Boletín ENIGMA - nº 65
30 de Noviembre de 2008
Boletín del Taller de Criptografía
de Arturo Quirantes Sierra
Dirección original: http://www.cripto.es/enigma/boletin_enigma_65.htm
TEMAS DE ACTUALIDAD - Apología de PGP (o carta a un periodista)
TEMAS DE ACTUALIDAD - Hashing y búsquedas razonables
TEMAS DE ACTUALIDAD - Ataques WiFi (I): WEP
TEMAS DE ACTUALIDAD - Ataques WiFi (II): WPA
LIBERTAD VIGILADA - Lucha contra el crimen y espionaje
Este boletín me ha salido con una claro sabor de actualidad. Si en otras
ocasiones procuro combinar noticias modernas y antiguas, en esta ocasión la
actualidad se ha abierto paso a patada limpia. Este mes se ha conocido, por
ejemplo, una decisión de un tribunal norteamericano relativa al uso del hashing
como herramienta forense, en la que se pregunta hasta qué punto puede
considerarse una búsqueda razonable por parte de las fuerzas policiales. Al
margen de su relevancia en nuestro sistema judicial, creo que es un tema
interesante por sus implicaciones en el balance libertad-seguridad.
Otra noticia nos lleva a la detención de unos de los grandes jefes de la banda
terrorista ETA, el conocido como Txeroki. Entre otras cosas, se ha filtrado la
noticia de que dicho personaje usaba PGP para cifrar sus documentos. No es
noticia que grupos terroristas usen cifrado para protegerse (la noticioso sería
que no lo hiciesen), pero un artículo firmado este mes me obligó a redactar una
respuesta, que incluyo en su totalidad en el presente boletín. Los lectores
interesados podrán ampliar información en Kriptópolis, que abrió un hilo al
respecto. Casualmente, el capítulo de Libertad Vigilada de este mes trata del
uso de criptografía por parte de ETA. Que dicho este capítulo, el último que nos
quedaba por reproducir en el Boletín ENIGMA, toque un tópico tan actual, puedo
prometer y prometo que es fruto de la casualidad. A veces las cosas vienen así.
Tampoco podíamos dejar de hablar de un tema de candente actualidad: la
vulnerabilidad de los protocolos de seguridad wireless. Si hace algún tiempo
hablamos de los problemas de WEP, en esta ocasión nos hacemos eco de un reciente
ataque revelado contra una versión de WPA. Y, ya puestos, echamos un vistazo a
ambos protocolos, con lo que aprendemos un poco.
Finalmente, el último capítulo de Libertad Vigilada. Sólo nos queda el epílogo,
que probablemente aparezca el mes que viene. ¿Y después, qué? No me gusta copiar
por copiar, pero probablemente haya algún libro que nos resulte de interés.
¿Alguna idea? Mientras se me ocurre algo, aprovecho la oportunidad para
agradecer al autor, Nacho García Mostazo, su autorización para reproducirlo
aquí, y para enviarle un mensaje personal. Nacho, he perdido contacto y no sé
donde estás, así que si me estás leyendo, ¿qué pasa con el jamón que me debes?
Antes de meternos en harina, un mensaje a todos vosotros. Un par de personas me
han comentado que, al entrar en
www.cripto.es,
sus antivirus les avisan de un virus o troyano. He hablado con mi servicio de
hosting y efectuado un barrido antivirus personalmente, y el resultado ha sido
negativo. Si os sucede lo mismo os ruego me lo hagáis saber. Indicad nombre de
troyano, tipo de antivirus, sistema operativo y navegador. Es posible que se
trate de un falso positivo, pero si hemos aprendido aquí algo es a ser cautos y
no caer en lo obvio.
Saludos y que aproveche la lectura.
TEMAS DE ACTUALIDAD - Apología de PGP (o carta a un periodista)
[A
mediados de noviembre de 2008, el etarra Txeroki era detenido por la policía
francesa. Entre otras noticias, se hizo público que utilizaba el programa de
cifrado PGP para proteger la información. Óscar de Otálora, del Diario Vasco,
publicó el día 11 un artículo crítico con PGP y su creador. El día 12 le envié
la carta que adjunto a continuación:]
Granada, 12 Noviembre 2008
Estimado Sr. de Otálora,
Me llamo Arturo Quirantes Sierra. Soy profesor de Física en la Universidad de
Granada, y dirijo extra-académicamente una web sobre criptografía (www.cripto.es).
Como aficionado a la cripto, he leído con interés su artículo “La muerte se
escribe en PGP” (disponible en web en:
http://www.diariovasco.com/20081111/politica/eta-cifra-mensajes-2008111 1.html).
La he leído con interés, sí, pero también con algo de disgusto, debo
reconocerlo. En su artículo, plantea usted la criptografía como un arma que
permite a los criminales campar a sus anchas. Según ese mismo razonamiento,
deberían prohibirse los cuchillos de cocina, ya que hay gente que los usa para
matar a otra gente. También podríamos entregar copia de nuestras llaves de casa
a la policía, porque lo mismo los criminales usan las cerraduras para impedir
que alguien entre en su casa. O más aún, seguro que en el piso de los etarras
encontraron papel higiénico, así que ¿por qué permitimos que el papel higiénico
siga vendiéndose legalmente?
La táctica que usted usa -criminalizar algo porque puede ser usado por
criminales- es muy antigua, y por desgracia eficaz. Pero no hay más que ver los
usos que se dan hoy día a la criptografía (desde las conexiones seguras a
páginas web, pasando por los teléfonos GSM o los sistemas de apertura de puertas
a distancias) para reconocer que, si bien la criptografía puede ser usada mal,
en general es una herramienta muy útil en todos los niveles.
El primero de tales niveles es la protección de nuestra propia privacidad. Si
usted investiga un poco, encontrará mil y un ejemplos de interceptaciones de
comunicaciones ilegales, irregulares o poco ... digamos ... restringidas.
Precisamente PGP fue inventado a comienzos de los años 90 en un esfuerzo por
mantener algo de criptografía en manos del público. En aquellos días, el
gobierno norteamericano imponía fuertes restricciones a la exportación de cripto,
y parecía que la propia criptografía civil iba a ser ilegalizada de un momento a
otro (como estuvo cerca de suceder). Es en ese contexto, el de la lucha de los
gobiernos por asegurarse comunicaciones fácilmente interceptables, en el que
nació PGP, y no en el de la guerra fría, como incorrectamente afirma usted.
