Por @Alvy — 24 de Junio de 2021

Ledger Wallet

Desde hace unos días circulan varios avisos de seguridad relativos a unas falsas wallets hardware para criptodivisas, que básicamente son como las de verdad, que se usan para guardar criptos pero en realidad tienen código para robarte las divisas y/o contraseñas. Son como un caballo de troya de tomo y lomo: llegan a la gente –normalmente, propietarios de wallets de este tipo– como «actualización gratuita», «para mejorar la seguridad» y excusas similares. Una vez se enchufan piden los datos personales, los transmiten y… ¡Si te he visto no me acuerdo!

La idea de las wallets digitales hardware, que tienen el aspecto de dispositivos USB como los pendrives, es utilizarlas para el denominado cold storage o «almacenamiento en frío» de criptodivisas. Al no estar conectadas al ordenador ni a la red no se pueden hackear debido a vulnerabilidades típicas en la red o los servicios; tan sólo se conectan puntualmente para hacer alguna transacción, lo que reduce el riesgo de que algo vaya mal. De hecho se pueden guardar en una caja fuerte, o enterrar, y listo. Técnicamente es la opción más segura, mucho más que las wallets en forma de apps para el móvil o para el ordenador. Eso sí: tienen el problemilla de que si te olvidas la contraseña, adiós criptodivisas¹. Esto ha propiciado auténticas historias de terror dignas de un nuevo episodio de Black Mirror.

Las wallets que se han visto por ahí imitan a las de la marca Ledger, una de las más populares junto con Trezor y SafePal, pero no sería raro que aparecieran otras. La imitación incluye el pendrive, la caja, el logotipo e incluso un pequeño manual. Esta es la razón por la que también se desaconseja comprar wallets hardware de segunda mano en eBay o similares: puede que no sean lo que parece. Su precio normal es de unos 100 euros en sitios fiables; una inversión pequeña en caso de que mucho dinero dependa de ello. Los originales además vienen bien presentados, con hologramas de seguridad y otros detalles para identificarlos. Tampoco hay que usarlos si el paquete parece que haya sido abierto, que a saber por qué manos habrá pasado. Y, naturalmente, no hay que fiarse si vienen «de regalo» o con motivo de una «alerta de seguridad» de la que el fabricante no nos ha avisado previamente (todas tienen un proceso de actualización automático y notificado).

¿Funciona este engaño? Si los atacantes pueden afinar el tiro enviándosela a los propietarios de este tipo de wallets, incluso aunque un muy pequeño porcentaje «pique» los beneficios pueden ser notables. Imaginemos gente que las usa para almacenar entre 1 y 5 bitcoins; eso son ya unos 100.000 dólares de promedio. Si pueden fabricar wallets falsas a unos 10 dólares no es complicado enviar 1.000 a los usuarios de un foro especializado tras investigar sus direcciones físicas (fácil en cualquier red social) y esperar a que 1 de cada 1.000 personas caiga en la trampa. ¡Bingo! Así que… ¡cuidadín si usas una de estas!

_____
¹ La alternativa de seguridad al PIN de una wallet digital es una contraseña que se genera al configurarla y que suele consistir en 20 palabras secretas a modo de contraseña maestra (ENERGY TRAIN DOWN MONDAY…) que se generan aleatoriamente con un diccionario en inglés. Con esas 20 palabras de contraseña se puede «regenerar» la misma wallet si acaso se estropeara físicamente. De modo que hay que apuntarlas y guardarlas también como oro en paño, en el lugar más supersecreto posible y alejado de la wallet física. También ha habido problemas de seguridad porque hay gente poco experimentada que ha llegado a webs falsas –phishing– donde se les pedían las 20 palabras secretas «como forma de acceso más seguro» o como «verificación de seguridad» y al escribirlas… ¡Zas! Alguien regeneraba la wallet en otro lugar del mundo, transfería las criptodivisas y… ¡Hasta luego Lucas! Pocas veces se puede insistir más en otra cosa: nunca, jamás, se teclean las 20 palabras de la contraseña maestra para «acceder», sólo es necesario en el momento de regenerar la wallet hardware en caso de problemas.

