Breaking

13/3/17

EL REGALO DEL MIEDO 3: @uliman73 ENCRIPTACION

* By Lic. Ulises León Kandiko
La encriptación o el cifrado, algo que parece sacado de una mala película de espías del siglo pasado, algo que algunos advenedizos del tema remontan sus orígenes a civilizaciones como la Egipcia, China o India. Sistemas de mensajes que se veían en los antiguos textos judíos, quienes encriptaban los mismos sustituyendo la primera letra del alfabeto por la última y así sucesivamente. Otros atribuyen a Julio Cesar el primer método encritptado con su debida documentación, y así podríamos estar un rato largo exponiendo quien fue el padre de la cosa.

Sin embargo, si podemos afirmar que a principios del 1900 con e advenimiento de la Primera Guerra Mundial se produjo el auge de sistemas de encriptación y por ende el sistema para romper esas encriptaciones.

Para poner un poco de base y claridad, podemos entender a la encriptación como el proceso para volver ilegible información que consideramos importante. Una vez encriptada solo puede leerse aplicándole una clave. Se trata de una medida de seguridad que es usada para almacenar o transferir información sensible que no debería de ser accedida por terceros.


En el caso de este artículo pretendo hacer un  pequeño recorrido sobre como se esta legalmente al respecto, consideraciones básicas sobre la temática y que hay en materia tecnológica.

Desde el punto de vista de las Fuerzas del Orden o la Ley, el objetivo es bien claro, es el acceso fácil a todos los datos electrónicos que podrían resultar útiles durante una investigación penal, ya sea que los datos estén en reposo o en tránsito. La combinación de codificación fuerte y las protecciones Constitucionales pueden encontrarse en pugna e inhibir esa meta.

Es conocido el caso que sigue el FBI, habiéndose hecho de un teléfono inteligente (smart phone) perteneciente a unos terroristas abatidos, se encontraron con que los dispositivos estaban encriptadas.

A partir de allí, en el caso particular del FBI y para mejorar sus capacidades de investigación, han bogado públicamente por al menos 2 cosas concretas:

·         Un método para evitar el cifrado fuerte, ya sea por medios técnicos - a través de una puerta trasera - o descifrado obligatorio, invocando usualmente el estatuto de 1789 conocido como Ley de Todas las Escrituras; y

·         El precedente legal para obligar a un fabricante de tecnología a evitar su propia encriptación de datos en reposo, en el espíritu de la Ley de Asistencia de Comunicaciones para la Aplicación de la Ley de 1994 que se aplica a los datos en tránsito.



Sin embargo además de estas 2 opciones que son de carácter público, el FBI tiene una tercera opción llamada hacking legal, que se ha utilizado durante casi dos décadas, pero el método se ha caracterizado por el largo tiempo que demanda en romper el cifrado y sólo esporádicamente exitoso.

En el caso mencionada antes en el que el FBI se había hecho de un teléfono inteligente perteneciente a un terrorista, el FBI invocó el Acta “Todas las Escrituras” para obligar a Apple a desbloquear uno de los iPhones de los terroristas muertos. ¿Quién podría defender la intimidad de terroristas muertos con sangre Norteamericana en sus manos?

El FBI fue desafiado por Tim Cook, CEO de Apple, una empresa con un interés igualmente fuerte, pero opuesto, al FBI en cuanto a la emisión de datos cifrados de sus clientes. Cook no defendía terroristas, terrorismo ni derechos constitucionales. Cook estaba defendiendo un principio básico del modelo de negocio de Apple (y mucho de Silicon Valley). Los datos son el nuevo petróleo, y la recolección de datos, el almacenamiento y la minería pueden ser lucrativos, pero todo depende de los consumidores que confían en Apple.

Mientras que la disputa pública entre Apple y el FBI jugó hacia fuera, un juez de magistrado para un caso separado en Los Ángeles emitió una orden el 25 de febrero de 2016 para obligar a Paytsar Bkhchadzhyan de Glendale, California, la novia de un supuesto gángster armenio, Para proporcionar su "huella digital al iPhone", desbloqueando así el dispositivo.

Al igual que sucede en todas partes del mundo libre, no hay certezas absolutas sobre como actuará la Justicia, tal así que el FBI dejó pendiente su reclamo ante la Corte para obligar a Apple a desbloquear el iPhone del terrorista muerto en San Bernardino y en su lugar contrató a un tercero para "hackear legalmente" el dispositivo del terrorista usando una vulnerabilidad desconocida.