Puede vd. leer sus propias palabras al respecto en
http://www.pgpi.org/doc/whypgp/es/
.
Percibo, por su parte, cierta animadversión contra Zimmermann, el creador de PGP.
Cuando afirma usted que que demandado y ganó, no parece recordar que, en
realidad, la demanda no tenía base alguna. Se le culpaba de exportar el programa
cuando a) muchas otras personas lo habían hecho antes (en alguna ocasión
legalmente), y b) nunca hubo la menor evidencia en su contra.
En cuanto al párrafo:
“El creador del PGP, por contra, defiende un tipo de proyectos más cercanos al
anarquismo o el liberalismo más exacerbado. En este sentido, en los escritos de
Zimmermann se denuncian los intentos de la Administración Bush por controlar el
mayor número de sistemas de comunicación entre ciudadanos. «Si la privacidad
está fuera de la ley, sólo los que están fuera de la ley tendrán privacidad»,
resume el informático.”
no puedo estar más en desacuerdo. No tiene usted más que escarbar un poco en
algunos de los proyectos de interceptación más polémicos (Echelon, la ley
Patriot, las escuchas legalizadas por orden presidencial) para caer en la cuenta
de que protegernos contra nuestro propio gobierno no es sólo tarea de
paranoicos, sino que por el contrario constituye una labor de buen gobierno y
autoprotección. Por otro lado, yo he participado en diversos proyectos legítimos
que, por uno u otro motivo, debían permanecer confidenciales en su momento, y le
aseguro que esa necesidad de protección es necesaria más allá de si es un
“proyecto cercano al anarquismo o el liberalismo más exacerbado”, como usted
afirma. Por desgracia, es muy fácil etiquetar alegremente a quienes queremos
criticar que razonar sus motivaciones de modo desapasionado.
En otro orden de cosas, tomarla con PGP es absurdo, entre otras cosas porque los
protocolos criptográficos están disponibles a cualquiera. Un informático con dos
dedos de frente (e incluso con uno) puede tomar las instrucciones de esos
algoritmos y convertirlos en líneas de código, muy fácilmente. Borremos PGP, y
aún dispondremos de centenares de programas de encriptación para usarlos
libremente.
También me gustaría expresarle mi convencimiento de que, incluso usando PGP, los
mensajes cifrados pueden ser en ocasiones recuperados. No mediante el
desciframiento directo. Pero la policía dispone de herramientas forenses muy
poderosas, que exploran el disco duro en busca de información residual como
archivos borrados (¿sabía usted que un archivo borrado realmente sigue en el
disco duro y puede ser recuperado fácilmente?) o contraseñas guardadas en
memoria caché, así como listas de diccionario y otros procedimientos
sofisticados para intentar averiguar la clave. Se pueden insertar troyanos que
capturen las contraseñas, o bien “olfatearlas” a distancia. No basta con PGP
para proteger un mensaje en un ordenador, del mismo modo que una puerta blindada
no basta para proteger una ventana que tiene una ventana abierta. Y usted, como
periodista, debiera haberse informado mejor al respecto.
Finalmente, su comentario:
“Según un experto de las Fuerzas de Seguridad, para que el
empleo del PGP sea eficaz en una organización, es necesario que en algún nivel
de la estructura exista una persona que controla todas las llaves. «Sin un
administrador de las claves, es muy fácil que se pierdan documentos al olvidar
una contraseña. Para que el método sea eficiente», continúa el experto, «el
sistema tiene que tener una memoria única que controle todas las informaciones
para evitar que una parte importante de la información se destruya».”
me resulta sencillamente increíble. Si hay algo que caracteriza PGP es su
carácter descentralizado. No hace falta ninguna persona o autoridad central que
cree o administre claves. Es cómodo, pero no imprescindible. Usted y yo
podríamos crear nuestras claves, intercambiarlas y comunicarnos en modo seguro
durante años. Yo lo hago. Y no necesito que nadie controle mis claves. De hecho,
PGP incorpora un funcionalidad que permite, mediante una clave de descifrado
adicional, descifrar mensajes incluso si el dueño no está disponible.
Resumiendo: ni PGP es invencible en un entorno real, ni es una herramienta
imprescindible, ni es usado exclusivamente (ni siquiera aproximadamente) por los
malos. Muy por el contrario, le recomiendo su uso, porque seguro que en más de
una ocasión habrá necesitado disponer de comunicaciones y almacenamiento de
datos confidencial y seguro.
Por lo demás, estoy a su disposición para cualquier aclaración o asesoramiento
que vd. desee. Puede encontrarme en
aquirantes@cripto.es, y en la web
www.cripto.es
Cordialmente,
Arturo Quirantes Sierra
[Publicado anteriormente en Kriptópolis:
http://www.kriptopolis.org/la-muerte-se-vende-como-cuchillos-de-cocina ]
TEMAS DE ACTUALIDAD - Hashing y búsquedas razonables
En
todas las películas y series norteamericanas donde aparecen policías o abogados,
una de las cosas que aparecen son las órdenes de registro. Llamadas
genéricamente "warrants", autorizan a la policía a registrar lugares, personas u
objetos en busca de pruebas. Los seguidores de CSI están habituados a ver
órdenes para ver zapatos, registrar dobladillos de pantalones o examinar ruedas
de repuesto de automóviles. En principio exigir una orden para un zapato
izquierdo nos parece algo demasiado específico (¿qué pasa si luego la mancha de
sangre está en el zapato derecho).
Pero el engorro en especificar qué se quiere registrar, cómo y por qué motivo,
evita que los abogados defensores puedan invalidar una búsqueda por ser
demasiado amplia. Uno de los principios de la ley norteamericana consisten en
exigir lo que se necesita para la investigación, y nada más. Viene impuesto nada
menos que por la Constitución de los Estados Unidos, cuya Cuarta Enmienda
protege a los ciudadanos contra registros no razonables ("unreasonable search"):
"No se emitirán órdenes [warrants] salvo mediante causa probable ...
describiendo particularmente el lugar que será registrado, y las personas o
cosas que serán registradas".
