miércoles, junio 05, 2013

Los troyanos policiales del borrador de la nueva ley

El revuelo ayer fue sin duda el debate de la noticia de que el Ministro de Justicia está pensando en  una ley que permita a los cuerpos de seguridad del estado utilizar troyanos para infectar los equipos, smartphones y tablets de criminales de "presuntos" criminales. Este texto daría cobertura legal al uso de sistemas como FinFisher o HackingTeam que ya utilizan otros países como Alemania donde su uso es legal.

Figura 1: Países en Europa donde se han detectado paneles de control de FinFisher

Los problemas técnicos de la investigación policial

El proceso actual sigue estando basado en detectar la dirección IP desde la que se está realizando el delito, localizar la persona detrás de esa dirección IP, solicitar una orden judicial e incautar el equipo. Una vez obtenido el equipo, comenzar un estricto proceso de custodia de evidencias y basar todo en un análisis forense de los datos que se obtienen del terminal. Esto tiene muchos problemas técnicos en todas las fases, que todos conocemos:
- Investigar una dirección IP no siempre es fácil: En España hay una ley de secreto de las comunicaciones que evita que se pueda analizar mucho tráfico de red generado por una dirección IP, lo que dificulta mucho la investigación para detectar los actos delictivos. 
- Las direcciones IP no tienen siempre que apuntar a una persona: Los criminales especializados en Internet se lo tienen bien aprendido esto, por eso utilizan conexiones desde direcciones IP de otros países, uso de proxies anónimos - como ya vimos en el caso de Owning Bad Guys {and mafia} using JavaScript Botnets -, redes TOR, o simplemente una red WiFi temporal o de otra persona
- El cifrado de los datos: Si el equipo tiene TrueCrypt, FileVault, PGP o BitLocker, hay que pasar por un proceso previo de crackeo para luego hacer el análisis forense. Esto no siempre es fácil ni posible. Por ejemplo, un terminal iPhone 4S o iPhone 5 con un passcode complejo, del que el sospechoso se hubiera negado a proporcionar la clave y que hubiera sido apagado antes de ser interceptado, no podría ser analizado al no existir ninguna forma de extraer datos sin tener un equipo pareado o las copias de Apple iCloud.
Con el uso de troyanos como FinSpy o Hacking Team para infectar smartphones o tablets, lo que se busca es resolver este problema de raíz desde las redes del país, lo que daría a los cuerpos de seguridad la capacidad de acabar estos problemas de forma más definitiva.

Figura 2: Publicidad de Remote Control System de Hacking Team

Para ello, también sería necesario contar además con una inversión en exploits - además de trucos de habituales de ingeniería social - y con técnicas de mutación del troyano para evitar la detección de los mismos por medio de los antimalware. Problemas técnicos habituales que se resuelven con normalidad para hacer que estos ataques y estos troyanos no sean tan facilmente detectables como dicen algunos.

El auténtico debate no es técnico

La pregunta, por tanto, deja de ser técnica y recae más en un debate legal o ético para ver si estas medidas están acorde con lo que los ciudadanos de este país queremos o no queremos. Según el texto del borrador, se podría utilizar en delitos con condenas de penadas con más de 3 años, donde caen cosas tan severas como la pederastia o cosas como la piratería de música - bajo debate público largo tiempo -, lo que hace que se nos emborrone el debate sobre el uso que se puede dar a estas herramientas.

Por supuesto, el miedo de muchos es que con estos troyanos - como ya sucedió antes con la proliferación de las cámaras de seguridad que graban a los ciudadanos por las calles hace años, o la puesta en marcha del sistema de interceptación legal de las tele comunicaciones SITEL - caiga en malas manos, y acabe siendo nuestro país un estado totalitarista enemigo de Internet y de sus ciudadanos.

Figura 3: Resolución SITEL en el BOE. Año 2007.

Bajo mi punto de vista, si esto está controlado por la justicia, y hay un control férreo de estos sistemas de seguridad - y entre estos sistemas de seguridad incluyo las armas de fuego que se les dan a las personas que velan por nuestra seguridad, las cámaras de vigilancia que se ponen en las ciudades, los sistemas de comunicaciones como SITEL o estos nuevos troyanos - y se usan para que los malos no se vayan de rositas, creo que estaría bien dotar a nuestros protectores de todas las herramientas técnicas posibles y que no estén en inferioridad técnica frente a los delincuentes, que alguna vez viven con total impunidad.

Solo para que veáis con qué impunidad se sienten algunos, aquí os dejo una conversación que puede encontrarse en la Deep Web sin tener que hacer muchas piruetas. He tapado la foto para que sea lo menos dañino posible, porque creo que con los mensajes es suficiente para que os hagáis una idea.

