Powerless

Las palabras de moda en el ámbito tecnológico actual son censura, anonimato y privacidad. Apartándonos de lo sensacionalista y mediático del tema, es algo muy real (como aclaratoria para aquellos que viven en el paraíso), en países como Cuba, Venezuela, China, Irán, etc (Vea Top Ten de la censura).
Pero la censura no es exclusiva de los gobiernos totalitarios; también se ha convertido es práctica habitual del mundo empresarial (Vea 10 métodos de censura por internet).


Hoy, las diferentes organizaciones (y gobiernos) implementan muchas tecnologías y métodos para bloquear contenidos y restringir el acceso, en un intento por controlar la información de una red diseñada para lo contrario, y los usuarios, el último eslabón de la cadena alimenticia, se las ingenian para no ser devorados por el pez grande y saltarse estos controles, en el nombre de la libertad de expresión. (Vea Manual Anticensura).


Es por esta razón que hemos diseñado una nueva entrevista, tipo FAQ (la primera fue sobre las interferencias Wifi y No-Wifi), esta vez enfocada en el filtrado de contenidos y bloqueos de ‘anonimizadores’ vs libertad de expresión, la cual representa la opinión de muchos especialistas en el ramo, y que pretende exponer la situación actual de esta problemática y el futuro que nos depara.



La "Entrevista"

Gracias señor X por la entrevista anterior, y ojalá pueda ayudarnos a desenmarañar el mundo de las conexiones anónimas, y de paso echarle la mano a unos "amigos", ansiosos por explorar la deepweb sin que nadie se entere... o prefiere que lo llame Doctor X?


No tengo doctorado, ni tampoco soy médico, pero me agrada que me laman el trasero; me aleja de la chusma... Y si bien muchos me tachan de radical y "HP" (a mucha honra), por haber ayudado a numerosas empresas a joder a sus empleados (me divertí mucho haciéndolo), reconozco que vamos de mal en peor; por eso es importante hablar de este tema... Ah; si lo prefieres, le agregas dos X a mi nombre para que suene más "porno".


¿Qué significa entrar al mundo Darknet, con herramientas como Tor o i2p?
 

La mejor analogía que he leído es la del portal elbinario, cuando explica que: ‘la sensación de entrar a este mundo es similar a lo que Alicia sintió al descender por la madriguera de conejo; una subred de intrincados túneles donde finalmente se llega a habitar en otro ecosistema del ciberespacio’.

Y ésta es mi parte favorita:
- Cheshire, ¿podrías decirme, por favor, qué camino debo seguir para salir de aquí?
- Esto depende en gran parte del sitio al que quieras llegar – dijo el Gato.
- No me importa mucho el sitio… -dijo Alicia.
- Entonces tampoco importa mucho el camino que tomes – dijo el Gato.
- … siempre que llegue a alguna parte – añadió Alicia como explicación.
- ¡Oh, siempre llegarás a alguna parte – aseguró el Gato -, si caminas lo suficiente!


Internet está plagado de programas y sitios que se conocen vulgarmente como "proxies anónimos" o "anonimizadores", que sirven para acceder a estos contenidos, y las empresas invierten millones de dólares para bloquearlos. Podría hablarnos un poco de esta "guerra".


Hay mucho bla, bla de ambos bandos. Por un lado tenemos la teoría del “culo sentado en una silla”. De acuerdo con Expansión.com: 'En la mentalidad de las empresas capadoras, las redes sociales (y ni hablar de la deepweb) son sitios peligrosos donde sus trabajadores pueden resultar “abducidos” o “secuestrados” de su sacrosanto deber de trabajar. Su intención es “aislar” a sus trabajadores del entorno exterior: y si no les quitan su teléfono móvil es porque lo suponen anticonstitucional (pero mejor no dar ideas)... El que quiere trabajar, trabaja. Y el que quiere perder el tiempo, lo pierde. Y las empresas, felices, porque en el fondo, no compran horas de cabeza pensante, sino horas de culo sentado en una silla. Políticas apolilladas, absurdas'.


En la otra esquina del ring, las empresas y gobiernos se defienden con la tesis que el filtrado y bloqueo es necesario para proteger su infraestructura informática de ataques terroristas, extorsiones, ciberbullying, grooming y toda clase de actos criminales. También para economizar ancho de banda de internet, entre otros argumentos.


Pero todos mienten. Solo unos pocos usan las redes Darknet para lo que fueron creadas y la mayoría se la pasan metidos en la deepweb viendo pornografía o comprando éxtasis; y las empresas usan sus sistemas de defensa y filtros para vigilar a sus empleados, robarles las ideas, ver sus conductas consumidoras para venderle baratijas o explotarlos, y muchas cosas más que prefiero no mencionar, ya que aumentaría el desempleo; o peor; contratarían en la red Tor a Ernie y Bernie para mandarme "a dormir... con los peces muertos".


Tampoco faltan los oportunistas que ven esta guerra como un gran pastel, lleno de $$$$. Prometer anonimato y privacidad gratis, fuera de los ojos de la NSA, los gobiernos totalitarios y las organizaciones "capadoras", es una oferta demasiado tentadora como para dejarla pasar; a cambio de ver "algo de publicidad dirigida". 


Y es en este punto de la historia donde aparecen en escena los 'anonimizadores' (inproxy y outproxy), que no son más que un conjunto de herramientas que nos ayudan a franquear estas restricciones impuestas sin nuestro consentimiento, usando servidores externos, llamados 'testaferros'.

Los más populares son Ultrasurf, HideIP (y su gran familia), los túneles vpn, i2p, p2p, Tunnelier, PrivateVPN, openVPN, Onion Router (TOR), freenet, freegate y la lista sigue y sigue. También hay sitios para navegar anónimamente, sin necesidad de aplicaciones. Todos dispuestos a saltarte la redes capadas y acceder a todo tipo de contenidos, incluyendo la deepweb... Hasta Google está reclamando su tajada del pastel con el proyecto uProxy.
 

Las comparaciones entre algunos de estos anonimizadores puedes encontrarla en el post Preservando el anonimato y extendiendo su uso.

Pero, si la publicidad es dirigida no hay anonimato... o sí?
 
Cómo diablos voy a saber lo que te gusta sino raqueteo tu vida digital primero. Esto lo hacen la mayoría de las empresas y gobiernos, incluyendo San Google, San Facebook y muchos otros “San”; y también los anonimizadores. 


Si quieres una demostración, instala la extensión de chrome Ghostery y te llevarás una gran sorpresa cuando veas cuántos sitios que visitas a diario recopilan información sobre tus preferencias. Lo único que les falta es poner una cookie dentro del retrete, para ahorrarnos los exámenes de heces fecales.
 

