Chicas en las nubes y nuestra información

cdst

Una de las noticias que más circulación tuvo hace dos meses fue un incidente donde fotos de esas que la gente educada llama íntimas, de varias bellas y famosas chicas comenzaron a circular por Internet. Para muchos fue un mejor regalo que encontrarse el disco nuevo de U2 en el teléfono, y ambas cosas (el disco y las fotos) fueron cortesía de Apple.

Yo soy de la opinión de que cada quién puede decidir sobre su cuerpo como mejor le convenga, y tiene todo el derecho de sacarse o no las fotos que se le dé la gana, soy también de la opinión que cada persona debe tener control absoluto sobre con quién comparte esa y cualquier otra información privada. Sin embargo esta entrada trata sobre tecnología y desde ese punto de vista es que desarrollaré el tema.

¿Cómo llegaron estas imágenes al dominio público? Si uno mira con detenimiento la evidencia (como tuve que hacer yo para escribir este artículo) se dará cuenta de que la mayoría son “selfies” y la mayoría de estos “selfies” fueron tomados con un iPhone (sale en la foto), esto demuestra una vez más que la tecnología y la ciencia tienen el mismo efecto en la sociedad: nos gustan sus resultados pero no nos gusta estudiarlas, y tenemos la mala costumbre de pensar que ambas son gratis. La historia va más o menos así:

1. La chica se toma una foto.

2. La foto queda almacenada en el teléfono.

3. La foto se sincroniza automáticamente a iCloud. Esto es bastante similar a lo que pasa en la película “Sex Tape” con Cameron Díaz y un tipo, en donde como todos los equipos bajo una misma cuenta se sincronizan e incluso el fólder de “trash” tiene su back-up en la nube, toda la gente a la que el tipo ha regalado iPads acaba con una copia del video.

4. El atacante adquiere acceso a la cuenta iCloud.

Aquí hay dos teorías de cómo un atacante puede obtener ese material

La primera es que iTunes tiene un “bug” (ver blog anterior) que permite utilizar un ataque de fuerza bruta –iBrute –para romper el password. Un ataque de fuerza bruta es algo similar a adivinar la combinación en un candado probando una por una. Si el candado tiene 4 dígitos entonces la cantidad de combinaciones posibles es de 10,000, si uno no tiene ni mala ni buena suerte, se necesitan en promedio 5,000 movimientos para abrir el candado, lo cual es aproximadamente una hora de trabajo.

En un password promedio tenemos más o menos la siguiente cantidad de combinaciones: (26 letras minúsculas + 26 letras mayúsculas + 10 números + 8 símbolos) elevado a la octava potencia (un password de ocho dígitos) = 70^8 = 576,480,100,000,000 combinaciones, lo cual son casi dos años probando cuatro millones de combinaciones por segundo, esto es posible, pero el nivel de procesamiento que se necesita implica tener una granja de servidores dedicados a esta tarea, lo cual es bien caro, sobre todo si pensamos que las fotos obtenidas no tienen ningún valor económico.

candado-combinacion-abus-155

Por supuesto alguien podría entrar a Amazon o algún servicio similar y rentar varias máquinas virtuales para hacer el trabajo, o podría ser un millonario con una súper computadora y un cuartel secreto, pero ese es Batman y él no haría eso. Como sea, el resultado final es que el atacante tiene un montón de material robado que no puede vender –cualquier revista de esas que pagan 50k por fotos a los Paparazzi no podrían publicar ese material sin ser inmediatamente demandados –, no lo puede mostrar o prestar a nadie ya que publicarlo es perder la exclusividad sobre el mismo y se queda solamente con una historia que nadie le cree. Y al final acaba como Gollum, aferrado a su pequeño tesoro. En la vida real uno de los hackers que tenía las fotos intentó venderlas (por bitcoins) para lo cual publicó un “adelanto” pero el impacto fue tanto que mucha gente se hizo pasar por él para vender material no original, y el atacante no podía demostrar que solamente él tenía el material original sin perder su anonimato, por lo que publicó gran parte de su colección con la esperanza de borrar su rastro entre tantos sitios que publicaron las fotos.

Por la cantidad de combinaciones necesarias, no creo que esto haya sido el resultado de un ataque de fuerza bruta, a menos que las víctimas tuvieran passwords muy simples, así que mi consejo para Jennifer y todas las demás chicas famosas que siguen mi blog es: utilicen un password de más de 10 dígitos, combinando números, mayúsculas, minúsculas y símbolos seleccionados aleatoriamente, algo así:

Ow8h%49c!kI90b

Y además no escriban ni almacenen ese password en ningún lado más que en su cerebro, es complicado, lo sé, pero más difícil es aprenderse los diálogos de las 14 películas de Harry Potter.