Indudablemente, la Cuarta Enmienda se convierte en una limitación al trabajo de
fiscales y policías, pero asimismo se convierte en una herramienta poderosa para
la protección de los derechos y libertades individuales. Eso hace que, conforme
avanza la tecnología y se complican las relaciones entre personas, se entablen
batallas jurídicas apasionantes. ¿Una empresa, como entidad jurídica, es igual
que una persona física a efectos de privacidad? ¿Se puede registrar la basura
que ha tirado una persona? ¿Le pertenecen a una persona las huellas dactilares
del vaso que ha tocado? ¿Se puede registrar una casa desde el exterior mediante
medios no intrusivos, como examinar la radiación infrarroja (calor) que
desprende, o con un radar?
La frontera es más difícil de establecer de lo que parece indicar el sentido
común. Hay muchos procesos automáticos que difícilmente pueden considerarse
registros o búsquedas; pero, por otro lado, ¿un registro se define por sus
métodos, por sus resultados, o por el efecto obtenido? ¿Es registro una acción
llevada a cabo fuera de la propiedad de una persona? Hasta 1967, los pinchazos
telefónicos en los Estados Unidos se consideraban legales si no se invadía el
domicilio del abonado; tuvo que ser el Tribunal Supremo el que dictaminara que
una interceptación telefónica sí era un registro, y por tanto requería una orden
judicial.
Puede uno imaginarse ejemplos actuales. Supongamos que usamos una cámara
termográfica para medir el calor generado por una casa. Si lo hacemos desde el
exterior, puede argumentarse que lo único que hacemos es recoger radiación
infrarroja emitida por su dueño sin limitaciones. Pero si eso resulta una
evidencia jurídica en un proceso judicial, la cosa se complica. Mi defendido,
diría la defensa, nunca consintió que su calor fuese detectado, no fue informado
de que se recogería en la calle, y estaba en su casa. Intenten ustedes resolver
el intríngulis. Creo recordar que el Tribunal Supremo invalidó dicha búsqueda
por violar la Cuarta Enmienda. Pero luego dijo que las fotografías que envía una
persona para revelar pueden ser registradas por la policía sin necesidad de
orden. Como digo, un laberinto jurídico.
Por supuesto, el boletín ENIGMA no se han convertido en un boletín de
información jurídica. Si he sacado el tema a colación, es precisamente porque la
frontera gris de la Cuarta Enmienda ha tocado un punto que ya hemos tratado
desde el punto de vista técnico: las funciones hash.
Un hash es una función que toma un archivo o texto (M) y lo convierte en un
"destilado" formado por unos cuantos bits. Es una forma cómoda de representar
dicho archivo. Estamos acostumbrados a ver funciones hash dentro del esquema de
la firma digital, ya que dicha firma no es más que el resultado de tomar un
archivo, someterlo a una función hash y cifrar dicho hash con nuestra firma
privada. Pero también sirve para identificar archivos. Si busco una imagen en
Internet, me resultaría muy difícil. Digamos que quiero conocer el origen de una
fotografía que una vez me pasaron. ¿Cómo describirla para que Google me la
encuentre? Difícil, si se trata de una descripción verbal. Pero si en lugar de
decir "una foto que vi una vez, que tenía flores blancas sobre un fondo de hieba,
y un pequeño escarabajo a la derecha" indicamos el valor de su hash, el sistema
puede buscar la foto cuyo valor de hash coincida con la nuestra. El hash vendría
a ser algo así como nuestro número de DNI o de pasaporte.
Pueden imaginarse el valor que esto tiene para los que persiguen intercambios de
música sin pagar, o sencillamente fotografías de contenido pederasta. Y aquí
conectamos con el caso que nos ocupan. Recientemente, un tribunal norteamericano
tuvo que dictaminar sobre si tomar un hash de un archivo constituye una búsqueda
razonable o no. El caso tiene bastantes flecos interesantes, pero permítanme que
nos centremos tan sólo en la parte criptográfica.
Antes, los antecedentes. El acusado, al que llamaremos Antonio (los nombres
reales son públicos, pero no quiero contribuir a airearlos), estaba de alquiler,
y según parece no pagaba la renta, así que su casero Carlos contrata a Manuel
para que vacíe la vivienda. Manuel, entre otras cosas, encuentra el ordenador de
Antonio y se lo da a su amigo Pepe. Éste se dedicó a trastear en el ordenador y,
entre otras cosas, descubrió dos videos con pornografía sexual explícita entre
menores. Asustado, borró los vídeos, y unos días después se dirigió a la policía
y les entregó el ordenador.
En este punto, la historia ya está bastante liada. Hay que tener en cuenta si el
casero estuvo dentro de la ley al coger las posesiones del alquilado, quien por
su parte denunció el hurto de su ordenador. En cualquier caso, el detective
Grissom (lo siento, no he podido resistirme a usar ese alias) toma el ordenador
y lleva a cabo un análisis forense. Los pasos que siguió pueden ser de mucho
interés para aquellos que se han preguntado cómo se puede, en un caso de este
tipo, demostrar que la policía no ha alterado datos.
Lo primero que hizo Grissom es calcular un valor hash (usando el algoritmo MD5)
de todo el disco duro. De este modo, más tarde se podrá detectar si ha sido
cambiado siquiera un bit del disco. Dicho cálculo se efectuó mediante un
programa en modo de sólo lectura (para evitar escrituras accidentales en el
disco). A continuación, hizo un barrido antivirus, y después de ello creó una
imagen, es decir, una copia exacta del disco duro. Usando los datos de la
imagen, Grissom se dedicó a calcular valores hash de todos los archivos del
disco duro, y más tarde los comparó con los valores hash existentes en una base
de datos del National Center for Missing and Exploited Children. De ese modo, se
puede verificar si algún archivo del disco duro es sospechoso de ser
pornográfico sin siquiera ver dicho archivo. Según la denuncia, Grissom obtuvo
171 videos sospechosos, que tras una inspección ocular mostraron múltiples
imágenes de pornografía infantil. Finalmente, examinó los registros del
ordenador en busca de información sobre páginas web visitadas.
El lector debe fijarse en el uso de los valores hash como identificadores de
archivo. El investigador no accedió directamente a los archivos sospechosos
hasta que obtuvo indicios razonables basados en la comparación de valores hash
con los de otros archivos. Hasta que obtuvo ese indicio, nadie visualizó los
videos, y ni siquiera se había alterado un solo bit de la propiedad del acusado.
Por otro lado, esos datos podían ser usados para incriminarles, y el proceso de
obtención de las pruebas fue cuando menos cuestionable. Por ello, una de las
solicitudes de la defensa fue la supresión del ordenador como prueba.
Argumentaban violación de la Cuarta Enmienda.
En la resolución judicial, se indicaba que, en efecto, un registro sin orden
judicial es inaceptable, salvo casos muy concretos. Ello no obstante, se supone
que cuando no hay expectativas razonables de privacidad la Cuarta Enmienda no te
protege. Es decir, si un oficial de policía efectúa una búsqueda que no
comprometa la privacidad del interesado, dicha búsqueda no está afectada por la
Enmienda. Por poner un ejemplo tonto, si una persona está hablando en público
por teléfono a grandes gritos, y el altavoz permite a cualquier persona escuchar
las respuestas a varios metros de distancia, no debe quejarse de violación de la
privacidad.
La acusación decía que se daba el caso de "no expectativa razonable de la
privacidad". Pepe ya había accedido al ordenador de Antonio, y el posterior
registro policial del ordenador se llevó a cabo en condiciones mucho más
restrictivas (doctrina de registro privado, en el que no se aplica la Enmienda).
De hecho, Grissom ni siquiera "accedió al ordenador", sino que se limitó a
calcular valores hash. Resulta algo cuestionable, a menos de que por "acceso"
quiera referirse a exámenes audiovisuales o alteraciones de datos. Sólo tras
comparar los hashes con valores de videos pornográficos ya conocidos resultó
legal el registro (examen visual) del contenido del ordenador.
Por contra, la defensa argumentaba que el hecho de obtener valores hash
constituyó un registro más intrusivo que el examen visual de Pepe, y que la
protección de la Cuarta Enmienda debería aplicarse sobre sus intereses de
privacidad en el ordenador. La protección, en este caso, era un tema nuevo para
ese tribunal, por lo que se dedicó a estudiar el tema en profundidad. El
tribunal estimó adecuado que Pepe se chivase a la policía, ya que la
interpretación legal de la Cuarta Enmienda permite que un tercero a quien el
acusado haya comunicado datos se los pase a la policía. Según esto, si los
investigadores policiales no registran el ordenador de forma más invasiva que
Pepe, los resultados obtenidos no se consideran registro irrazonable.
Este es un punto importante: ¿fue el examen de Grissom más profundo, o menos,
que el de Pepe? O dicho en otras palabras: ¿es más intrusivo un examen visual de
un video, o una compilación de valores hash? La acusación afirmó que, puesto que
los agentes no miraron ningún archivo, no hubo registro. El tribunal rechaza
esta argumentación y decreta que la obtención de hashes sin orden judicial fue
una violación de la Cuarta Enmienda"
"Para obtener los valores hash del ordenador de [Antonio], el gobierno [la parte
acusadora] retiró físicamente el disco duro del ordenador ... o aplicó el
programa EnCase a cada compartimento, disco, archivo, carpeta y bit. Al someter
al todo el ordenador a un análisis de valores hash, cada archivo, historia de
internet, fotografía y "lista de colegas" se hicieron disponibles para revisión
por parte del Gobierno. Un examen tal constituye un registro"
El tribunal razona que la búsqueda de Pepe fue muy diferente que la de Grissom,
y por tanto no se puede aplicar la doctrina de "Pepe lo hizo primero". Que
Antonio perdiese las expectativas de privacidad con respecto a los dos videos
visualizados por Pepe no significa que los perdiese con respecto al resto de sus
archivos. La búsqueda con valores hash no cambian la cuestión, ya que permanece
en pie el hecho de que los investigadores de la acusación obtuvieron con ella
mucha más información que la proporcionada por Pepe.
Con todo, el modo de argumentar es algo extraño. Se cita un precedente, según el
cual no es legítimo examinar todos los disquetes o CDs de la casa de un
sospechoso sólo porque en uno de ellos un particular hubiese encontrado
información sospechosa. El argumento de la acusación de que el disco duro es un
sólo disco no se aplica, dice el juez, porque un disco duro está compuesto de
diversas placas metálicas denomimadas "platters" que. aunque funcionalmente
funcionan como un solo disco. pueden considerarse como "contenedores de datos"
individuales, y por tanto, entidades físicas que pueden considerarse como si
fuesen
disquetes separados.
Incluso el examen visual de los videos sospechosos, efectuado después de la
comparación de valores hash, se considera según el juez protegido por la Cuarta
Enmienda, y por lo tanto necesitado de orden judicial. Su conclusión es tajante:
"Los funcionarios policiales, sin exigencia y sin autorización, llevaron a cabo
una investigación no imitada, sin orden judicial del ordenador de una persona, a
pesar del hecho de que una orden podía haberse obtenido con facilidad"
De todos modos, Antonio no debe descorchar el cava. Aunque no pueda usarse la
evidencia obtenida del su ordenador, no lo tiene nada fácil. La policía también
hizo sus deberes a la antigua usanza e interrogó al sospechoso en su casa, y
Antonio terminó confesando que fue él quien introdujo esos videos en su
ordenador. Su abogado intentó invalidar la confesión, pero el juez estimó que la
hizo de modo voluntario y sin coerción, así que el proceso judicial continúa.
Entre su declaración y el testimonio de testigos, dudo que Antonio salga airoso
del caso.
La decisión de que los datos obtenidos del ordenador no sean admitidos como
prueba van más allá del interés en situaciones similares. Como método de
investigación legal, el análisis mediante comparación de valores hash se
considera en iguales términos que el examen visual. Esto me parece adecuado, ya
que permitiría obtener pruebas, sin orden judicial, que podrían condenar a un
acusado o cuando menos influir fuertemente en un proceso. El cálculo de valores
hash no puede apelar a su carácter no intrusivo para eximirse de protecciones
tipo Cuarta Enmienda. Un valor hash puede ser usado para determinar el carácter
legal o ilegal de un archivo (no de forma perfecta, pero puede ayudar en
ocasiones), y por tanto un acusado debería ester protegido mediante las mismas
salvaguardia legales que se otorgan a registros domiciliarios o interceptaciones
telefónicas.
Con la proliferación del tráfico en Internet, el uso de funciones hash será cada
vez más extendido, y no sólo en investigaciones de tipo penal. Ciertamente, se
planteará ahora la conveniencia de que la policía obtenga permiso judicial para
obtener valores hash, y no sólo en casos como el visto aquí, sino también para
examinar material audiovisual de tipo pederasta que circule o se pueda
intercambiar por Internet. Las investigaciones judiciales serán más difíciles a
partir de ahora, pero a cambio quedarán salvaguardados nuestros derechos de
privacidad.
Tal vez usted crea que no le concierne porque no tiene videos porno en casa.
¿Pero cómo cree usted que la industria audiovisual intenta controlar la
piratería informática? Si una sociedad tipo SGAE penetra en las redes p2p y
comienza a compilar listas de valores hash, podrá determinar quién se está
descargando tal o cual video. Con tal información (que un usuario legítimo de
p2p usa para localizar el archivo de su interés), pueden dirigirse al proveedor
de servicios para que nos amenace con cortarnos la conexión, o incluso iniciar
un procedimiento legal. Ya hay diversas iniciativas, o intentos, para
desconectar a los usuarios que se descargen material no autorizado (la última en
Francia). ¿Cómo podrá llevarse a cabo sin órdenes judiciales? Repita conmigo:
funciones hash.
TEMAS DE ACTUALIDAD - Ataques WiFi (I): WEP
En
el boletín ENIGMA nº 52, mencionamos los últimos ataques contra el sistema de
encriptación WEP, que protege (es un decir) las comunicaciones Wi-Fi de los
router inalámbricos tan de moda hoy día. La solución, según todos los expertos,
consistía en pasarnos al mucho más seguro sistema WPA. Sin embargo, incluso eso
vamos a tener que replantearnos ¿El motivo? Parece que hasta el poderoso WPA
está sucumbiendo a los ataques criptoanalíticos. Vamos a describir dicho ataque,
y en el proceso aprovecharemos para arrojar un poco de luz sobre el modo en que
funcionan tanto WEP como WPA. Por supuesto, evitaremos los escollos más
engorrosos.
Antes, una breve introducción. La familia de normas técnicas para comunicaciones
inalámbricas reciben el nombre genérico de estándar IEEE 802.11. En un
principio, el acceso estaba protegido mediante el estándar Wireless Equivalent
Privacy (WEP). Básicamente, WEP utilizaba dos algoritmos: RC4 para el cifrado y
CRC-32 (Código de Redundancia Cíclica) para asegurar la integridad del mensaje.
Usar CRC-32 permite, en teoría, detectar si se ha alterado el flujo de datos.
Por desgracia, el carácter lineal de CRC-32 y el modo en que está implementado
en WEP permite efectuar ataques activos, es decir, alterar bits del mensaje
cifrado y luego modificar el valor de CRC-32. De esta forma se puede jugar con
el mensaje transmitido sin que se detecte la alteración.
Centrémonos ahora en el cifrado en sí. RC4 es una cifra de flujo (Stream Cipher)
que, a partir de una clave K, genera una corriente de números pseudoaleatorios a
la que llamaremos "flujo pseudo aleatorio". Dicho flujo se suma (XOR) con el
texto llano para dar texto cifrado.
Uno de los problemas de RC4 es que, si sabemos algunos bits de la clave K, es
relativamente fácil obtener los otros. Recalco lo de "relativamente fácil" en el
sentido de que puede no ser fácil en absoluto. Dependiendo de la cantidad de
clave que se conozca, y de lo listo que sea uno, se pueden montar ataques para
averiguar K, o cuando menos, para descartar las claves menos probables.
Segundo problema: si dos mensajes se cifran con la misma porción del flujo de
clave, es un juego de niños obtener en texto llano. Es, por tanto, importante
que dicho flujo no se repita. El problema es que, en una red inalámbrica, todos
los intercomunicadores usan la misma clave K ("clave raíz"). Puede que no sea un
problema en una instalación casera con un solo ordenador, pero si tenemos más de
uno aparece el problema; y no les digo nada en un entorno corporativo.
Para su uso en WEP, el problema se multiplica, ya que cada paquete de datos ha
de cifrarse de modo independiente. Para ello, el emisor envía un paquete de
datos que consta de un vector de inicialización (IV) y la clave en sí (K). De
ese modo el paquete compuesto IV/K funciona como clave para cada paquete de
datos. El vector de inicialización IV tiene una longitud de 24 bits. En lo que
respecta a la clave K, recordemos que cuando se desarrolló WEP había
restricciones en EEUU a la exportación de material criptográfico, de modo que
RC4 tenía dos sabores: el casero (104 bits) y el internacional (40 bits). Eso
nos da claves compuestas de 64 y 128 bits, respectivamente.
Un punto a tener en cuenta es que RC4 no dispone de capacidad para generar
vectores de inicialización, de modo que era el algoritmo WEP el que los
producía. El esquema de funcionamiento es el siguiente. El emisor toma la clave
compuesta IV/K (vector de inicialización mas clave) y lo usa con el algoritmo
RC4. El flujo pseudoaleatorio se suma (XOR) al texto llano para dar el texto
cifrado. Dicho texto, junto con el IV, se transmite por el aire. En el otro
extremo, el receptor toma el IV que ha recibido, lo junto con la clave K que ya
poseía, y reconstruyeel flujo pseudoaleatorio, hace una suma XOR con el texto
cifrado y obtiene de nuevo el flujo llano.
Es decir, WEP no es más que RC4 con un añadido (el IV) para poder cifrar cada
paquete por separado. Y aquí viene la parte que pone los pelos de punta. Ambas
partes conocen la clave secreta K, y no se la dan a nadie. Sin embargo, durante
la transmisión del texto cifrado, también ha de enviarse el vector de
inicialización. !IV se envía en llano, sin cifrar! Esto significa que le estamos
dando al adversario 24 bits de la clave compuesta. Es como si el director del
banco le dijese al cliente que acaba de salir de la sucursal algo así como "!eh,
señor López!, se me olvidó decirle que la primera cifra del PIN de su tarjeta es
el tres." Que levante la mano quien no desearía volver y meterle la tarjeta en
el gaznate al bocazas. Puesto lo mismo. Incluso en la versión doméstica, eso
significa reducir de un plumazo la seguridad a la de una clave de 104 bits.
Sigue siendo mucha seguridad, pero alguien que, de entrada, te reduce las claves
posibles en un factor 2^24 no parece tener mucha idea del asunto.
El asunto es peor de lo que nos imaginamos. Un IV de 24 bits significa que hay
tan sólo 2^24 posibles valores para el IV. Si decimos que 2^24 = 16.777.216,
suena mucho. Pero imaginemos que cada paquete cifrado tenga una longitud de 1
kilobyte. Una red transmitiendo a 11 Mbs agotaría todos los posibles IV en menos
de cuatro horas. Para rematar la
faena, algunas tarjetas wifi usan los IV en forma secuencial: toman el primer IV
como cero cuando la tarjeta se resetea, y luego va incrementando los IV en
valores de uno. Como golpe final, el propio estándar 802.11 se limita a afirmar
que cambiar el IV de un paquete a otro !es algo opcional! Si en este punto se
pregunta usted qué utilidad tienen los IV en la seguridad, ya somos dos.
La debilidad de WEP en lo que toca a los IV permite diversos tipos de ataques
pasivos, en los que el atacante se limita a "esnifar" paquetes de datos. Cuando
suma (XOR) dos de esos paquetes que comparten IV, el resultado es igual que el
de hacer XOR con los dos textos llanos correspondientes, lo que da información
sobre dichos textos. El tipo de archivos, y el mismo carácter del tráfico por IP,
hace que dicho tráfico sea bastante predecible. Y no olvidemos que el IV forma
parte de la clave usada por RC4, de modo que conocerlos nos permite extraer
información sobre el resto de la clave.
Los ataques contra WEP se centraron, por supuesto, en el carácter público de los
IV. Se transmiten sin cifrar, así que no hay más que poner la oreja. Al mismo
tiempo, podemos intentar imaginarnos los primeros bytes en texto llano de los
paquetes transmitidos, ya que son hasta cierto punto predecibles. Los primeros
ataques requerían una gran cantidad de paquetes (unos cinco millones), pero el
personal se fue espabilando muy pronto. En 2004, una persona con el seudónimo
Korek publicó en un foro de Internet un conjunto de ataques criptoanalíticos,
que tenían probabilidades de éxito de entre el 5% y el 14%, y que estaban
basados en diversas correlaciones que encontró entre los primeros L bits de la
clave RC4 y los primeros bytes del flujo pseudoaleatorio generado. Otro nuevo
ataque, de 2007 ("WEP, inseguridad inalámbrica", Boletín ENIGMA nº 52) solamente
necesitaba unos 50.000 paquetes de datos para tener un 50% de probabilidades de
éxito. Ya estamos hablando de apenas unos minutos en una red típica, y de
escasos segundos de CPU para computación. Y mejor lo dejamos aquí, porque dan
ganas de llorar. Baste decir que, en la actualidad, existen paquetes
informáticos ("WEP Cracker") que efectúan esta labor de modo automático, sin que
el usuario tenga que saber nada de criptoanálisis.
Queda claro que WEP queda descartado cuando mencionamos las palabras "seguridad
inalámbrica". Según Bruce Schneier, muchos productos criptográficos inútiles han
sido implementados por gente que leía su libro Applied Cryptography. En este
caso, bien parece que WEP haya sido diseñado por gente que no se leía ni la
página de crucigramas. El único motivo por el que se usa todavía es por inercia:
las telecos no se quieren complicar la vida, y los usuarios ni saben del tema ni
les preocupa. Por supuesto, los lectores del Boletín ENIGMA van en saco aparte.
TEMAS DE ACTUALIDAD - Ataques WiFi (II): WPA
Vista la forma en que WEP hacía aguas, se creó un grupo trabajo para resolver el
fallo. El problema que apareció fue el común a muchos otros casos en los que hay
que mejorar algo. Y el problema es: ¿creamos algo nuevo, o bien mejoramos algo
antiguo? Ambas soluciones tienen sus peros. Mejorar algo antiguo es como aplicar
un parche: a veces va bien, a veces mal, en ocasiones es peor el remedio que la
enfermedad. En cuanto a crear algo nuevo, hay que contar con que no siempre
salen las cosas bien a la primera, lo que significa mucho tiempo para
comprobaciones y verificaciones, y mientras tanto ¿qué hacen los usuarios?
El grupo de trabajo adoptó ambas soluciones. Mientras por un lado se preparaba
un sistema nuevo, por otro se adaptaba el ya existente y se mejoraba. Esto
último permite que los sistemas que no puedan sustituirse se puedan al menos
mejorar. Pues manos a la obra, dijeron, y desarrollaro un "parche" que permitía
solventar los problemas derivados de un incorrecto uso de los IV. A dicha
solución la llamaron Protocolo de Identidad Temporal de Clave, o TKIP (Temporal
Key Identity Protocol). El protocolo TKIP, unido al viejo algoritmo RC4,
constituyó un nuev sistema llamado WPA, o Acceso Protegido Wi-Fi (Wi-Fi
Protected Access).
Paralelamente a WPA, que podemos considerar como un sistema de migración
temporal ("legacy"), se desarrolló un segundo sistema en el que se cerraban
diversos agujeros de seguridad. En lugar del cifrado en flujo RC4, decidieron
sustituirlo por AES, auténtica "artillería pesada" criptográfica. Para evitar
los problemas de integridad debidos a CRC-32, se decidió utilizar AES en el modo
de encadenamiento conocido como CBC, en el que unos bloques cifrados depende de
los bloques anteriores (se recomienda refrescar la memoria con el artículo
"Encadenando bloques", del Boletín ENIGMA 64). La combinación de AES y el
encadenamiento CBC (que recibe aquí el nombre de protocolo CCMP) fortalece la
seguridad del sistema hasta cotas estratosféricas. Ahora sí que estamos hablando
en serio.
Por desgracia, la necesidad de incluir los "sistemas legado" para asegurar la
compatibilidad con las tarjetas antiguas hizo que el protocolo TKIP siguiera
funcionando. Ahora tenemos dos soluciones: WPA y WPA2. La diferencia estriba en
que WPA solamente permite el uso "legado" (RC4 y TKIP), en tanto que WPA-2
permite ambas soluciones (RC4+TKIP y AES en modo CCMP, a elección).
Y decimos "por desgracia", porque este mes se ha publicado un ataque contra WPA.
Bajo el título "Ataques prácticos contra WEP y WPA", los investigadores Martin
Beck y Eris Lewis, de las universidades técnicas de Dresde y Darmstadt,
arremeten contra el sistema TKIP. Este protocolo es una versión mejorada del
esquema de claves de WEP. Incluye una función para "mezclar" la clave K y el
vector de inicialización IV. El código de reduncancia CRC-32, usado
anteriormente para verificar la integridad del mensaje, es complementado por un
comprobador de integridad (MIC, Message Integrity Check) llamado MICHAEL, de 64
bits. No es más que un parche para WEP, pero de ese modo los sistemas antiguos
pueden ser mejorados mediante una actualización de software o de firmware.
Beck y Lewis aprovecharon algunas rendijas en el sistema para abrirse camino. La
primera grieta es una ingeniosa táctica llamada "ataque chopchop", que ya usaron
para WEP. Imaginemos un paquete de datos cifrado, que lleva un "checksum" o
valor de CRC-32 para asegurar la integridad del paquete. En el chopchop, el
atacante toma el paquete, retira el último byte (llamémoslo R), lo sustituye por
otro que ha creado y calcula la "checksum", esto es, el valor correspondiente al
paquete con el nuevo byte. A continuación, envía el nuevo paquete al punto de
acceso, y comprueba si éste lo acepta. Si es así, el valor de R que ha creado es
el correcto; si no, prueba con otro R.
Es algo así como preguntar al punto de acceso "¿es este el byte correcto?" Si la
respuesta es afirmativa, ya sabemos cuál es el último byte del paquete. Y como
no hay ningún control por parte del punto de acceso sobre cuántos paquetes son
rechazados, el atacante puede seguir hasta encontrar con el valor de R que
"cuela".
El problema sería análogo al de un ladrón que intenta sacar dinero del cajero
con tarjeta ajena. Si hubiera una forma fácil de probar las diez mil
combinaciones, no hay más que darle al botón y esperar. Para evitarlo, los
cajeros automáticos imponen una espera entre un intento y otro, y se bloquea
tras tres intentos equivocados. Para evitarlo, el algoritmo Michael (que
sustituye al CRC-32) comprueba si hay dos "checksum" erróneas en un intervalo de
sesenta segundos. Si eso sucede, el punto de acceso proceede a resetear el
sistema durante un minuto y luego solicita un nuevo intercambio de claves para
todos los clientes.
Aun así, hay ocasiones en las que se puede lanzar un ataque chopchop. Eso se
debe a que el checksum generado por Michael se incluye en el paquete que, a su
vez, es sometido al checksum de WEP. Esto permite montar un chopchop sin que
Michael se entere.
Las condiciones son estas: supondremos que se utiliza el protocolo TKIP; la
dirección IP es, hasta cierto punto, conocida (algo así como 150.168.0.XX); el
sistema TKIP utiliza un intervalo de cambio de claves elevado (digamos una
hora); y la red soporta el llamado QoS (Quality of Service), que permite que
permite que los datos viajen por hasta ocho canales distintos.
Lo primero que hacemos es esnifar los paquetes hasta encontrar uno de tipo ARP.
Los paquetes ARP (Address Resolution Protocol), responsables de asociar una
dirección IP con una tarjeta Ethernet (MAC), son fáciles de identificar por su
longitud. En un paquete ARP se conocen todos los datos salvo el último byte de
la dirección IP (la dirección ethernet es conocida ya que se envía sin cifrar) .
Cuando está cifrado, desconocemos otros 12 bytes: los del checksum Michael, que
llamaremos MIC (Message Integrity Check, 8 bytes), y los del checksum de WEP,
que llamaremos ICV (4 bytes).
MIC y ICV forman los últimos 12 bytes del texto llano. ¿Cómo "chochopearlos" sin
que salten las alarmas? TKIP tiene dos contramedidas contra los ataques chopchop.
En primer lugar, como hemos visto antes, dos valores MIC incorrectos en menos de
un minuto dan lugar a un reseteo del sistema, seguido del envío de nuevas
claves. En segundo lugar, cada paquete lleva un contador numérico. Si el sistema
tiene su contador en el número 1540, y recibe un paquete con un número inferior
(digamos, 1538), el paquete se descarta.
La solución es sencilla: hagamos el ataque por un canal distinto a aquel por el
que se recibió el paquete. Escogeremos para ello un canal con poco tráfico, de
modo que lo más probable es que tenga su contador a un nivel bajo, más bajo que
el número del paquete. De ese modo, la segunda alerta anti-chopchop no se
activa. En cuanto a la primera, basta con espaciar los ataques más de un minuto.
Así, en poco más de 12 minutos, habremos averiguados los 12 bytes desconocidos.
Una vez conocido el valor de MIC, podemos usar el algoritmo MICHAEL para
descubrir cuál ha sido la clave que ha usado.
En este punto, el atacante ha conseguido no sólo recuperar el MIC, sino que
también conoce el flujo pseudoaleatorio. Con él, podrá enviar paquetes falsos al
sistema, con la salvedad de que hay que usar un canal de poco tráfico (es decir,
cuyo contador sea más bajo que el del paquete falso). Como tenemos ocho canales,
alguno habrá que se pueda usar. No es difícil, ya que en la mayoría de las redes
todo el tráfico se envía por el canal 0, de forma que tenemos los canales 1-7 a
nuestra disposición. El resultado no es espectacular, ya que solamente
estamosatacando un pequeño paquete de datos llamado ARP. Pero pueden montarse
ataques con paquetes ARP falsificados ("ARP poisoning"), cuyo resultado sería el
establecimiento de un canal del atacante hasta el cliente.
Los autores de este ataque sugieren, como contramedida, reducir el intervalo
tras el cual el protocolo TKIP cambia las claves, hasta uno o dos minutos como
mucho. Afirman que el problema puede fijarse sin mayores complicaciones. Pero su
mejor receta es la más obvia: olvidémonos de TKIP y usemos la versión fuerte, la
que usa AES.
Por desgracia, buena parte de la prensa entendió mal el ataque de Becky Lewis.
Algunos decían que eran las claves de cifrado (las que llamamos K anteriormente)
las que habían sido recuperadas. Había incluso quien se mesaba los cabellos,
desesperado porque el supuestamente indescifrable protocolo WPA había saltado
por los aires. No hay que sacar las cosas de quicio. Se trata de un ataque
parcial contra el sistema TKIP, que forma parte de WPA, pero sólo eso. Eso sí,
habrá que cambiar de WPA a WPA2. Y confiar en que resista futuros ataques.
LIBERTAD VIGILADA - Lucha contra el crimen y espionaje
[Extraído del libro "Libertad Vigilada", de Nacho García Mostazo, con permiso
del autor]
Segunda parte, capítulo 24:
Los terroristas saben perfectamente que sus comunicaciones son vulnerables, por
eso utilizan métodos de cifrado, cambian las tarjetas a los teléfonos móviles,
llaman desde cabinas telefónicas, hablan en clave o usan a personas como correos
para transmitir la información. Ya hemos visto que tienen su propia organización
de inteligencia, uno de cuyos trabajos consiste en analizar diariamente la
prensa para detectar posibles objetivos, aunque también seleccionan otras
noticias que pueden afectar al funcionamiento criminal de su organización. Por
supuesto, en ETA tomaron buena nota de la autorización española a los espías
norteamericanos para actuar en territorio nacional. Asimismo, también leyeron el
reportaje publicado por Gordon Thomas en El Mundo, cuando desveló que Estados
Unidos espía a ETA con un satélite. Sea o no cierta, la noticia seguramente hizo
un flaco favor a la lucha antiterrorista. Es muy posible que los etarras también
hayan leído informes y documentos sobre "Echelon" y sobre los últimos métodos
policiales para acorralar a los criminales interceptando sus comunicaciones. De
no ser así, no se entenderían las medidas que tomaron en 2001 para protegerse.
Según publicó José Luis Barbería en el diario El País en diciembre de 2001, "el
11 de septiembre le ha pillado a ETA huyendo de Internet. A estas alturas -decía
el reportaje- ya tiene pruebas de que su programa de comunicación interna ha
sido agujereado por los servicios de inteligencia españoles y extranjeros. El
sistema, en apariencia perfecto, que durante años le ha garantizado el secreto
absoluto y la simultaneidad de las comunicaciones, es cada vez más un espacio
vigilado, una trampa, un terreno dúctil, blando, arenoso, que guarda las huellas
de su paso y marca el rastro. Con la ayuda de las empresas matrices, la Policía
está descifrando sus claves y códigos en la Red y, roto el blindaje, el sistema
ETA-Internet se asemeja cada vez más a un queso gruyère. Al igual que Osama ben
Laden, que, por lo visto, recurre últimamente al secular sistema de los
mensajeros de confianza, ETA está volviendo a los zulos y buzones de siempre. No
se fía de las nuevas tecnologías. Para ella, Internet ha dejado de ser El Dorado
de finales del siglo pasado, y tampoco la telefonía móvil, tan práctica, le
ofrece ya las garantías de años atrás". [1]
Así pues, ETA es consciente de que se están aplicando métodos mucho más potentes
para adelantarse a sus actos criminales. En la lucha antiterrorista se ha dado
un paso de gigante, ya que la Policía, antes, perseguía a los terroristas una
vez que habían cometido sus crímenes, mientras que ahora se trabaja con métodos
preventivos para tratar de anticiparse a sus acciones. En ese contexto, parece
muy probable que se esté utilizando el entramado de espionaje de señales del
Ejército norteamericano contra ETA. También es posible que las autoridades
españolas estén usando otros mecanismos similares, aunque quizá menos
sofisticados, con el mismo fin. En cuanto a las medidas aprobadas por las
instituciones europeas sobre la intervención de las comunicaciones, parece obvio
que en España se han adoptado inmediatamente para poderlas aplicar en la
persecución contra ETA. Aunque es cierto que esta tecnología no es perfecta,
como se demostró sobradamente el 11-S, y que el necesario "factor humano" puede
desbaratar su capacidad, también es lógico pensar que, si está ahí, es porque
funciona.
Fuentes del Ministerio de Defensa declinaron hacer comentarios a propósito de "Echelon"
cuando solicitamos una entrevista con el ministro Federico Trillo-Figueroa para
documentar este libro. Oficialmente, este asunto se desconoce, dijeron. La
entrevista fue denegada. Sin embargo, el titular de la cartera de Defensa acudió
el 14 de febrero de 2002 al programa "El Círculo a Primera Hora" de Telemadrid,
la televisión pública de la Comunidad de Madrid. Los entrevistadores le
preguntaron sobre la cooperación estadounidense en materia antiterrorista y,
concretamente, por la cesión de "datos" obtenidos por la comunidad de
inteligencia norteamericana. El ministro dijo que tenía que ser "obviamente muy
discreto" en este terreno, pero afirmó que "no se trata de que los americanos
nos den los datos. Se trata -dijo- de que ponga a nuestra disposición la
capacidad tecnológica que ellos tienen para determinadas acciones. Y eso ya lo
están haciendo. Desde hace unos meses, lo están haciendo", explicó, para
concluir calificando de "enorme" y "sin precedentes" el avance en esta materia.
[2]
[1]. José Luis Barbería, "La red financiera del terrorismo vasco". El País.
Domingo 2 de diciembre de 2001.
[2]. El Círculo a Primera Hora. Telemadrid. Emisión del 14 de febrero de 2002.
Palabras textuales de Federico Trillo-Figueroa tomadas del vídeo facilitado por
el Departamento de Prensa de Telemadrid, S.A.
El boletín ENIGMA es una publicación gratuita del Taller de
Criptografía, y se rige por las normas de la licencia de Creative Commons
Reconocimiento-NoComercial-CompartirIgual. Se permite su libre copia,
distribución y comunicación para fines no lucrativos, citando nombre y
referencia.
Para más información, véase la licencia Creative Commons en sus formas reducida
y completa:
http://www.cripto.es/licencia/deed.es.htm
http://creativecommons.org/licenses/by-nc-sa/2.5/es/legalcode.es
PARA DARSE DE ALTA: envíe un mensaje a la dirección alta arroba cripto.es
añadiendo las palabras alta_enigma en el asunto (subject).
PARA DARSE DE BAJA, envíe un mensaje a la dirección baja arroba cripto.es
añadiendo las palabras baja_enigma en el asunto (subject)
Para comentarios a este boletín (dudas, preguntas, consultas, críticas,
noticias, colaboraciones, etc.), estoy a su disposición en la dirección
noticias arroba cripto.es
Página del Boletín Enigma (incluyendo números atrasados):
http://www.cripto.es/enigma.htm
(c) Arturo Quirantes 2009
Vuelta a la Página principal del Boletín ENIGMA