En septiembre de 2016, Associated Press, Vice Media Group y Gannet, la compañía matriz de USA Today, demandaron al FBI en el tribunal de distrito del Distrito de Columbia para que divulgara la información sobre el hack del teléfono de los tiradores de San Bernardino. En enero, el FBI declinó, citando el "riesgo de seguridad" de liberar dicha información. En febrero, las tres organizaciones de medios restringieron el alcance de su solicitud, pidiendo solamente por la identidad de los hackers y cuánto había pagado el FBI ese trabajo. El FBI aún no ha respondido a la última solicitud.

Enmarcando el Debate

El debate de seguridad vs. privacidad siempre ha sido complejo.

Tristemente hoy día atentados como los ocurridos en París, San Bernardino y Bélgica se convierten en la moneda de cambio habitual, vuelven a poner en la palestra del debate tecnológico temas como la seguridad pública contra la privacidad, sin importar en que región  del mundo nos encontremos.

Jorge Vega, director senior de Asuntos Jurídicos, Corporativo y de Filantropía de Microsoft México, consideró que “ante eventos extraordinarios como esos, la seguridad pública siempre prevalecerá”. Adam Klein, miembro principal del Centro para una Nueva Sociedad Americana, lo resumió acertadamente: “Este no es un debate artificial en el que un lado está completamente equivocado y el otro es completamente correcto; Es un dilema político auténticamente difícil en el que varios intereses legítimos están en tensión entre sí”.

Un nuevo informe del Centro de Estudios Estratégicos e Internacionales (CSIS) resume el actual dilema que se aplica al cifrado: “Es de interés nacional fomentar el uso de cifrado fuerte. Ninguno de los entrevistados en la policía o en la comunidad de inteligencia estaba en desacuerdo con nosotros. El quid del problema es si restringir la mensajería instantánea y el cifrado de disco completo que no permite la recuperación de datos sin cifrar sin el consentimiento del usuario”.


Sobre la base de nuevos datos, el CSIS afirma: El problema de cifrado que enfrentan las Policías y Agencias de Gobierno, aunque frustrante, es actualmente manejable. Mientras que el cifrado está creciendo rápidamente. Nuestra investigación sugiere que el riesgo para la seguridad pública creado por cifrado no ha alcanzado el nivel que justifica las restricciones o mandatos de diseño”.

Jeff Sessions, el nuevo procurador general de Trump, parece compartir puntos de vista similares con Trump y Comey. En respuesta a las preguntas del Senador Patrick Leahy, D-Vt., Durante las audiencias de confirmación del Senado, a saber: “El cifrado sirve para muchos propósitos valiosos e importantes. También es crítico, sin embargo, que la seguridad nacional y los investigadores criminales sean capaces de superar el cifrado, bajo autoridad legal, cuando sea necesario para promover investigaciones de seguridad nacional e investigaciones criminales”.

A los participantes en un panel criptográfico en la Conferencia RSA 2017 en febrero les cayo en gracia, simpática por no decir que se burlaron de la noción de Sessions de "superar" el cifrado.
  
Estado Actual de la Tecnología de Encriptación

El cifrado se aplica a los datos en tres estados: En tránsito, en reposo y durante el procesamiento. En el artículo presente me centraré en los datos de Internet y los dispositivos móviles personales.

Más de la mitad de todos los datos de Internet en tránsito están codificados. Un informe reciente del CSIS estima que sólo el 18 por ciento de las comunicaciones mundiales están encriptadas, con un número que se pronostica que subirá a 22 % para 2019.

Hace unas semanas, Google lanzó una herramienta de cifrado de extremo a extremo llamada E2EMail a la comunidad de código abierto para fomentar su desarrollo y adopción. E2EMail permite el cifrado OpenPGP de Gmail a través de una extensión de navegador de Chrome creada en una biblioteca de código abierto de JavaScript desarrollada en Google.

La mayoría de los datos en tránsito en Internet se cifran mediante Secure Sockets Layer (SSL) o TLS (Transport Layer Security). En los últimos años, los investigadores han revelado múltiples vulnerabilidades y explotaciones de prueba de concepto contra las versiones de SSL y / o TLS, especialmente Heartbleed, CANCILLA y FREAK.

La mayoría de las vulnerabilidades conocidas tienen parches disponibles, aunque su implementación puede ser esporádica. Por ejemplo, The Register informó en enero que 200.000 sistemas sin parches permanecen vulnerables a Heartbleed casi tres años después de que se publicara un parche. Las tecnologías de cifrado obsoletas o mal configuradas pueden dejar vulnerables los datos de usuario.

Los hackers que explotan certificados criptográficos presentan riesgos adicionales. A veces, la vulnerabilidad a los datos cifrados surge de tecnologías no relacionadas con el cifrado, como la reciente revelación de Google del error "Cloudbleed".

Los datos en reposo normalmente se encuentran en la nube o en dispositivos. Los servicios en la nube suelen usar alguna versión de Advanced Encryption Standard (AES). Por ejemplo, para cifrar datos en reposo, Google Drive utiliza AES de 128 bits, Dropbox utiliza AES de 256 bits y el iCloud de Apple utiliza "un mínimo de AES-128". Estos servicios también utilizan SSL / TLS con diferentes niveles de cifrado de bloque AES Para cifrar datos en tránsito.

Si bien teóricamente es posible, no es factible un ataque en fuerza bruta para corromper el AES-128 cifrado. AES-256 es prácticamente imposible, basado en las tecnologías actuales. Las preocupaciones más grandes con AES surgen de los llamados ataques de canal lateral.

Los métodos criptográficos pueden llegar a ser ineficaces a medida que aumenta el poder computacional. Recientemente, Google realizó el primer ataque de colisión exitoso en SHA-1, una función de hash criptográfica obsoleta que fue ampliamente utilizada en los primeros días de la Web. Durante años, los criptógrafos han instado a retirarse SHA-1 en favor de funciones de hash más fuertes, como SHA-3 y SHA-254.

Los fabricantes de teléfonos inteligentes están proporcionando cada vez más capacidades de cifrado para los datos almacenados localmente. Todos los iPhones, que son fabricados exclusivamente por Apple, ahora cifran los datos locales de forma predeterminada. Los teléfonos Android presentan un reto diferente: Google proporciona el sistema operativo Android, pero diferentes fabricantes fabrican los teléfonos que ejecutan Android. El uso de cifrado ha sido incoherente: Google trató de ordenar el cifrado a nivel de dispositivo, luego retrocedió y, desde entonces, ha intentado de nuevo.

El CSIS estima que el 47 por ciento de todos los dispositivos ahora utilizan cifrado. En respuesta, las compañías forenses digitales continúan ampliando sus capacidades. Hace poco, Cellebrite anunció un nuevo servicio capaz de desbloquear modelos para iPhone 6 y 6+.


Las instituciones financieras y las operadoras de pagos siguen empleando ampliamente la tokenización, en particular para salvaguardar el número de tarjetas de crédito. Aunque la encriptación no es adecuada, la tokenización proporciona seguridad de datos eficaz mientras se superan muchos inconvenientes históricos para el cifrado convencional (por ejemplo, procesamiento más lento, limitaciones de longitud de campo de la base de datos, etc.).

Normalmente, los datos deben ser descifrados durante el procesamiento. La empresa de seguridad Enveil, que presentó en RSAC17 Innovation Sandbox, afirma haber desarrollado un método de cifrado homomórfico que permitiría el procesamiento de datos sin descifrar los datos. La idea ha existido durante 20 años, pero no ha sido factible a escala comercial. La tecnología de Enveil, si está probada, representa un avance de la industria.

Algunos han advertido de la amenaza que la computación cuántica y la inteligencia artificial podrían suponer para el cifrado, pero los participantes en el panel de cripto RSAC17 dijeron que ambas tecnologías probablemente tengan "impactos mínimos"

 ¿Qué sigue para la política de cifrado?

En un "Documento para el próximo presidente" de diciembre de 2016 sobre la vigilancia, Adam Klein, miembro del Centro para una Nueva Sociedad Americana, escribió: "Por ahora, parece que hay pocas perspectivas de una resolución decisiva de cualquier manera ... ausente de un ataque terrorista mayor u otro evento que altera dramáticamente el equilibrio político ".

Luego del resonante caso de Apple-FBI, muchos (en particular en el Congreso de USA) parecían estar dispuestos a dejar de discutir las puertas traseras de cifrado y entrar en "la siguiente fase de las Guerras Cripto" explorando la piratería legal.


¿Y en caso de un ataque terrorista? En un blog escrito en diciembre de 2016, el experto en criptografía Bruce Schneier escribió: "Será una temporada abierta en nuestras libertades"..


*Licenciado en Seguridad, Egresado IUPFA, CSO., Analista, Especialista en Inteligencia, Seguridad Pública  y Defensa, Cyberterrorismo y Cyberamenazas. Actualmente es CEO de GS2 y brinda asesoramiento a Gobiernos Estaduales y Fuerzas de Seguridad.

No hay comentarios.:

Publicar un comentario

Instagram @SchmitzOscar