sábado, junio 08, 2013

PRISM, FISA y el USA Patriot Act

Esta semana el escándalo a nivel mundial es famoso programa PRISM de la NSA (National Security Agency) de USA. Dicho programa fue primeramente desvelado por The Guardian afirmando que la empresa Verizon entregaba registro de todas las llamadas realizadas en Estados Unidos al gobierno. El presidente Obama en la comparecencia pública que ha dado recientemente confirmó que solo son los registros de llamadas y no la conversación en sí, para lo que es necesario utilizar otro programa más específico, pero para el que también tienen mecanismos en caso de necesidad.

Figura 1: Presentación del programa PRISM desvelada por Whashington Post / The Guardian

Después del boom mediático generado con esta información, el Washington Post publicaba información más detallada del denominado programa PRISM, donde se podía ver que los gigantes tecnológicos colaboran con el gobierno dando información de sus servicios desde el año 2007, y donde se encuentran Apple, Microsoft, Facebook, Google, Verizon, Yahoo!, etcétera.

Figura 2: Proveedores tecnológicos que supuestamente colaboran con PRISM

Rápidamente la polémica se ha centrado en si el gobierno tiene o no acceso directo a los servidores cuando les de la gana para acceder a los datos de los clientes de todos los servicios, algo que todos se han encargado de negar. Tanto Facebook, como Microsoft, como Apple, como Yahoo! han dicho que ellos no dan acceso a los servidores, aunque sí que entregan los datos que legalmente les solicitan.

Figura 3: Lo que entregan los proveedores tecnológicos a PRISM
Para aplacar los ánimos en Estados Unidos, la Oficina de Inteligencia ha publicado una nota de prensa de lo más "tranquilizadora" para el resto del mundo, ya que según dice textualmente esta sección del programa se usa sólo para el resto del mundo:
"They involve extensive procedures, specifically approved by the court, to ensure that only non-U.S. persons outside the U.S. are targeted, and that minimize the acquisition, retention and dissemination of incidentally acquired information about U.S. persons."
Es decir, que encajaría muy bien con por ejemplo los diputados españoles y sus terminales iPad, o cualquier ciudadano que no fuera de USA y no necesitarían utilizar ninguno de nuestros trucos de nuestro libro de Hacking iOS: iPhone & iPad. Lo cierto es que bajo orden judicial todos, inclusive los que han querido salir de la foto como DropBox diciendo que ellos no entregan ningún dato, están obligados a hacerlo.

Toda esta polémica de escuchas es algo de lo que he hablado en varias ocasiones, la famosa USA Patriot ACT, donde como podéis ver en la imagen los miembros firmantes se comprometen a colaborar entregando todo lo que veis ahí descrito, y que va desde registros de acceso hasta el contenido de las comunicaciones.

Figura 5: USA Patriot Act & FISA

Hay que tener en cuenta que las medidas de seguridad que ofrecen cada vez más las tecnologías evitan que se puedan interceptar todas las comunicaciones, y cosas tan comunes como un iMessage pueden ser imposibles de conseguir si no se cuenta con acceso a los servidores, tal y como reflejaba la nota interna de la DEA sobre sus problemas con iMessages.

Figura 6: Preocupación de la DEA por no poder interceptar los iMessages

Para ello, a colación de la sensibilidad nacional tras los atentados del 11-S se impulsaron muchas medidas de seguridad. Algunas visibles día a día en aeropuertos y controles de fronteras, y otras menos visibles en los sistemas informáticos como estas.

Figura 7: Brindis en la Casa Blanca. Obama, Apple, Facebook, Google y compañía

El presidente Obama ha dicho que no se puede tener 100% de seguridad con 100% de privacidad y 0 inconvenientes. Ahora cada uno debe decidir si esto le convence o no.

Saludos Malignos!

14 comentarios:

  1. Oye malote esta news tiene tela, te lo apunto por si las moscas...https://www.securelist.com/en/blog/8106/The_most_sophisticated_Android_Trojan
    Aqui Hacksperger ;)

    ResponderEliminar
  2. Obama cree que somos imbeciles, ha afirmado en una rueda de prensa que hacen escuchas pero no a americanos y tampoco a personas en suelo americado. A ver como el govierno de USA tiene acceso a comopañias de telecomunicaciones del resto de los paises, hahah

    ResponderEliminar
  3. ¿Creéis que los peces gordos usanos pueden controlar tarde o temprano a la gente que use software libre ?

    ResponderEliminar
  4. Me pregunto si hay alguna solución a esto. No usamos servicios de compañías americanas ??? lo llevamos claro...

    Y tambien me pregunto si otras multinacionales como Telefónica no hacen lo mismo ???