Figura 4: Uno de tantos en la Deep Web. Algunos ponen hasta sus correos públicos.

Creo que lo que deberíamos conocer es más información sobre los controles que se harían de este tipo de tecnologías y limitar mejor su uso y aplicación, para que esto no sea algo arbitrario a cualquier ciudadano.

Saludos Malignos!

8 comentarios:

  1. Ten cuidadín con lo que rastreas en la "Deep Web", y si no, pregúntale a tu colega Silverhack, por lo mal que lo ha pasado uno de sus amigos y colaborador.

    ResponderEliminar
  2. Creo recordar que te pasé una captura de un tipo que se sentía tan impune que incluso daba su cuenta de facebook y encima la utiliza como plataforma de contactos con pervertidos como él (dentro de la red Tor), pero esta conversación también ilustra certeramente la situación.

    Hombre, yo lo de que la poli pinche por ejemplo a un sospechoso que desgraciadamente me tenga entre sus contactos pues no me mola. Entiendo que la base de esto es facilitar sus investigaciones, siempre que exista por ejemplo, una orden judicial o autorización detrás del troyano... como delincuente no me sentaría tan mal, pero de utilizarlo (porque hay policias y policias and países y paúses) como Pedro por su casa... eso si me sentaría mal.

    Es que en estas cuestiones digitales (y en este caso no haré chistes de polis) pasa lo de siempre, es muy difícil, con la ley en la mano, hilar fino. Algunas leyes entran en conflicto con derechos y libertades constitucionales o de otra capa legal, además, como podrá confirmar algún/a expert@ (que no es mi caso) ¿qué regla de medición puede aplicarse a ciertos delitos telemáticos de modo que sirva para medirlos a los de la misma naturaleza en el mundo físico? esas cuestiones, diarias entre l@s legisladores, son un problema.

    Además si ya en el mundo físico l@s delincuentes generan variantes de sus delitos casi mensualmente sino en menos tiempo, bueno... sencillamente en el mundo digital las variantes y técnicas mutan diariamente y en muchos casos, (por ejemplo Hacking intrusivo y delictivo) algunos "delincuentes" alientan, tras ser detenidos o juzgados, virulencia en otr@s para generar venganzas más destroyer contra gobiernos y sus FSE.

    Hablando en plata, si en la calle el policía dispara contra el delincuente, el delincuente tiene pocas defensas, salvo devolver el disparo o correr y ocultarse. Pero en el Digital el policía, a pesar de sus múltiples medios, a la práctica (en los casos que conozco) se encuentra bastante expuesto si lo que quiere es preservar a la vez los derechos del sospechoso (y aunque no quiera porque la ley se lo manda).

    Es un tema muy delicado, las leyes son aún muy endebles y especialmente por el hecho de que legislar un mundo virtual sin entrar en los mencionados conflictos legales, es harto difícil, un trabajo de titanes.

    (El Chiste tengo que ponerlo al final)
    Si me calzan con un software para robar ejem para auditar wifi, ¿me volverán a poner las esposas? ;) (no os enfadéis polis, no me dais tanto asco jajaja)

    ResponderEliminar
  3. Lo que resulta preocupante, especialmente para activistas politicos, es que se autoriza como si fuera una escucha lo que en realidad es un registro secreto. La diferencia es que en una escucha no se pueden alterar pruebas, pero en un registro sí que se puede añadir y quitar cosas al escenario, y por eso debe hacerse con mas testigos y garantias que una simple escucha.

    Al menos, en un registro secreto (no se ahora, los ultimos que vi fue en antros republicanos cuando nacio Froilan) suelen tener la decencia de que te fingen un robo o te rompen la cerraja principal del local, lo que te da una oportunidad tanto para ponerte como loco a buscar microfonos como para arguir legalmente que tu local ha sido penetrado por personas externas a tu grupo.

    ResponderEliminar
  4. Ender, qué me vas a contar :)

    Por cierto Chema, al ver los comentarios que hiciste sobre Sitel me surge una duda (o más bien una propuesta o reto para tu perversa mente de maligno) ... a ver si te curras un artículo explicando lo que hará el gobierno con ese programita tan 'barato' y tan 'salao' cuando las comunicaciones vayan todas por VoIP ... a ver cómo monitorizan, pinchan, espían y como quieran llamarlo cuando puedes poner el callerid que te apetece.

    Saludos

    ResponderEliminar
  5. El principal problema que le veo a esta ley es la formación de los jueces.

    Cuando la legislación da a las fuerzas de seguridad la posibilidad de realizar acciones que puedan lesionar derechos de terceros, especialmente si son derechos fundamentales (y la intimidad y el secreto en las comunicaciones lo son), se establecen necesariamente mecanismos que permitan asegurarse de que ese uso está justificado, y no va a ir más allá de lo necesario para el fín concreto en cada caso.

    La necesidad de autorización judicial es el principal mecanismo que se usa para evitar abusos de esta autoridad.

    Es decir: que la policía puede pinchar una llamada telefónica solo si un juez, considerando el caso concreto, determina que la violación del secreto de las comunicaciones, en ese caso concreto, está justificada. Así no solo se asegura que la policía no va a poder pinchar llamadas sin ton ni son; sino también que cuando lo haga, va a hacerlo solo mientras esté justificado, y (y esto es realmente importante), deje de hacerlo cuando desaparezca la razón de fuerza mayor que lo justificaba.

    Lo mismo ocurre por ejemplo con los registros de domicilios: solo se pueden hacer con la autorización de un juez.

    Pero todo esto funciona gracias a que el juez comprende qué es lo que se está haciendo: comprende qué significa registrar una vivienda, o pinchar una llamada, y qué implicaciones tiene en cada caso. Además, ambas situaciones son limitadas en el tiempo: cuando la policía termina un registro, se acabó: necesitaría una nueva orden, justificada por nuevos motivos, para repetir el registro. Es decir, la violación de los derechos del registrado termina en ese momento.

    Ahora bien, cuando hablamos de la posibilidad de instalar troyanos, me surgen dos preguntas: ¿tienen los jueces los suficientes conocimientos para comprender el alcance de lo que dicha instalación acarrea? y puesto que una vez instalado el troyano, utilizado para espiar el contenido del ordenador, y determinado que no hay nada relevante para la investigación, el troyano permanece en el equipo ¿no estaríamos ante una lesión de los derechos de una persona que se estaría alargando en el tiempo más allá de lo que la autorización judicial permite?

    Tened en cuenta que no es lo mismo instalar un troyano que usarlo para mirar lo que hay en el equipo. Por hacer un símil un poco chapucero, instalar el troyano sería el equivalente a conseguir una copia de la llave de tu casa, y el usar el troyano para mirar el contenido del ordenador sería el equivalente a usar esa llave para hacer un registro. Aun considerando aceptable que se pueda registrar nuestras casas en ciertos supuestos ¿nos parece aceptable que, una vez hecho, la policía se quede con una copia de nuestra llave?

    Y, por ejemplo, una vez terminada la investigación, ¿tendría el troyanizado derecho a saber que le han instalado el bicho? ¿Y a que se le repare el daño que ello pueda haberle causado? Yo creo que debería.

    ResponderEliminar
  6. Está claro que lo mio no es explicarme jajaja sois unos hachas (que no captchas).

    No os preocupéis, que lo mismo empiezan a distribuirse las versiones de esos troyanos por la red (y capados del lado legal) cual kernels de Linux (léase "como churros") si la cosa se pone muy nazi.

    Como bien expresa Miguel Angel Marco (esa foto me da miedo) la preparación de los jueces antes o después deberá ir más allá de la formación actual que reciben, recemos para no conocer un mundo lleno de Dreds (por el personaje del comic), porque a este paso...

    ResponderEliminar
  7. Ante las amenazas que hay en internet -hay un mundo por descubrir ;) -, qué políticas de seguridad podrías recomendarnos? (presuponemos que todos conocemos un poco el comportamiento de nuestro pc)

    Política de doble corta-fuegos -externos los dos-, uno para controlar el tráfico entrante y otro para el saliente amén de un snort/suricata por si las moscas?
    Política de pasen y vean, quiero decir, todo permitido?
    Poner un sólo corta-fuegos?
    O quizás presuponer que nuestro router es invulnerable y fiarnos del ISP?
    Vimos en tu web un artículo sobre ataques a DNS de los routers, por no mencionar que algunos routers ZyXEL de telefónica permiten ver, mediante peticiones SNMP: MAC del router, contraseña de la wifi, ordenadores que hay conectados a la red interna, tiempo que lleva funcionando.

    Hasta qué punto podemos fiarnos de la seguridad que viene de "serie"?
    Ubuntu se conecta periodicamente a los servidores de canonical (con sólo encender el pc).

    Qué recomendaciones (para usuarios paranoiocos) darías en temas de seguridad?

    PD: ¿O mejor usar un ordenador con Live CD sin disco duro y quitando la memoria RAM al cerrar el equipo?

    ResponderEliminar
  8. En mi opinión no creo que este mal el uso, el problema es quien lo va a usar (mira que pasa cuando les das una porra y un escudo).

    En fin yo creo que si se aprueba vamos a escuchar mas de una burrada por las noticias y las cyber mafias seguirán haciendo de las suyas.

    ResponderEliminar