Es por esa razón que estas herramientas anonimizadoras y los servicios VPN "a la carta", siempre han sido tan controversiales. Nadie (excepto ellos) sabe lo que hacen con el tráfico que pasa por sus servidores. No hay garantías, ni tampoco tienen la seguridad que suponemos.
 

Y también está el asunto de si estas herramientas realmente nos brindan anonimato. Muchos discrepan sobre este particular. Vea el estudio realizado por Enigmax y Ernesto para Torrentfreak que lo aborda con profundidad. 

Pero hay organizaciones que tienen argumentos válidos para filtrar contenido y bloquear a usuarios no autorizados, ya que utilizan los anonimizadores para delinquir a su antojo.


Esta es la otra cara de la moneda. Con el arribo de los colonizadores al nuevo mundo, llegaron también las enfermedades, y el "e-crime" no fue ajeno a la disyuntiva: “libertad de expresión versus Censura”; y buscó su lugar dentro estas “redes underground”. Pederastas, sicarios, narcotraficantes, delincuentes, estafadores, traficantes de armas y un largo etc; encontraron refugio en la deepweb. 


Un reportaje interesante es Tor: La red Invisible.
 

¿Y qué hacen las organizaciones para contrarrestar estas conexiones no autorizadas?

Si la necesidad (madre de todas las invenciones) creó los anonimizadores en respuesta a la censura, son los administradores IT a fin de cuentas los encargados de bloquearlos, ya que sobre sus manos reposa la responsabilidad del manejo de las redes corporativas.
Para hacerlo establecen una serie de mecanismos de vigilancia con el fin de detectar intrusos y evasión a los controles. La mayoría se valen de una batería de herramientas, y los más experimentados, sniffan constantemente su red y revisan los logs del sistema. Sin embargo, termina siendo una labor dispendiosa y titánica, ya que es imposible estar mirando los logs todo el tiempo y los mecanismos de activación de alertas no siempre son tan certeros como quisiéramos a la hora de determinar si hay o no una violación de la seguridad, por tanto los falsos positivos son cada vez más frecuentes.


Hay que aclarar que los administradores IT dependen de herramientas diseñadas por terceros (solo existe un puñado que diseñan las suyas propias), por tanto están expuestos a los fallos y vulnerabilidades en su arsenal defensivo.


¿Y cómo lo solucionan?

Con llanto de los usuarios. Es una manera muy efectiva para la toma de decisiones y desencadenar las contramedidas... Niño que no llora no mama.


O sea, que hasta que un usuario no pone una queja, no pasa nada.


Ajá… 'Primero existe la enfermedad y luego la cura', entonces su 'modus operandi' es esperar que los "aviones se estrellen contra las torres" y ocurra el desastre para mover un dedo.


Algo similar ocurre con las vulnerabilidades. Hasta que un cibercriminal no irrumpe en un sistema, vuelve mierda todo lo que encuentre a su paso y compromete la información de millones de usuarios (si son miles a nadie le importa), el fabricante del software o hardware realiza las correcciones.
 

Este absurdo proceder aplica también para la resolución de problemas, ya sea corrigiendo vulnerabilidades, Bots, eliminadores de links, bloqueo de sitios, descargas, cierre de puertos, etc.
 

Entonces, no existe "medicina preventiva" en el campo informático.

Depende de lo que consideres "medicina preventiva". Si piensas que esa bazofia lo es, pues la respuesta es: 'Afirmativo'. Y cuando termine la entrevista y ‘salgas por esa puerta, empezarás a sentirte mejor y recordarás que no crees en estas tonterías (…), ya que tú controlas tu propio destino’ y tus procedimientos como administrador IT son los correctos... Incluso te puedo ofrecer una 'galleta'… Pero si eliges la 'píldora roja', entenderás que estas cosas son simples rituales de la vida diaria, como comer, vestirnos o dormir, que se realizan incluso hasta de manera inconsciente, y que la "prevención" va más allá de las fronteras de nuestras narices, ya que son acciones, procedimientos e intervenciones, que están relacionadas directamente con el análisis de riesgos que hagas y con tu capacidad de respuesta.
Mucho se habla de este tema en sendos y bonitos informes (con gráficas incluidas, que impresionan a cualquiera), pero la realidad es muy diferente. Esta realidad se presenta por un principio elemental: 'Somos los arquitectos de nuestros sistemas de defensa y ofensiva, y por ende, los hacemos a nuestra mala imagen y semejanza. Para muestra un botón; ahí tienes las vulnerabilidades tipo '0-day'; la mayor pesadilla que pueda enfrentar cualquier administrador IT y fabricante... ¿Existe 'medicina preventiva' para 0-day?... Por supuesto que NO... Y ¿por qué?... Porque el burro busca al otro burro pa rascarse.'.

Nadie (excepto ellos) sabe lo que hacen con el tráfico que pasa por sus servidores. No hay garantías, ni tampoco tienen la seguridad que suponemos.


¿Y los sistemas ofensivos también son deficientes?


Digamos que tienen una connotación “diferente”, más allá de su eficiencia. El problema radica en que hay organizaciones que consideran la ofensiva como parte de la defensa, lo que se conoce como 'hack-back', pero a veces la línea divisoria que separa una aplicación ofensiva de un malware es muy delgada.
 

Un ejemplo reciente es el caso de la compañía italiana Hacking Team, que lanzó una aplicación Remote Control System (RSC), llamada Galileo, con un considerable efecto nocivo sobre Android e IOS, la cual fue tildada de malware por el equipo de Kaspersky… Parece que en esta guerra todo vale.
 

Si quieres conocer los mitos y verdades sobre este tema, te invito a leer el excelente post Defensa Ofensiva: Mitos y Realidades.

Entonces todos sistemas actuales son deficientes, sin importar cuál sea su orientación?


Sí y no; ya que es un asunto que depende más de procedimientos que de principios.


La manera en que abordamos la defensa (o la ofensiva) de una organización, es la misma que utilizan los criminales (y usuarios) para violarla, al usar estas herramientas anonimizadoras y otros métodos. Por ejemplo, miremos algunas de las medidas más comunes que todo administrador IT realiza:


- Bloqueos a las descargas por mime type u otros métodos: Sin embargo algunas descargas vienen por el puerto 443 o son comprimidos con nombres indescifrables, para evitar su detección y eliminación.


- Proxy manual (caché): Filtrado del tráfico de redes locales con un MITM que espía las comunicaciones, pero hay túneles cifrados que evaden estos controles.
 

- Firewalls con políticas restrictivas: Se declara sólo lo que le interesa a la organización y se bloquea el resto, incluyendo la caché de buscadores, sitios web anonimizadores y todo lo que se nos ocurra; pero de igual manera algunos túneles VPN logran traspasar estas restricciones.
 

- Vigilancia de puertos en uso y cierre de puertos no esenciales: Se abren ciertos puertos, pero bajo condiciones de estricta vigilancia, supervisando todas las conexiones y estableciendo censores, y se bloquean grandes rangos de puertos. El problema se presenta cuando los navegadores se conectan a la web y realizan la petición al puerto 80 del servidor, pero eligen un número aleatorio superior a 1024 y la navegación falla; además de los falsos positivos generados por censores defectuosos o mal diseñados.

- Barrido de puertos: Escanear todos los puertos de los equipos que se consideran "sospechosos" (de tener algún anonimizador instalado, malware u otra cosa). Normalmente esta tarea es realizada por un IDS, pero es lenta y puede hacer colapsar el sistema.


- Supervisión de protocolos: Husmean TCP, UDP, DHCP, ARP y todo lo que termine en P, pero es un trabajo de nunca acabar y tanta supervisión termina por ralentizar el tráfico.



- Análisis forense del tráfico real: Se utilizan herramientas (como TCPdump y Wireshark) para sniffar las redes corporativas, o echar mano de algunas tecnologías (como Cisco Span), aplicaciones (como Sysinternals), o suites dedicadas (como Kali Linux), sin embargo existen problemas con la recopilación de datos en las redes conmutadas, y si la velocidad de captura en modo promiscuo de nuestro adaptador de red es inferior a la del tráfico en tiempo real de la red, o esta tiene demasiadas conexiones concurrentes, se pueden perder grandes cantidades de datos. (ver Análisis Forense de una Red)
 

Si te das cuenta, este desatino es el ABC de todo administrador IT, y a pesar de la férrea vigilancia, algunos consiguen quebrantar las protecciones, enarbolando las banderas de la "libertad de expresión"; o del XXX, las drogas y demás vicios.
 

O sea, ¿que el Hardening es una estupidez?

No. Es el punto de partida para la administración de cualquier sistema informático, pero es solo eso; ni más ni menos. El Hardening reduce el riesgo de vulnerabilidades, elimina procesos innecesarios y mantiene saneada nuestra red, evitándonos un sinfín de problemas y dolores de cabeza, pero si quieres estar a la altura de los cibercriminales, te hará falta sacar del sombrero algo más que un conejo.


¿Es fácil deshacernos de estas "conexiones anónimas" y de paso filtrar el contenido?


Si manejas un entorno semi-controlado, como el de una organización, y tienes un servidor proxy basado en GNU/Linux, es factible bloquearlas, sin necesidad de contratar un sistema hiper sofisticado, como los UTM, que como dicen en Google Group, no son más que un Firewall "Reloaded". Con iptables es suficiente (a no ser que manejes un país entero y necesites “algo más”).


“Algo más”, ¿cómo qué?


Digamos que un ejército represivo, ejecuciones sumarias, desapariciones forzosas y ese tipo de “nimiedades”, propias de los gobiernos autocráticos.


Volviendo al tema; ¿cómo se bloquea un anonimizador?


En el "origen de los tiempos", se combatían las redes p2p con ipp2p, pero este proyecto se quedó sin soporte y las aplicaciones P2P se han modernizado y ahora utilizan protocolos propietarios, puertos dinámicos, cifrado del tráfico, lo cual representa un gran obstáculo para los métodos de identificación tradicionales y deja fuera de combate a ipp2p; pero ahora tenemos a los Next Generation Firewall NGFW que se encargan del trabajo sucio.


Podrías ser más específico... Algo más concreto


Pongamos un ejemplo con iptables; un firewall integrado al kernel de Linux. Si basamos nuestra política por defecto en DROP, todos los puertos están cerrados, excepto los que vamos a usar, y autorizamos solamente las ips 443 (HTTPS) que queremos “dejar pasar” mediante una acl (y las ips HTTP las filtramos en el squid) y cerramos el firewall, tan solo con estas medidas dejaste fuera de combate al 80% de los anonimizadores más comunes, sin importar que nuestro servidor proxy esté en modo transparente o caché (manual).
 

Miremos esta configuración "demo" de un script de iptables en un proxy transparente (lo cual ningún experto recomienda), con casi nulas medidas de seguridad (algo que escandalizará a más de un sysadmin), y a pesar de sus limitaciones, el bloqueo funciona perfectamente, sin comprometer la navegación.

Script Iptables:


# Script anti-anonimizador del Señor X.
# senorx@homerosimpson.onion
# Por maravento.com, novatoz.com y hackplayers.com
internet=eth0
lan=eth1
local=192.168.1.0
iptables=/sbin/iptables
route=/home/usuario/acl
proxyport=8080
netmask=255.255.255.0
DNS1=8.8.8.8
DNS2=8.8.4.4
alias sed="sed '/#.*/d'"

# Zero all packets and counters
$iptables -F
$iptables -X
$iptables -t nat -F
$iptables -t nat -X
$iptables -t mangle -F
$iptables -t mangle -X
$iptables -t raw -F
$iptables -t raw -X
$iptables -t security -F
$iptables -t security -X
$iptables -Z
$iptables -t nat -Z
$iptables -t mangle -Z

# Activar ip forward rules
echo 1 > /proc/sys/net/ipv4/ip_forward

$iptables -P INPUT DROP
$iptables -P OUTPUT ACCEPT 
$iptables -P FORWARD DROP

# LOOPBACK
$iptables -A INPUT -i lo -j ACCEPT
$iptables -A OUTPUT -o lo -j ACCEPT

# SOLO PETICIONES RED LAN 
for mac in `sed $route/macs-redlocal | tr '[A-Z]' '[a-z]' | sort -u`; do
$iptables -t mangle -A PREROUTING -i $lan -m mac --mac-source $mac -j ACCEPT
done
$iptables -t mangle -A PREROUTING -i $lan -j DROP

# ENMASCARAMIENTO DE RED LAN (COMPARTIR INTERNET CON LAN)
$iptables -t nat -A POSTROUTING -s $local/$netmask -o $internet -j MASQUERADE

# ANTI-ANONIMIZADORES
#---------------------------------

#---------------------------------

# ACCESO LAN AL PUERTO 443 (SOLO SE PERMITEN LAS IPS HTTPS-PERMITIDOS)(NGFW)
for ip in `sed $route/https-permitidos`; do
   if echo $ip | grep "-" >/dev/null; then
     $iptables -A FORWARD -s $local/$netmask -o $internet -p tcp --dport 443 -m iprange --dst-range "$ip" -j ACCEPT
   else
     $iptables -A FORWARD -s $local/$netmask -o $internet -p tcp --dport 443 -d $ip -j ACCEPT
   fi
done
# CERRANDO EL PUERTO 443
$iptables -A FORWARD -p tcp --dport 443 -j DROP
$iptables -A FORWARD -p udp --dport 443 -j DROP

# ACCESO AL PROXY (NAT 8080) (Cambie el Squid3 a 8080 transparent)
$iptables -t nat -A PREROUTING -i $lan -p tcp --dport 80 -j REDIRECT --to-port $proxyport
$iptables -A INPUT -i $lan -p tcp --dport 8080 -j ACCEPT

# CONSULTA DNS
$iptables -A OUTPUT -d $DNS1 -o $internet -p udp --dport 53 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$iptables -A OUTPUT -d $DNS1 -o $internet -p tcp --dport 53 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$iptables -A OUTPUT -d $DNS2 -o $internet -p udp --dport 53 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$iptables -A OUTPUT -d $DNS2 -o $internet -p tcp --dport 53 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

# LAN ---> PROXY <--- INTERNET
# ACEPTAR CONEXIONES ESTABLECIDAS PREVIAMENTE
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# INTERNET ---> LAN
# ACEPTAR PAQUETES DE CONEXIONES PREESTRABLECIDAS
$iptables -A FORWARD -d $local/$netmask -i $internet -m state --state ESTABLISHED,RELATED -o $lan -j ACCEPT

# ACEPTAR CONEXIONES SOLO A PUERTOS HTTP, DNS, POP3, SMTP, SAMBA (menos HTTPS, SSH, FTP, etc)
$iptables -A FORWARD -s $local/$netmask -i $lan -p udp -m multiport --dports 25,110,53,137,138 -o $internet -j ACCEPT
$iptables -A FORWARD -s $local/$netmask -i $lan -p tcp -m multiport --dports 80,8080,53,139,445 -o $internet -j ACCEPT

# DENEGAR EL RESTO. CERRANDO EL SCRIPT IPTABLES
$iptables -A FORWARD -s $local/$netmask -i $lan -o $internet -j DROP
$iptables -A INPUT -s 0.0.0.0/0 -j DROP
 
Hasta aquí ya has bloqueado el tráfico P2P, Hotspot Shield, Tor Private Tunnel, Freegate y similares. 

Para Ultrasurf, en el espacio donde dice ANTI-ANONIMIZADORES, insertamos la regla para frenarlo: 

# ANTI-ULTRASURF
for string in `sed $route/blacklist-string`; do
 $iptables -I FORWARD -p tcp --dport 443 --tcp-flags SYN,ACK,FIN,RST,PSH ACK,PSH -m string --to 77 --hex-string "|$string|" --algo bm -j DROP
 $iptables -I FORWARD -m tcp -p tcp --dport 443 -m string --to 256 --hex-string "|$string|" --algo bm -j DROP

Donde blacklist-string es una acl que creamos, la cual contiene unos hex para bloquear vía string a este túnel; macs-redlocal contiene todas las direcciones macs de la red local y https-permitidos es otra acl, con las ips y rangos de ips (especialmente HTTPS) que queremos validar en nuestra red local (gmail, hotmail, yahoo, bancos, etc) y el resto queda denegado. 

Para bloquear your-freedom, como medida adicional, debes cerrar el puerto 21 (ya está cerrado en el script) y filtrar el puerto 80 en el squid; y para las aplicaciones autohide (y familia hide-ip), y similares, solamente deberás filtrar el puerto 80. Para hacerlo, agrega la siguiente regla a tu squid:
acl blacklist-web dstdomain "/home/usuario/acl/blacklist-web"
http_access deny blacklist-web

Donde blacklist-web contiene las url de sitios anonimizadores a bloquear por el puerto 80. Puedes seguir agregando sitios a esta acl, no solo anonimizadores, sino otras urls que quieras censurar. Puedes encontrar muchos de estos "blacklist" en el post Firewall IV.

Para completar el filtrado, bloquea en el Squid las peticiones a ips por el puerto 80 (permite solo urls) y crea una acl whitelist con las ips que quieras excluir. 


Lo anterior es debido a que ultrasurf, SecurityKiss Tunel, Easy Hide IP (y familia hide-ip), y otros, también hacen consultas al puerto 80. 
# squid.conf Denegar todas las peticiones a ips (solo url)
acl whitelist-ips src "/home/usuario/acl/whitelist-ips"
acl no_ip dstdom_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+$
http_access deny no_ip !whitelist_ips

Pero tu script me deja sin los puertos 21, 22 y 23, y carece de medidas para el control ICMP, Flags, spoofing y muchos otros. 

Puedes agregarle todas las reglas que quieras en dependencia de tus necesidades y abrir esos puertos con portknocking

¿Y qué me dices de los túneles de última generación, que utilizan cifrado y ofuscación? 

No son tan nuevos. Según PCActual: 'eMule fue uno de los primeros clientes P2P en ofrecer la funcionalidad de ofuscación del protocolo, que no es otra cosa que esconder el protocolo que se está utilizando para que las conexiones no puedan ser detectadas por terceros, sino solo por los usuarios que se conectan entre sí. Básicamente, se trata de un sistema que genera datos aleatorios para que no se produzca esa identificación.

Con los años evolucionó y ahora tiene un nombre más cool: SSH+ (SSH Plus). 

Las aplicaciones más conocidas que lo emplean son Psiphon3, Circumventor (sin soporte desde hace varios años), MyEnTunnelPlusSSH, entre otras. 

En teoría evitan el fingerprinting (activo o pasivo) y por ende el tracking sobre nuestra conexión, pero estos túneles cifrados y ofuscados no son infranqueables y tampoco mejoran el anonimato, ni mucho menos son invisibles a los "watchers", y si tu sistema está mal diseñado o controlado por un administrador IT "normal", puede que cumplan su cometido... Pero si es paranoico, revisará los logs en busca de algún patrón hex. 

Pero acabaste de decir que es muy extenuante estar revisando los logs en busca de patrones hex para bloquear los anonimizadores con string.

¿Eso dije?… Bueno, está bien. Si tienes mucha pereza, hay una manera más fácil de bloquearlos sin tener que pasar horas y horas frente a una pantalla. En el caso de Psiphon 3 (que es el más avanzado y extendido), resuelve con servidores DNS propios, sin cubrir el rastro, por tanto si bloqueamos las ips de estos DNS, interrumpimos sus comunicaciones. 

# Anti-Psiphon3
for dns in `sed $route/blacklist-dns`; do
   if echo $dns | grep "-" >/dev/null; then
     $iptables -A FORWARD -m iprange --dst-range "$dns" -j DROP
   else
     $iptables -t mangle -A PREROUTING -i $dns -j DROP
     $iptables -A FORWARD -d $dns -j DROP
     $iptables -A INPUT -s $dns -j DROP
     $iptables -A OUTPUT -s $dns -j DROP
   fi
done

Donde blacklist-dns es una acl que creamos, la cual contiene los DNS (o rangos de DNS) que usa Psiphon3, arrojados por los logs de Wireshark.

Es importante señalar que cada cierto tiempo debes capturar el tráfico de esta aplicación para ir actualizando los DNS a bloquear. No son muchos así que no te preocupes.
La regla puedes colocarla en el espacio ANTI-ANONIMIZADORES del script de iptables propuesto.


Pero hay otro problema con Psiphon3, mucho más grave. Es que es tan buena y rápida (mira los tiempos de conexión) que los bittorrents están lanzando su túnel a través de sus servidores para realizar el intercambio de archivos, y la empresa responsable de su diseño, en Google Groups, aseguró que han tenido que 'tomar medidas restringiendo determinados puertos'.


Un momento... ¿Un software anonimizador restringiendo contenidos?


Tal y como lo oyes. Una aplicación cuya bandera y propósito en la vida es evitar la censura, se auto-restringe sí misma, cerrando puertos en sus servidores para evitar a los "malandros p2p"... Irónico, no?


El encadenamiento proxy es una práctica más habitual de lo que pensamos. En ocasiones la Red Tor está bloqueada por una organización y los usuarios lanzan túneles con proxychain, sockchain o cualquier otro “chain”, encapsulando el tráfico para dificultar su detección, y así acceder a nuestro "precioso" antro deepweb.


Naturalmente, cada encadenado representa una disminución brutal del ancho de banda, pero cuando se trata de ocultar nuestras perversiones más oscuras, vale la pena.


Ahí tienes el caso de Telex; una aplicación (que la han publicitado como si fuese la panacea anti-censura), permite que Tor encadene sus conexiones a través de sus servidores, ya que, de acuerdo a sus promotores, su método es infalible. 


Según MuyInteresante; 'los usuarios instalan el programa y los ISP externos a la conexión censurada, instalan equipos llamados estaciones Telex. Cuando un usuario quiere visitar un sitio prohibido, establece una conexión segura con un sitio HTTP de la red, que podría ser cualquier sitio protegido con contraseña que no esté bloqueado. Ésta es una conexión señuelo. El programa Telex marca la conexión como un pedido de Telex insertando una etiqueta con un código secreto en los titulares de la página. La etiqueta usa una técnica de criptografía conocida como 'estenografía de clave pública'. El pedido del usuario pasa a través de dispositivos de ruta en varios ISP, algunos de los cuales pueden ser estaciones de Telex. Estas estaciones tienen una clave privada que les permite reconocer las conexiones etiquetadas de los clientes de Telex. Las estaciones desvían las conexiones de forma que el usuario pueda ir a cualquier sitio en internet'.

Intrincado el laberinto de esta aplicación

 
Una cháchara más complicada que la cagada de un perro, y que asusta al más experto, acompañada de una dosis de entusiasmo anti-censura, pero en la práctica no es funcional y lo bloqueamos sin mayor esfuerzo con las reglas iptables descritas.


Y los navegadores que usan en la cabecera HTTP Strict Transport Security (HTST)... ¿Tampoco sirven?


Ayudan en algo, ya que hacen un forzado para que las conexiones sean https y así evitar la vigilancia tipo Man-In-The-Middle (MITM), con SSLStrip o alguna otra herramienta similar, (y también puedes modificar tu servidor Apache para que redireccione siempre a https); pero su éxito es relativo, ya que, como bien sostiene el portal karpoke 'si una web proporciona acceso seguro (HTTPS) pero accedemos de forma no segura (HTTP) podría suceder que nos redirija a la versión segura, sin embargo, ya se había iniciado una conversación sin cifrar. Este comportamiento puede ser explotado por un ataque MITM'.


Entonces, para ser un buen administrador IT y bloquear con efectividad las conexiones anónimas y contenidos, por antonomasia, debemos ser paranoicos?


Parece que sí... Triste profesión. Mi mamá me dijo que estudiara medicina y por necio no le hice caso y ahora estoy hablado sandeces contigo, dándomelas de experto, (en lugar de estar disfrutando de un buen fin de semana con mi familia) mientras que los cibercriminales se burlan de esta entrevista, porque siempre vamos a estar oliéndoles el trasero y viendo la "nube de polvo" que dejan a su paso... El coyote tratando de agarrar al correcaminos.


¿Y por qué sandeces?


Porque, por ejemplo, Ultrasurf, Freegate y GTunel, son distribuidos por el grupo Global Internet Freedom Consortium (GIFC), para combatir la censura, y adivina quién está detrás de la financiación y desarrollo de estos anonimizadores... pues el gobierno de Estados Unidos, o lo que es lo mismo, la NSA. Y más temprano que tarde los demás anonimizadores correrán la misma suerte; a las buenas (le ofrecen financiación a cambio de escudriñar a los que se conecten) o a las malas (le dan caza a sus creadores y los ponen tras las rejas).
Es por eso que ningún cibercriminal que se respete, las utilizaría para conectarse.
Amigo mío; no sigas tratando de colarte en el laberinto del conejo con esas herramientas, ya que, como dijo Zafón: 'el camino al infierno está construido de buenas intenciones'… Solo aquellas que aún permanecen en la sombra, fuera del alcance de la turba, son las que utilizan los cibercriminales para hacer sus diabluras.


¿Cuáles?


Qué se yo… Supongo que P2P anónimos y descentralizados (p2p sin control), incluyendo aplicaciones y buscadores basados en esta tecnología, sin nodos centrales y con DNS-P2P; o las redes F2F, con políticas ciberanarquistas de cifrado ilegal; o aplicaciones remotas que acceden mediante un túnel ssh (y abren los respectivos sockets) a terminales zombies secuestrados con privilegios dentro de una red y así usarlos como pasarela y plataforma para acceder al "fondo de la red"; y muchas otras artimañas… Al menos es lo que yo haría.
 

Pero es vital evitar transferir muchos "gigas", para no llamar la atención de los "watchers", y constantemente encadenar las conexiones.

¿Y cómo envían y reciben grandes volúmenes de información de forma segura?


Para esto están los medios portables cifrados; un método conocido como Sneaker net; reencauchado de la década de los sesenta, pero con un nuevo embalaje... Definitivamente 'cuanto más cambia una cosa, más se convierte en lo mismo'.


Varias organizaciones anti-censura están creando una red mundial de intercambio Sneakernet y los bancos están utilizando este método para transferencia de valores. Y salvo que algún loco informático, de esos que abundan por ahí, invente un aparato para escanear al vuelo los datos de un dispositivo portable de almacenamiento, sin conexión con el exterior, (y sigo dando ideas), Sneakernet, hasta hoy, es el método más seguro y recomendado para enviar y recibir información... Gracias a éste, Osama Bin Laden logró evadir a las autoridades durante años.


Interesante… En lugar de usar la nube o el mail, mejor guardamos los archivos en una usb, ciframos su contenido y la enviamos por correo postal o con un amigo.


Si tu preocupación es que descubran tu colección pirata de mp3 y tu catálogo porno, con Sneakernet está a salvo por ahora. Un transporte lento, pero seguro... Y hay más. Algunas empresas de alta seguridad están reemplazando los dispositivos portables usb (ya que son muy inseguros) por chips de almacenamiento biodegradables, incrustados al cuerpo... Desempolvaron a Johnny Mnemonic.


En su opinión, ¿cuál sería la mejor herramienta para anonimizar nuestras conexiones y gozar de privacidad; la No 1; la mero mero?


La que ni tú, ni yo, ni nadie conoce, excepto su creador y su círculo más cercano. Es por eso que la NSA y otras agencias de espionaje han tenido tanto éxito, ya que conocen las técnicas, métodos y herramientas que utilizan los demás, pero nadie conoce las suyas.


Pero Snowden los expuso…


Tengo sentimientos encontrados con ese caso. Hay más ruido mediático que verdades y demasiadas preguntas sin responder. 


La prensa lo convirtió en un "update de James Bond" para vender sus editoriales y E.U. cayó en el juego... Tal vez por sus manos pasaron algunas "cositas", creyó que era la caja de Pandora y revolvió el avispero. Y como estamos en pañales, este señor salió de la nada, botó la bomba (que encajó muy bien con las teorías conspirativas) y el mundo se rindió a sus pies... En tierra de ciegos, el tuerto es rey.
No sé los motivos que lo llevaron a hacerlo; no creo que haya sido la "libertad de expresión" o la "defensa de los derechos civiles". Mera demagogia barata... Tal vez su jefe lo fastidiaba mucho y quiso vengarse; quién sabe. Pero de lo que sí puedes estar convencido es que todo este amarillismo es tan solo una pequeña "fracción de la verdad"… Si es que se le puede llamar "verdad" y más bien no sea que Snowden solo haya sido el instrumento para lanzar una "honeypot social" y estamos tan embelesados hablando paja que no la vimos pasar... No sé por qué este asunto me recuerda tanto la teoría del loco durante la guerra fría... Brillante.


Por lo que veo, estamos jodidos. Los anonimizadores dan asco, pero los sistemas actuales tampoco se salvan y distan mucho de ser efectivos... ¿Por qué?


No hay que ser un genio para darse cuenta que los sistemas que controlan las redes corporativas y gubernamentales, toman sus decisiones y realizan sus procedimientos basados en lo que se conoce como whitelist y blacklist... El origen de todos los males… Que consiste en colocarse entre el terminal del lector y el que tiene la información, y como cada computadora usa una identificación (dirección IP y MAC), los administradores IT lo que hacen es identificar que sitios visita el usuario y luego crean una 'lista negra' con las url o ips que quieren censurar y una 'lista blanca' para lo que quieren excluir... Sencillo, no?

Dios mío; perdónalos. No saben lo que hacen...
Y no conformes con esta burrada, también utilizan las mismas reglas que todo cibercriminal conoce al pie de la letra (IDS/IPS, basados en su mayoría en Snort, vulnerabilidades, criptografía, antivirus, firewall, hotspot, honeynet, actualizaciones y muchos de estos inservibles) y procedimientos demasiado estandarizados, llamados Hardening (remover o deshabilitar software, servicios y usuarios innecesarios, actualizar el sistema con los últimos parches de seguridad, solo instalar las aplicaciones estrictamente requeridas, detección de vulnerabilidades, certificar el sistema, bla, bla, bla).

Y los creadores de los anonimizadores y los ciberdelincuentes, como ya saben por dónde viene el balón, cada día perfeccionan sus herramientas para saltarse estos controles y evadir los censores.


Lo curioso es que estos métodos no son baratos, sin embargo es un sacrificio que los gobiernos y organizaciones están dispuestos a asumir con tal de mantener a los usuarios y criminales a raya. El ejemplo más clásico de despilfarro de billetes es el Golden Shield (Gran Cortafuegos Chino), con un costo superior a los 800 millones de dólares.
 

¿Y cuál sería la alternativa para reemplazar estos sistemas basados en whitelist y blacklist por uno que pueda proteger a las organizaciones sin sacrificar la privacidad y el anonimato de los usuarios?

La pregunta del millón de dólares… Podría ser uno más dinámico e innovador, como los cuánticos u otros más avanzados, lo cual supongo será tema de otra entrevista…. Pero sin importar cuál sea el candidato, dar este gran salto implicaría tirar billones de dólares a la basura, lo cual no va a suceder, al menos en ésta década, pero lo que sí podemos hacer es concebir mejores análisis de riesgos, para poder implementar procedimientos más efectivos, sin tener que joder a los usuarios ni sobrecargar los servidores con sistemas tan complejos y “pesados”, como los UTM … El primer paso para lograr el tan anhelado el equilibrio de Nash.


¿Qué tipo de análisis de riesgos?


Un paso en la dirección correcta sería el uso del marco Cynefin; un framework creado por Dave Snowden (cualquier parecido con Edward Snowden es mera coincidencia), el cual se enfoca en la toma de decisiones en un sistema definido de riesgos, que usa la ciencia de la complejidad (sistemas complejos) para poder tener nuevos puntos de vista, e interiorizar conceptos desde los más simples a los más complejos y sobre todas las cosas 'resolver problemas de una manera mucho más efectiva y tomar decisiones, desde contextos simples'.


No veo cómo un marco de riesgos puede ser el instrumento para definir mis decisiones y de paso echar al piso todo un sistema preestablecido.


A ver... Vamos por pasos... La acelerada masificación de la tecnología está actuando como el enemigo natural de las organizaciones, ya que no hay tiempo suficiente para absorber la actual, cuando la siguiente ya está a la vuelta de la esquina.


Esta aceleración trae consigo que los sistemas preestablecidos actúen 'después de' y no 'antes de' (y hasta "post-mortem"), como debería ser... Esta es la razón principal del por qué los sistemas de seguridad actuales siempre están un paso atrás del cibercrimen. 

Anticipar los problemas debería ser el cimiento de cualquier organización, pero no es así, y es por eso que los 'Análisis de Riesgos' son deficientes.
Y si le sumamos las vulnerabilidades que traen 'de fábrica' el software y hardware que administran y operan en las diferentes organizaciones, el panorama es realmente sombrío.


El otro punto débil es la excesiva autodependencia que hemos creado de estos "sistemas malignos". Tal y como le dijo Morpheus a Neo en Matrix: "¿qué ves a tu alrededor; ejecutivos, maestros abogados, carpinteros?... Son las mentes de las personas (los usuarios) que tratamos de salvar (de los ciberdelincuentes), pero hasta lograrlo, esas personas son parte de ese sistema, por tanto, son el enemigo (...) tienes que entender que la gran mayoría no está lista para desconectarse y muchos están habituados y son tan desesperadamente dependientes del sistema, que pelearan por protegerlo (autodependencia)"


Sabemos desde hace muchos años que Windows es pura mierda, pero este año más del 90% de los ordenadores a nivel mundial utilizan este sistema operativo (y cada vez que Microsoft saca una nueva versión es peor que la anterior). 


También conocemos de antemano que Linux y Mac son susceptibles al malware y a ciberataques, pero queremos pensar lo contrario. Que el software de nuestros smarthphones es una porquería, y Whatsapp es lo más inseguro que existe, pero nos encanta "mensajear" y descargar cuanta aplicación esté de moda.

Cuando jóvenes, nuestros abuelos nos explicaban: 'ten cuidado que la calle es peligrosa', pero a pesar de eso llegábamos a las 4 a.m de la discoteca y decíamos: 'la vida es muy corta y hay que aprovecharla'. Pero nos engañábamos, porque siempre 'nos acordamos de Santa Bárbara cuando truena' (proverbio cubano); y en la discoteca, mientras nos divertíamos, un ciberdelincuente irrumpió en nuestro flamante iphone y nos dejó pelada nuestra cuenta bancaria. Y es en ese momento cuando "truena" y le reclamamos a todo el mundo menos a nosotros mismos, ya que durante años derivamos nuestra seguridad a terceros (la nube, el banco, en el técnico que vive en el barrio, el amante de mi mujer, en lo que dijo fulanito, especialista con más de 200 años de experiencia en el sector de seguridad informática, en el supercongreso internacional de pentesters, cuando afirmó que había que instalar la aplicación XYZ en el smarthphone y que estaríamos "a salvo", pero resulta que 3 meses después, un niño de 12 años en China, violó la seguridad de la app "recomendada" y nos enteramos que el fabricante le había pagado al "experto" por debajo de la mesa para decir esa babosada y por esta razón no pudimos pagar la cuenta de la discoteca (ni la hipoteca) y llegamos a las 4 a.m, después de haber lavado las copas, el retrete, recoger los desperdicios, condones usados y muchas otras cosas, que por vergüenza prefiero no citarlas.


Algo similar ocurrió con el escándalo de Awesome Screenshot 


Hay miles de casos parecidos. Como dice el Corolario de Finagle: 'Algo que pueda ir mal, irá mal, en el peor momento posible'



Este dilema (y el "polvero" levantado por Snowden) nos está llevando a tomar medidas tan extremas que rayan en la locura. Tal es el caso del reciente anuncio de Alemania, de resucitar las máquinas de escribir para proteger del espionaje documentos sensibles. Parece que a los alemanes se les olvidó que en la WW2 estos sistemas también fueron vulnerados y a los nazis les patearon el trasero... Pero si vamos a ir a los extremos, mejor acabemos con todo lo electrónico y listo...


Tomamos decisiones con lo que tenemos disponible a partir del análisis de una situación pre-existente. Y a no ser que seas Nostradamus, Rick Rescorla, o un chamán del Amazonas, nadie en su sano juicio se atrevería a hacer un análisis de riesgo a partir de una situación inexistente, sin antecedentes; y si lo hace, pone su reputación en la guillotina. Es por eso que se necesita un nuevo marco para analizar los riesgos de las organizaciones. Una especie de bola de cristal que prediga el futuro, con poca o nula información de referencia.
Te pregunto... ¿Tienes una respuesta correcta para cada una de las situaciones que enfrentas diariamente? 


Sí… No... En realidad no lo sé


Esto sucede porque la mayoría no tiene la más mínima idea de su situación real y lo que sucede a su alrededor; y es lo primero que deberíamos definir; dónde estamos parados. Eso es lo que aborda el framework Cynefin.
Una vez tengamos claridad sobre este punto, sabremos con exactitud qué medidas adoptar, así no poseamos suficiente información.


¿Y cómo funciona?


Básicamente propone cinco áreas o dominios: Simple, Complicado, Complejo, Caótico o Desordenado. Luego compara las características de cada uno y establece una relación Causa-Efecto por dominio o situación dentro del dominio.
Si quieres ahondar en el tema, puedes consultar el post Sistemas complejos adaptativos.


La cosa es más o menos así. Tomemos como ejemplo a mi prima, que es stripper. La idea Cynefin es que, para cada caso, se presentan situaciones, (como que alguien se propase con ella), con información disponible en mayor o menor grado (ella no sabe quién es el viejo verde, pero puede o no que el agresor sepa quién es ella), que requieren de decisiones y procedimientos específicos (le da una patada por las huevas, le pega con el tacón de su zapato en la cabeza, llama a la policía, sale corriendo, le gusta el sujeto y hacen el amor…).


Si eres administrador IT de una organización con millones de terminales, en locaciones diferentes, con puntos abiertos al público, manejando proyectos reservados y comunitarios, requieres de un sistema flexible (lo cual es blanco de ciberataques). Y como el tamaño de la organización es directamente proporcional a la cagada en seguridad, entonces debes saber exactamente cuál tu dominio y así evitar un mal rato.


Según coevolucion, 'en el dominio Complicado es necesaria la investigación o la ayuda de personal experto. En las situaciones Complejas, la relación Causa-Efecto solo puede ser percibida en retrospectiva y en las situaciones Caóticas, no existe relación Causa-Efecto. Un ejemplo de Simple es la elaboración de una torta; como Complicado: el envío de un cohete a la Luna; y como Complejo: la crianza de un niño'.  


Hay que aclarar que una situación determinada no siempre se ajusta a una sola categoría. Lo más frecuente es que una misma situación se presente en diferentes dominios. Esto no tiene tanta relevancia. Aquí lo determinante es evitar a toda costa que una situación simple o complicada se convierta en caótica.


¿Y si no tengo claridad sobre mi dominio?


Entonces estás ante en la zona del caos, también conocida como 'dominio desordenado', y puede presentarse una situación y no vas a poder medirla ni establecer la manera correcta de proceder. Esto es algo frecuente en gestión de redes.  Por ejemplo, un administrador IT que no tenga idea cuál es el dominio de su organización, si se presenta un ataque de denegación de servicios, responderá en base a sus conocimientos y no de acuerdo al nivel de riesgos, lo cual conduce inevitablemente al caos, con las consecuencias que ya conocemos y que salen en la prensa diariamente (se robaron millones de tarjetas de crédito, irrumpieron en la base de datos de la empresa 'tal' y alteraron los registros, etc)
 

Aquí lo más acertado es hacerle caso a Martin Alaimo: ‘Si nos encontráramos en el espacio desordenado, todo lo que hagamos debe estar enfocado netamente a salirnos de ese espacio hacia uno mejor identificado, para luego actuar de la manera en que dicho dominio lo requiera'.

Es por esto que a las organizaciones y gobiernos les resulta tan difícil combatir el cibercrimen sin violar la privacidad y el anonimato de los usuarios. Sus planes de contingencia y análisis de riesgos se basan en las experiencias personales y el nivel de conocimientos de sus creadores, que toman como base modelos estadísticos que predicen los escenarios futuros a partir de información del pasado y del presente. Y como este modelo dista mucho de poder comprobar realmente un evento inmediato o futuro, del cual no sabemos nada, no hay un dominio claro y ningún administrador IT es brujo, la solución más expedita es vigilar a todo el mundo y santo remedio.


Pero tranquilo. Parece que el mundo aún no está listo para abandonar sus viejas prácticas. Al contrario; estos sistemas están evolucionando hacia algo mucho más maligno. 


No me asustes... ¿Hacia qué?


Al cumplimiento de la profecía Maya del fin del mundo.


Pero eso fue en el 2012 y estamos en el 2014…


Mmm… Tengo que actualizar mi calendario de profecías extremas... Bueno, en cualquier caso, esta guerra ya tiene un nuevo frente de batalla. Una de las afirmaciones más perturbadoras que he escuchado sobre la evolución de estos sistemas, son las declaraciones del periodista de RTVE, Pepe Cervera, cuando sostuvo: 'diversas empresas de tecnología están desarrollando una capacidad llamada Deep Packet Inspection (DPI, inspección profunda de paquetes), mediante la que el contenido de las comunicaciones de Internet puede ser leído y filtrado en tiempo real. Esto permitiría una censura basada en el contenido que haría inútiles los actuales métodos para esquivar los bloqueos y si llegara a ser una realidad ampliamente extendida, las repercusiones irían mucho más allá de su impacto en la neutralidad de Internet; podría transformarse en una muy potente herramienta censora casi insalvable'.


Esta tecnología fue aprobada por la ITU en el 2012, mediante el estándar Y.2770 y es la nueva arma contra los anonimizadores (y contra todo el que utilice internet). Un conjunto de técnicas que se dedican a "clasificar" o más bien, decidir por nosotros, lo que es bueno o malo de ver en la red. La censura en su máxima expresión. Ya te imaginarás las cosas horribles que se pueden hacer con esta tecnología. Y a pesar de ser incipiente y de presentar algunos inconvenientes, es lo que nos depara el futuro inmediato... El nuevo juguete para combatir el terrorismo, la cibercriminalidad y llevarse por delante a todo el mundo en el proceso.


Nos jodimos entonces.


Sí, pero hay una contra-parte. El que inventó la ley inventó la trampa, y la ley de la compensación existe... pero para mal.


La próxima generación de herramientas para el anonimato serán mucho más pequeñas y portables, capaces de engañar al firmware de los terminales, routers y demás dispositivos de comunicaciones, gracias a la ingeniería inversa, para utilizarlos como pasarela y así poder establecer comunicaciones con el exterior; pero desgraciadamente los cibercriminales aprovecharán esta vulnerabilidad para crear una nueva raza de malware que alterará el funcionamiento de estos equipos, y las futuras oleadas de ciberataques, ya no serán de denegación de servicios, sino contra el firmware de cualquier dispositivo electrónico.


¿Quién cree que ganará esta guerra?


Te pongo un ejemplo: Sí mañana los gobiernos decidieran presionar a los creadores de la red Tor para que acabara con el nido de ratas y los expulsara de su "cebolla", exponiéndolos ante las autoridades, los cibercriminales se las ingeniarían para crear otra deepweb, mucho más profunda e impenetrable (si no es que ya existe y no nos hemos enterado), porque tienen recursos económicos ilimitados y pueden contratar las mentes más brillantes para crearla... 


Si la ley no ha podido acabar con la criminalidad en las calles, que te hace pensar que lo puede hacer en internet.

La naturaleza humana es tomar ventaja de la posición en la que nos encontramos para obtener un beneficio, sin importar cuál sea; y como cada vez estamos más arraigados a este sistema diabólico y la corrupción e impunidad aumentan a pasos agigantados, todo queda en manos de las capacidades del administrador IT versus habilidad del usuario... El gato y el ratón.


Entonces, ganan los criminales...


Más bien perdemos los usuarios de bien, que pagamos impuestos y llevamos una vida apartada del bajo mundo, porque constantemente nos esculcan nuestra vida privada, con el pretexto de asegurarse que no seamos parientes de Bin Laden o tengamos un primo talibán.


Nuestra vida digital es redefinida cada día por una manada de malnacidos, fuera de nuestro alcance y no podemos hacer nada al respecto, salvo ser espectadores y ver los aviones caer como moscas y sus equipos satelitales comprometidos, mientras en BlackHat un joven explica cómo hacerlo con un WiFi casero. O ser blanco de robo de información y malware a través de nuestras memorias usb, ya que las metemos "sin condón" en cualquier PC; o ser “capados”, como los marranos, por nuestras organizaciones y gobiernos, al restringir nuestra vida en la red.


Es algo muy frustrante


Más que frustrante, ‘Powerless’ diría yo... Y no intentes suicidarte después de esta entrevista, no sea que después de muerto, usen tu mente para hacer un análisis social del “más allá". Si no me crees, extrapola el mensaje de los films Trascendence y Source Code para no alargar más el cuento.
 

Pero como le dijo Neo al Arquitecto: 'el problema es la elección'... No existen tecnologías buenas o malas (sino gente buena o mala)… Y todo se reduce al uso que le demos y las decisiones que tomemos, ya que "El sol sale para justos y pecadores" (Mt 5:45)


Artículo de Alej Calero 
Maravento Studio 

Comentarios

  1. ¿Resumen? Pensé que era una enciclopedia en HTML.

    ResponderEliminar
    Respuestas
    1. si no te da puedes leerlo en varias veces, pero tiene puntos muy buenos!

      Eliminar
  2. Chapeu, me ha recordado a Javi Coder por su forma de hablar ó algún cabroner como Slow de la era del hispano ;)

    Desenmascarate Doctor X!

    ResponderEliminar
  3. largo pero muy bueno. gracias

    ResponderEliminar
  4. Gran material se aprende un montón.

    ResponderEliminar
  5. para los que creen que es mucho... pobrecitos pobrecitos ya que empezo 2-2 y termino muy bien pero le falto los emails y los smart phones es lo que sigue... asi que esperamos parte 2 y 3 y 4 y 78 va? sino es un chiste que ya sabes, ya leemos e implementamos y si no s reimos y seguimos ofuzcando jua jua jua

    ResponderEliminar
  6. de acuerdo. post fenomenal pero me quedé con ganas de más más más. Doc X saque parte II tambien falta virtualizacion, web

    ResponderEliminar
  7. EXCELENTE !!!!!!!!!!!!!!!

    ResponderEliminar
  8. I am using Express VPN to over come all restrictions via L2TP VPN setting
    https://www.reviewsdir.com/compare-vpn-protocols/

    ResponderEliminar
  9. Realista puntos de vista. Bueno. Felicitaciones, pero esperamos parte II. Saludos!

    ResponderEliminar

Publicar un comentario