Relacionado:

Compartir en Flipboard Compartir en Facebook Tuitear

PUBLICIDAD



Por @Wicho — 9 de Junio de 2021

Teléfono ANOM – Policía australiana
Teléfono ANOM – Policía australiana

En 2018 el FBI cerró un servicio de comunicaciones cifradas llamado Phantom Secure que era muy popular entre criminales de todo el mundo. Y viendo una oportunidad reclutaron a un ex distribuidor del servicio que estaba trabajando en uno nuevo llamado ANOM para que colaborara con ellos. El acceso al sistema está camuflado en una aplicación de calculadora que va instalada en los teléfonos móviles que permiten conectarse a él. Esta aplicación no calcula nada; en realidad permite enviar mensajes e imágenes convenientemente cifradas. Pero la gracia del asunto está en que el FBI y su colaborador tenían acceso a todo el tráfico de la red mediante una puerta trasera.

El martes fuerzas del orden de todo el mundo revelaron que en los aproximadamente 18 meses que han pasado desde que se pusiera en marcha la operación Trojan Shield (Escudo de Troya) han podido interceptar más de 20 millones de mensajes en 45 idiomas. Y que eso ha llevado al arresto de más de 800 personas en una docena de países. Aunque aún hay operaciones en marcha, así que habrá alguna detención más. En total había en servicio más de 12.000 dispositivos que eran usados por más de 300 organizaciones criminales que operan en más de 100 países. Por lo visto Anom no es que tenga una cuota de mercado especialmente grande, pero aún así es la operación más grande de este tipo de la historia.

Si han hecho público todo esto ahora es debido a la necesidad de parar algunas operaciones actualmente en marcha antes de que tengan consecuencias irreparables y a que se terminan los plazos que las las autoridades legales que supervisan la operación dieron para interceptar las comunicaciones.

No es la primera vez que las fuerzas del orden consiguen colarse en un sistema de este estilo, aunque en otras ocasiones sí había sido hackeando los sistemas. Pero parece que sí es la primera vez que se la consiguen meter doblada de fábrica a los malos. A los que además les cobraban unos 1.700 dólares por el teléfono y seis meses de acceso al setvicio. Ya no se puede fiar uno de nadie. Ni siquiera del FBI.

Eso sí, el colaborador que fue suministrando los móviles a esta gente, que por lo visto ha cobrado 120.000 dólares, ya puede estar bien escondido.

Compartir en Flipboard Compartir en Facebook Tuitear

PUBLICIDAD



Por @Alvy — 8 de Junio de 2021

Phil Zimmerman (CC) Matt @ WikimediaEl software criptográfico PGP cumple hoy 30 años. La versión 1.0 se lanzó a las redes en 1991, una época en la que el software circulaba principalmente por listas de correo, las BBS (boletines electrónicos) y los servidores de FTP que servían de repositorios. Recuerdo haberlo visto anunciado en la lista de los cypherpunks y luego haberlo bajado en aquella época de CompuServe, uno de los primeros sitios en los que se distribuyó así un poco de tapadillo. Fue el momento en que se popularizó realmente la criptografía de clave pública en el correo electrónico, y también de la autenticación mediante firmas digitales. Venía con todo el código fuente, era gratis para usos no comerciales y cualquiera podía usarlo. Era un software era tan poderoso que ni la mítica NSA podía romper sus claves.

Cuenta la leyenda que para evitar problemas Phil Zimmerman, su creador, se lo entregó a varios amigos, quienes se encargaron de subirlo a Usenet (los foros de debate de la época) de los cuales fue saltando a otros sitios – para que todo el proceso fuera lo más anónimo posible dado que se «avecinaba tormenta». El código fuente se publicó en un libro en papel que salió de Estados Unidos, para evitar los controles de exportación de «cosas secretas». Con todo eso comenzó la distribución masiva: el genio estaba fuera de la botella.

Con el tiempo surgieron muchas versiones de PGP, Zimmerman acabó vendiendo su empresa y se dedicó a otros aspectos de la ciberseguridad. Hoy ha escrito un mensaje/carta de recordatorio con motivo del aniversario:

Tal día como hoy en 1991 se subió a Internet Pretty Good Privacy (PGP). El día anterior se lo había enviado a un par de amigos para que lo distribuyeran. Esto dio comienzo a una década de luchas para acabar con los controles de exportación de Estados Unidos sobre el software criptográfico fuerte. Tras la publicación de la versión 1.0 de PGP varios ingenieros se presentaron como voluntarios y realizamos muchas mejoras. En septiembre de 1992 lanzamos PGP 2.0 en diez idiomas, diversas plataformas y con nuevas funcionalidades, incluyendo el modelo de confianza que permitió que PGP se convirtiera en el método de cifrado de correo electrónico más utilizado.

Me convertí en el objetivo de una investigación penal por violar la Ley de Control de Exportación de Armas al permitir que PGP se extendiera por todo el mundo. Esto impulsó aún más la popularidad de PGP (…) Las restricciones a la exportación de EE.UU. finalmente cayeron en el año 2000. PGP encendió la década de las guerras criptográficas, lo que hizo que todas las democracias occidentales abandonaran sus restricciones al uso de criptografía fuerte. Fue una década histórica y emocionante, y un triunfo del activismo por el derecho a mantener una conversación privada.

(…) Aquí estamos, tres décadas después, y la criptografía fuerte está en todas partes. Lo que era glamuroso en la década de 1990 es ahora mundano. Han cambiado muchas cosas en estas décadas. Es mucho tiempo en años-perro y años-tecnología. Mi propio trabajo cambió a la telefonía y los mensajes de texto seguros de extremo a extremo. Ahora tenemos una criptografía fuerte y omnipresente en nuestros navegadores, en las VPN, en el comercio electrónico y en las aplicaciones bancarias, en los productos de la Internet de las Cosas (IoT), en el cifrado de discos, en la red TOR, en las criptodivisas. Y en un resurgimiento de las implementaciones del protocolo OpenPGP. Parece imposible volver a meter al genio en su botella. – Phil Zimmerman.

En el mensaje de Zimmerman hay algunas anécdotas humanas relevantes, como que le consta que su software permitió la evacuación segura de 8.000 civiles durante el conflicto de Kosovo, protegió las comunicaciones de los investigadores de crímenes de Guerra en Guatemala y de la Resistencia política en Burma en los 90. Incluso hay gente que se le ha acercado en conferencias para darle las gracias por estar vivo gracias a su software. Desde luego hizo muchas más cosas que eso, muchas de las cuales nunca sabremos. Todo un ejemplo de auténtico trabajo de un cypherpunk, haciendo bueno el dicho: «lo que hacen los cypherpunks es escribir código».

{Foto: Matt @ Wikimedia. Traducción: DeepL.}

Relacionado:

Compartir en Flipboard Compartir en Facebook Tuitear

PUBLICIDAD



Por @Alvy — 14 de Mayo de 2021

RNG | John D. Cook

John D. Cook tiene una serie de interesantes anotaciones sobre generadores de números aleatorios a las que se puede acceder bajo la etiqueta: RNG. Esto tiene aplicaciones tanto en criptografía como en muchas áreas de física y matemáticas, incluyendo las simulaciones.

En las explicaciones se habla desde los generadores de números aleatorios congruentes de la forma xn+1 = a xn mod m a otros con nombres más exóticos. Todos buscan un difícil equilibrio entre algo sencillo y fácil de implementar (aunque no genere números demasiado aleatorios) y otros más complejos y difíciles de llevar a la práctica –ya sea por capacidad de cómputo o complejidad del código– que puedan pasar más pruebas de aleatoriedad.

Algunos de estos algoritmos tienen nombres propios a cual más curioso: RANDU, MINSTD, DIEHARDER, PractRand y otros. También se explican varias formas para cómo extraer bits realmente aleatorios de fuentes sesgadas, como en el famoso problema de las «monedas cargadas», que se atribuye a John Von Neumann.

Relacionado:

Compartir en Flipboard Compartir en Facebook Tuitear

PUBLICIDAD




Un libro de @Alvy y @Wicho

Se suponía que esto era el futuro | un libro de Microsiervos, por Alvy y Wicho

Se suponía que esto era el futuro
Ciencia, tecnología y mucho más
www.microsiervos.com/libro


PUBLICIDAD