    ResponderEliminar
  5. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  6. Esto no es de ahora, esto es así desde hace tiempo. No hay nada que circule por internet de lo que los americanos no se enteren, al menos de lo que viaja en claro o supuestamente cifrado.

    Cuando he sido profesor a mis alumnos siempre les he dicho, en el aspecto genérico de la seguridad no sólo en ciberseguridad, que la seguridad y la libertad son dos variables que suman 10 entre las dos, si quieres 10 de seguridad tendrás 0 de libertad y viceversa, quizás lo mejor es 5 y 5.

    ResponderEliminar
  7. TheSur, lo que dice la ley es que las empresas estadounidenses tienen obligación de entregar esos datos. Y Obama lo que dice es que solo se los piden sobre personas no estadounidenses que están fuera de Estados Unidos.

    Es decir, que el juez Gomez Bermudez, que es una persona no estadounidense fuera de suelo estadounidense, usa un iPad. Ese iPad se conecta, para su funcionamiento normal, con servidores de Apple, que es una empresa estadounidense. Así que el govierno estadounidense le puede exigir a Apple esos datos.

    Así es como el gobierno estadounidense tiene acceso legalmente a los datos procedentes en el resto de países: porque los habitantes de esos otros países nos empeñamos en dar nuestros datos a empresas estadounidenses (Apple, Facebook, Microsoft, Google, Dropbox...)

    ResponderEliminar
  8. Esto ya se sabía hace tiempo, como bien apunta Chema desde los ataques a Usa todo cambio y a todos los niveles, ahora sólo ha salido en medios de comunicación, pero eso es una ley, primero redactada por los congresistas y además aprobada por ellos, así que en poco o nada va a cambiar algo, ellos seguirán así

    ResponderEliminar
  9. Más allá del gran revuelo por algo que casi todos intuíamos, a mi me llamó más la atención la foto de los CEOs de Sillicon Valley con Obama. Parece Jesús reunido con sus discípulos en La Última Cena. Una corrección: la reunión no fue en la Casa Blanca sino en el mismísimo Valley a comienzos del 2011, incluso se ve a Jobs de espaldas.
    El tema de la privacidad es toda una paradoja. Podría servir para "atrapar" a algunos terroristas, pero no creo que se llegue a los cabecillas que son, por lo general, más astutos, usan seudónimos y están alejados de la tecnología.
    Creo que el problema que tiene EEUU ahora es que muchos ciudadanos se están llevando la plata a otros países donde tienen menos impuestos (de ahí que el gobierno sacara el FATCA). Lo que preocupa a muchos ricos es esa instromisión del gobierno en los estados de cuenta, con la excusa del terrorismo.

    ResponderEliminar
  10. miguel angel, tienes razon en eso. Sin embargo Obama dio una rueda de prensa ayer donde decia eso sobre verizon, una operadora de telefonia en USA. Por eso me resulta incomprensible que hagan escuchas fuera de USA, donde verizon no opera

    ResponderEliminar
  11. Cuidado Chema, hay un juez que está buscando a un maligno que utiliza su foto con el Ipad por conferencias de seguridad, mmmm dice que es melenudo como tu y que cuando lo agarre lo va a empurar jo jo jo.

    (No creas, que lo mismo el tipo se ha visto en youtube)

    Camina por la sombra.

    ResponderEliminar
  12. Anónimo dijo...
    ¿Creéis que los peces gordos usanos pueden controlar tarde o temprano a la gente que use software libre?

    Hasta la fecha y por mi experiencia con el Free-Soft, hay mucha gente que mete código, veamos... Apple, Microsoft... Packard, IBM, CISCO, Google... ¡oh! y tienen amigos de la CIA y otros singulares lacayos. Sí, creo por mi parte que sin duda pueden tomar su trozo de pastel.

    Pero yo no me complicaría, iría a los fabricantes de Hardware (INtel,NVIDIA; SAMSUNG...) y directamente en BIOS metería mi aportación de espionaje, ni troyanos en el núcleo ni nada, en el BIOS por si el usuario desea cambiar de núcleo.

    Y si lo anuncian es clara evidencia de que ya está implementado.

    ResponderEliminar
  13. Hello,

    Hasta ahora lo han echo y lo seguiran haciendo, pero no solo intercerptan las llamadas si no que TODO lo que significa "datos" en internet, llamadas, faxes, sms,etc..
    Todo ello lo han echo con el Echelon http://www.nsawatch.org/echelonfaq.html
    En España tambien tenemos uno, se implemento desde los años que goberno Jose Maria Aznar, de echo este sistema se uso y se usa para fines teroristas y/o amenazas (en teoria, porque seguro lo usaran para mas cosas)
    Un Saludo

    ResponderEliminar
  14. Awesome post! I also find & read this type of posts. Its very useful and helpful post for the ESAT Travels.

    ResponderEliminar