¡Llegamos a 27.278.323 visitas gracias a ustedes! ☆

Cómo la NSA consiguió desactivar la criptografía en Internet

De WikicharliE
Banner espionaje.jpg

Presentación

NSA criptografia en Internet.jpg

Desde el 11-S, las agencias de espionaje electrónico han pasado a modo descarado. Si hubo un tiempo en que la NSA (“No Such Agency“) podía legalmente negar su propia existencia, ahora se dedica a espiar abiertamente al mundo entero sin que se le caiga la cara de vergüenza. “Te espiamos, y si no te parece bien es que quieres que los terroristas ganen” parece ser su nueva divisa.

WikicharliE Patrimonio de Chile

Contenido

Los nuevos espías electrónicos actúan como los magos: sabes que están haciendo trampas, pero aun así se guardan sus mejores trucos para que no los conozcas; porque todos sabemos que, cuando conocemos el truco, la magia pierde toda su… magia. Por eso, las revelaciones de Edward Snowden les están haciendo tanto daño. Se están desvelando los mejores trucos de la NSA para mantener al mundo bajo vigilancia. Hace poco, una combinación de relevaciones de Snowden y trabajo académico ha sacado a la luz uno de los mejores trucos de los magos de Fort Meade.

Se trata de este: la criptografía en Internet no te protege. Para nada. Aunque creas que sí.

Snowden abrazando bandera USA.JPG

El tema es particularmente preocupante porque, hasta ahora, los trucos usados por los ciberespías se basaban en aprovechar errores de programación, insertar troyanos, descubrir vulnerabilidades en programas determinados; es decir, en meterse por agujeros ya existentes. Destripar los algoritmos de cifrado para recuperar la clave es algo particularmente difícil, y por eso no se utiliza más que como último recurso. Sin embargo, ahora conocemos que una combinación de vulnerabilidades descubiertas, criptoanálisis y fuerza bruta se han combinado para dar a la NSA las llaves de Internet.

Cada vez que se conecte usted a su banco, su tienda favorita, o en general siempre que entre en uno de esos sitios https y vea el logotipo del candado cerrado creyéndose seguro, recuerde que los datos están siendo enviados a EEUU para los efectos que surtan oportunos; y muy probablemente descifrados con éxito. Y un mensaje especial para los amigos de protegerse mediante redes virtuales: ¡corred, insensatos!

¿Cómo es eso posible? Veámoslo en cómodos pasos.

PASO 1: FREAK

Érase una vez una época en la que la criptografía fuerte no existía en Internet. El gobierno norteamericano, basándose en tratados gestados durante la Guerra Fría para contener al Pacto de Varsovia, contenía ahora la extensión del cifrado en el nuevo mundo digital. La lógica, por supuesto, consistía en evitar que los enemigos de EEUU pudiesen blindar sus comunicaciones. No fue hasta 1998 cuando los primeros sitios web en España comenzaron a usar cifrado fuerte. En la actualidad, la web segura utiliza claves asimétricas (dentro de la llamada criptografía de clave pública) de al menos 1.024 bits de longitud.

Como sucede en tantas ocasiones, los sistemas nuevos (seguros) y los antiguos (inseguros) tuvieron que convivir durante cierto tiempo, ya que cambiar el tipo de cifrado depende de cada servicio web, no es algo que se rehace totalmente de la noche a la mañana. Eso significa que hubo que mantener la compatibilidad entre ambos sistemas. El ordenador pedía una conexión segura (1.024 bits) o semisegura (512 bits), según las capacidades del servidor. Ahora imagínense que un atacante pudiese “convencer” al servidor del banco, empresa o tienda online para que cambie la conexión de segura a insegura. Eso le permitiría atacar la clave de 512 bits y descifrar la comunicación.

Se supone que la estructura de los protocolos de usados (tales como SSL y TLS) impiden poder hacer tal cosa. Para nuestra desgracia, resulta que sí pueden. En marzo de 2015, un grupo de investigadores descubrió una vulnerabilidad en los programas (clientes) basados en OpenSSL, tal como son usados en entornos Android y Apple.

El ataque, llamado FREAK (Factoring attack on RSA-Export Keys) se lleva a cabo sobre las claves asimétricas del tipo RSA. Se trata de un elegante ataque de intermediario o MITM (Man-In-The-Middle). El cliente, es decir, usted, envía una petición al servidor (el banco) del tipo “hola señor banco, soy yo, quiero una conexión de 1.024 bits.” El intermediario intercepta esa petición y la sustituye por otra que diga “hola señor banco, soy yo, quiero una conexión de 512 bits.” El servidor del banco atiende la petición y comienza una sesión protegida por un cifrado de bajo nivel que puede ser reventada con recursos informáticos fáciles de obtener.

En este caso “fáciles” resulta algo relativo. Descifrar una clave RSA pasa por conseguir la factorización de un número producto de dos factores primos. Si esos primos son grandes los requisitos de cómputo serán tan enormes que, en la práctica, podemos considerar seguro el sistema. Sin embargo, el aumento en la potencia de los ordenadores actuales y el uso de mejores técnicas de factorización hacen que, en la actualidad, sea posible comprometer claves cada vez más grandes. Ya en 2010 un grupo investigador se atrevió con una clave RSA de 768 bits, mucho más difícil. ¿Saben cuánto cuesta factorizar una clave de 512 bits hoy? Usando el servicio de computación EC2 de Amazon, basta con cien dólares y cuatro horas. Factorización como servicio, lo llaman.

Y aquí va lo peor del ataque FREAK: aunque se supone que cada conexión tiene una clave RSA en teoría, lo que hacen los servidores en la práctica es generar una sola clave RSA y usarla para todos los clientes. Es decir, no se trata de que vayan precisamente a por usted, sino que con la misma tacada espían a todos los clientes del sitio web. De repente, todos somos un objetivo desprotegido. Ni siquiera es necesario ver aquí la mano negra de los espías electrónicos, porque el motivo de usar la misma clave es pura y simple comodidad: es más rápido.

Teniendo en cuenta que la NSA es el mayor contratador de matemáticos del mundo, es seguro decir que conocían este truco años antes que los criptoanalistas civiles. Seguro que han puesto las botas, ya que a pesar de los años transcurridos desde la legalización del cifrado fuerte más de la cuarta parte de los servidores http del mundo seguían usando cifrado RSA de 512 bits en marzo de 2015. Hoy, cerca del final de año, la cifra ha caído al 12% pero sigue siendo enorme, y los servidores vulnerables incluyen sitios como Groupon, Airtel India, el MIT, Nissan Japan y el famoso acortador de direcciones tinyurl.com; en España la lista de sitios vulnerables incluye los diarios digitales El Economista y El Diario, la Junta de Andalucía y Correos.

PASO 2: LOGJAM

Los servidores vulnerables pueden ser reacondicionados y los clientes (nuestros navegadores de Internet) pueden ser parcheados. De todos modos, las claves RSA ya están pasadas de moda. Ahora lo que se lleva es el sistema de intercambio de claves Diffie-Hellman (DH), y su seguridad también se basa en efectuar una serie de operaciones casi imposibles de invertir. RSA se basa es la factorización de números primos. En el caso de DH, se trata de algo distinto, el llamado problema de los logaritmos discretos.

No les explicaré en qué consiste este problema. Lo que sí les diré es que, aunque la base de los algoritmos RSA y DH son diferentes, muchos en la comunidad criptográfica siempre han creído que son matemáticamente similares en cuanto a fortaleza, de modo que si te cargas uno también puedes cargarte el otro. Por supuesto, hay que demostrarlo, y eso es lo que hizo otro equipo de investigadores en mayo de 2015. El nuevo ataque, llamado LOGJAM, hace con el sistema DH lo que FREAK hacía con el RSA.

Los investigadores nuevamente aprovecharon una vulnerabilidad en los protocolos de autenticación de Internet, y nuevamente se debió a la necesidad de permitir conexiones de bajo nivel (512 bits) para sistemas viejos. La genialidad de LOGJAM es que consiguió hacerlo realidad en un tiempo corto. El ataque requiere dos fases. La primera (fase de precomputación) exige un montón de cálculos, pero dependen solamente del número primo p utilizado en el sistema (sí, también DH depende de un número primo, aunque por motivos distintos a RSA) y esta fase puede calcularse de antemano. En la segunda (fase de resolución), solamente hay que lidiar con el número aleatorio usado para una conexión en particular, y eso puede hacerse en apenas un minuto.

Por supuesto, eso es inútil si cada usuario tiene un p distinto, y en teoría así debería ser. En la práctica, adivinen qué pasa: la mayoría de los servicios de Internet usan un número muy limitado de primos p, y los reutilizan una y otra vez. El motivo es el mismo que en el caso RSA: comodidad y rapidez. Eso da lugar a situaciones inquietantes. Para que se hagan una idea, el 82% de los sistemas que usan DH con clave de 512 bits se basan en servidores Apache. ¿Saben cuántos números primos utilizan en total servidores Apache del mundo entero? ¡Uno solo!

Si tomamos el millón de dominios más activos de Internet, un 8% incluye esta vulnerabilidad. Eso significa que más del 7% de toda la Internet actual puede pasar de cifrada a legible sin más que atacar dos claves de 512. Afortunadamente, LOGJAM es relativamente fácil de parchear (los navegadores de Internet más usados ya lo han parcheado), aunque depende de que también los servidores (las webs a las que accedemos) se lo tomen en serio y cierren la vulnerabilidad.

PASO 3: ATACANDO LOS 1.024 BITS

Desde hace años se especula con cuál es el tamaño mínimo de clave capaz de resistir los esfuerzos computacionales más fuertes. Hay que tener en cuenta especialmente a la NSA, que cuenta con recursos informáticos, matemáticos y presupuestarios casi ilimitados. ¿Cuánto es suficiente frente a tan imponente adversario? Y en un tono menos peliculero, ¿cuánto es suficiente para protegernos contra un enemigo organizado como una mafia de ladrones de bancos? Nos referimos aquí a la longitud de las claves asimétricas, como la RSA o la DH.

Ha habido opiniones para todos los gustos. Vea, por ejemplo, aquí y aquí, donde este que firma propugnaba en 2000 un límite mínimo de 1.866 bits para 2015. Otras recomendaciones de expertos en el campo, hechas entre 2004 y 2007, sugieren claves de al menos 2.048 bits. En la actualidad se considera que las claves de 1.024 ya son pequeñas. Con todo, nadie ha conseguido atacar con éxito una clave de 1.024 bits (que sepamos), de modo que gran cantidad de sitios web la siguen utilizando.

Ahora, las malas noticias. El mismo grupo que ideó el ataque LOGJAM hizo algunas predicciones sobre la posibilidad de romper una clave de 1.024 bits. Sería todo un reto, pero si como en el caso de LOGJAM hubiese pocos primos protegiendo las comunicaciones de Internet, el esfuerzo masivo de precomputación valdría la pena a un atacante avanzado.

¿Está una clave de 1.024 bits al alcance de la NSA? Recordemos que esta gente no mide sus ordenadores en flops sino en hectáreas. Los autores de LOGJAM hicieron algunos números, tomando como base sus propios esfuerzos para romper claves de 512 bits y los requeridos para romper la mayor clave DH reventada hasta la fecha (596 bits). En este último caso, el esfuerzo computacional fue equivalente a 50 años-núcleo (es decir, un ordenador de un solo núcleo funcionando durante 50 años; o uno de 100 núcleos durante 180 días). Una clave DH de 768 bits exige más de 36.500 núcleos-año.

¿Y una de 1.024 bits? Aunque extrapolar se hace difícil a estos tamaños, los autores dan las siguiente cifras: 45.000.000 de años-núcleo para la fase de precomputación y unos 30 días-núcleo para la fase de resolución. ¿Precio? Once mil millones de dólares con CPUs disponibles en la actualidad para reventar una clave de 1.024 bits en un año. Hasta el dueño de Zara podría permitirse una (media docena, en realidad). Y si en lugar de procesadores comerciales se utilizan chips específicos (ASIC), el precio podría bajar hasta los 100 millones.

La inversión es inmensa, y eso para una sola clave, pero nuevamente los espías se verán favorecidos por la extraordinaria vagancia que parecen tener los servicios de Internet a calcular números primos. Entre el millón de páginas web seguras (https) más visitadas, nada menos que un 18% utilizan el mismo número primo. El porcentaje es muy superior en el caso de las redes privadas virtuales (VPN), que utilizan el protocolo IKE: el 66% de ellas comparten el mismo número. Es decir, la NSA se lo tiene que currar durante un par de años (o menos, según su presupuesto) para espiar un quinto de las comunicaciones seguras de Internet ¡y dos tercios de las de redes privadas virtuales! Del correo electrónico supuestamente seguro, mejor ni hablemos.

Pero todo esto es conspiranoia de sillón. ¿O no?

PASO 4: LA NSA EN ACCIÓN

Ataques como los descritos anteriormente son, cuando menos, teóricos, y por supuesto la NSA no va a reconocer que los llevan a cabo. De ser así, no habría mas. Pero hay más. Las revelaciones de Edward Snowden son, en opinión de los expertos, compatibles con un esfuerzo masivo de descifrado tipo “LOGJAM con esteroides.” Una de las afirmaciones de Snowden es que la NSA puede derrotar protocolos como https y VPN de forma casi rutinaria.

No es el primero que sugiere algo así. En 2012 James Bamford, autor de libros sobre el funcionamiento de la NSA, afirmó que el gigantesco “centro de datos” que la agencia estaba construyendo en Utah a un coste de 2.000 millones de dólares (más 40 millones al año sólo en electricidad) es una instalación crítica para romper códigos, basada en un “enorme descubrimiento” que la NSA había realizado años antes en el campo del criptoanálisis y que le permitiría espiar todo tipo de comunicaciones cifrado mediante criptografía de clave pública.

Una copia clasificada del presupuesto oculto de la NSA para 2013, filtrada al público, indica que la agencia da alta prioridad a desarrollar “capacidades criptoanalíticas innovadoras [groundbreaking] para derrotar los sistemas criptográficos adversarios y explotar el tráfico en Internet.” Destacan dos programas con fuerte incremento presupuestario: “servicios criptoanalíticos de TI,” con 100 millones de dólares más de presupuesto, y algo llamado “programa C de criptoanálisis y explotación” que tiene asignados 360 millones de dólares, cuatro veces más que en 2011.

También hay detalles técnicos que apuntan en la dirección de un gran LOGJAM a escala gubernamental. Algunos de los documentos de Snowden muestran que las comunicaciones en los servicios de redes privadas virtuales (VPN) se consiguen de la siguiente forma: primero se intercepta la conexión cifrada, luego se envían algunos datos a los superordenadores, y éstos devuelven la clave al sistema que descifrará la comunicación.

¿Por qué este esquema tiene sentido? Pues porque si la NSA ha tenido éxito en el enorme esfuerzo computacional que requiere la fase de precomputación, el resultado no lo va a sacar de sus centros protegidos. La llave maestra no sale de casa. En su lugar, la información capturada se lleva al centro de datos, allí se efectúa la fase de resolución y se obtiene la clave para descifrar las comunicaciones VPN.

Visto lo visto, no me extraña que el gobierno norteamericano esté tan cabreado con el caso Snowden. Sus revelaciones hacen daño donde más duelen, ya que no solamente explica que Estados Unidos espía al mundo sino que detalla cómo lo hace, y eso permite pensar en contramedidas. Basta con cambiar un par de claves DH para que ese gigantesco esfuerzo en Utah resulte inútil. Sí, en la NSA deben estar realmente cabreados. Y también en su equivalente británico el GCHQ, que esa gente se lo comparte casi todo.

PASO 5: ¿AHORA QUÉ HACEMOS?

Si lo que he descrito hasta ahora es cierto (y todo parece indicar que así es), la teoría conspiranoica según la cuál todos somos objetivos para la NSA ya no es teoría. En realidad, llevamos décadas oyendo estas historias por boca de ex-empleados de la agencia, de profesionales del ramo, de escritores y periodistas. Yo podría recordárselas pero no quiero sonar a abuelo Cebolleta (cof, cof). Bástele, lector, con que tenga en cuenta que el peligro existe. Y es real. Y no estará siempre confinado a las agencias de inteligencia con tres letras. ¿Qué pasará si los grupos mafiosos organizados llegan un día al mismo nivel, sea mediante presupuesto o por simple Ley de Moore?

En el caso de la amenaza que nos ocupa, hay contramedidas que se pueden tomar. Algunas de estas opciones son sencillas. Otras requieren la participación de grandes empresas. He aquí algunas de las más efectivas:

  • Aumentar el tamaño mínimo de clave. A partir de ahora, 2.048 bits mínimo. Los servidores deben exigir ese tamaño, así como nuestros programas cliente (navegadores). Quien se aferre a claves más pequeñas que se actualice o calle para siempre. En conexión con esto:
  • Desactivar las opciones de cifrado. Ya no estamos en los noventa.
  • Usar otros tipos de cifrado. Se está hablando de sistemas de criptografía de curva elíptica como sustituto de la criptografía de clave pública basada en sistemas RSA o DH. Es más efectiva (claves más cortas y cálculos más rápidos para su uso).
  • No reutilizar las claves. Si los BOFHs pueden hacer algo por la seguridad en Internet, es eso. Nada de aprovechar la misma clave una y otra vez. En caso extremo, si hay que reutilizarlas, no uséis la misma siempre. Molestaros en crear diez, o mil, o un millón. La CPU es barata.

La moraleja es: no debemos confirmar ciegamente en la criptografía. Aunque es nuestra mejor opción para protegernos, no es un polvo mágico que se extiende y ya está. Por supuesto, todo eso es inútil en una sociedad que no valora su privacidad. ¿Que usted sí lo hace, me está diciendo? Claro. Ahora vaya a ver lo que su perfil de Facebook le dice al mundo, vea cuántas conexiones abiertas tiene su móvil, haga memoria de cuántas veces ha rellenado cupones para dar sus datos personales a cambio de la posibilidad de ganar un premio que nunca llega… y deje de considerar Gran Hermano como un referente social digno de atención. Hala, ya lo he dicho.[1]

  1. Naukas

Visita otros de nuestros artículos

TODAS LAS PAGINAS.png
Haz click en el ícono

Léase en WikicharliE

Herramientas personales
Espacios de nombres

Variantes
Vistas
Acciones
Navegación
Herramientas
Contacta a Orquesta Tabaco y Ron para Eventos y Matrimonios http://tabacoyron.cl/