Nota:

Es necesario generar y memorizar al menos 5 passwords de ese tipo, para utilizarlos en diferentes servicios y cambiarlos cada tres meses, de esa manera, si un sitio es comprometido, como ha pasado con Sony, LinkedIn, Facebook, DropBox, etc., –incluso quizá debería decir “cuando el sitio sea comprometido”– el password obtenido no será de utilidad en otros sitios. El precio de la fama.

Por supuesto las medidas de seguridad que debes de tomar con la información almacenada en tu teléfonos y otros dispositivos es directamente proporcional al número de paparazis que tienes asignados en un día promedio sumado al valor comercial que tu información tendría en el bajo mundo de Internet. Es decir que si tu estilo de vida no te exige sacar tu celular de vez en cuando para retratarte desnudo(a) y además la gente no se pelea por verte cuando vas a la playa, puedes relajar un poco tu seguridad y disfrutar al anonimato, sin embargo debes de tener en cuenta que aunque quizá tus fotos no le interesen a nadie, el back-up que tienes de tus documentos (pasaporte, SS, etc.,) son un botín bastante atractivo para los criminales, y especialmente en Puerto Rico, en donde existe la mayor cantidad de ciudadanos americanos con nombres latinos en el mundo.

La segunda teoría de cómo los atacantes consiguieron los passwords para entrar a iCloud es utilizando un ataque altamente personalizado basado en adivinar las preguntas secretas y deducir los passwords más comunes que alguien podría utilizar, por ejemplo, cambiar la letra a por el símbolo @ es como esconder la llave debajo del tapete, P@ssw0rd1, fechas de nacimiento, nombre12345, el nombre del perro, y las preguntas secretas, vaya tontería, cualquier persona que sepa a qué escuela fuiste tiene acceso a tu cuenta. Yo acostumbro destruir las preguntas secretas, por ejemplo, si me preguntan mi equipo favorito de futbol respondo 5dYn221F, aquí el consejo para Jennifer es el mismo: passwords aleatorios fuertes y esperar que la tecnología avance lo suficiente para hacer obsoleto el “algo que sabes” (ver la entrada El robo de identidad y The Twilight Zone) como único punto de autenticación. Y definitivamente activar la doble autenticación en los sitios que lo permitan (password + número que cambia cada 60 segundos en el teléfono).

Aquí la historia de cómo a alguien le quitaron su cuenta de 50k de twitter con este tipo de ataques sociales.

Otra cosa: hay que leer las letras chiquitas en nuestros contratos para servicios Cloud, ya no se trata solamente de esas advertencias tontas que nadie leía cuando instalaba software (y que al final terminabas con 40 plug-ins en tu navegador), asume que los servicios cloud son esencialmente inseguros y los límites de responsabilidad del proveedor nunca los sabrás si no te aseguras de tener un buen contrato con ellos. Este artículo está bueno:

http://arstechnica.com/security/2014/09/what–jennifer–lawrence–can–teach–you–about–cloud–security/

Y por último: las redes sociales no son tus amigas, son empresas gigantes que viven de tu información, ten cuidado con el material con el que las alimentas. Me da ternura (toda la ternura que un bloguero de tecnología puede sentir) cuándo alguno de mis contacto en Facebook se retrata dentro de un avión y comenta algo así como: “Toronto, prepárate que ahí vamos!!! 🙂  :p  😀  #decembertrip” ¿En serio confían tanto en sus 1,200 “amigos”? Vas a dejas tu casa sola un mes y tienes dinero para irte a Toronto y se lo anuncias al público, corriendo el riesgo de que un criminal desalmado te vacíe la casa y no le dé like a tu foto.

Facebook and you

El 80% de la seguridad en el mundo real y el virtual es sentido común: no accedas a tu info desde computadoras públicas, no le abras la puerta a extraños, instala un antivirus y mantenlo actualizado, no le creas nada al príncipe de Nigeria (excepto que trabajes en la ONU y en verdad sea el príncipe de Nigeria), mantén actualizado tu sistema operativo, no confíes en software gratis, no confíes en nada gratis, etc.,

Untitled picture

Una última reflexión: Aunque existen algunas leyes que protegen a las víctimas en casos de divulgación de fotos y material personal la naturaleza global de Internet las hace triviales, este por ejemplo es el “Removal Policy” de un sitio de “revenge porn” en el DeepWeb:

RemovalPolicy

En Puerto Rico se ha hablado mucho sobre la creación de una ley que castigue estos delitos, el mensaje de estos sitios, y la arrogancia de su lenguaje nos dice a priori que tal ley quizá sirva para dar notoriedad a algunos legisladores y dos o tres discursitos políticos, pero su utilidad en el mundo real será cero, nada más que otra “silly state revenge porn law” como las que menciona el sitio. Hay que buscar otra alternativa.

Teoría de la conspiración: ¿Y si todos estos “leaks” son un plan malévolo de varios gobiernos para empujar leyes de monitoreo y censura en la WWW?

Lo sabremos pronto.

Jorge A. Pinedo
Noviembre, 2014

Advertisements