una conexión que se hizo con una VPN o TOR en el futuro, cuando se conecte sin protección. Es un truco viejo de tracking que funciona a la perfección.

Saludos!

Anónimo dijo...

Muy buen artículo

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares