che, ''Encriptemos>>?

En Código Sur hemos implementado certificados de seguridad de Let’sEncrypt para todos los sitios que están en el servidor Bety Cariño.

Todos lo usan en la zona administrativa, y todos los sitios nuevos están cifrados de cabo a rabo por defecto.

20170103_144102.jpg

https://

LLamamos httpS a las comunicaciones HTTP que son seguras, esto es, que están cifradas (o encriptadas) con el protocolo TLS/SSL


HTTP

es el Protocolo de Transferencia de Hipertexto, es decir un tipo de conexión que permite intercambiar hipertextos HTML, los 'bloques’ de los que está compuesto el contenido de la Internet.


Si husméasemos la red a la que estamos conectados, usando programas como Wireshark, que interceptan el tráfico de la red, podríamos ver estos paquetes HTTP, que junto con el contenido de la página web, traen aparejada información como las IP de conexión, cookies de sesión o contraseñas, etc.

M.I.T.M

En teoría sólo podemos ver el tráfico de red de nuestra máquina…

Lo que pasa es que es muy sencillo 'engañar’ a la red para hacernos pasar por otro de sus nodos y recibir la información que le estaba destinado a éste.

Si además luego redirijimos este tráfico a su destinatario original, nos habremos puesto “en medio” de sus comunicaciones, de donde el nombre del ataque 'Man In The Middle’.

Estar en esta posición, además de leer las comunicaciones de la víctima, también habilita al ofensor a modificar el contenido de la página en tránsito, con lo que podría inyectar programas maliciosos por ejemplo.

TLS/SSL

Es por ésto que se hace necesario implementar el protocolo TLS/SSL sobre HTTP.

El cifrado es lo que permite esconder la información.

Se hace alterando los datos según un patrón que sólo el destinatario puede reordenar para interpretarlos, o sea descifrarlos.

Un tercero que no tiene las llaves de cifrado, en vez del contenido sólo verá caracteres basura sin sentido.


BigData

Si bien el M.I.T.M es una prueba que todos podemos hacer, lo cierto es que como usuarios sólo somos los últimos puntos de la red, y que al comunicarnos nuestra información viaja por un gran número de redes, routers, switchs… aparatos que efectivamente están en medio de nuestras comunicaciones, y que pertenecen a grandes corporaciones y gobiernos.

Estas redes están centralizadas, en el Norte. Y si bien es un espacio en disputa entre las grandes potencias, la realidad Latino Americana es que nuestra red depende de los EE.UU., quienes siempre han sido los dueños de la pelota llamada Internet, en todo caso.

En esta época, sabemos a ciencia cierta que la totalidad de la información que circula en la red de redes es redirigida por dantescas agencias de inteligencia que llevan a cabo la vigilancia masiva de la población, vulnerando el derecho a la privacidad de todos los individuos, al recolectar datos precisos de nuestras ubicaciones, movimientos, contactos, búsquedas, lecturas, tendencias…

Somos seguidos y analizados al detalle con el fin de controlarnos.

“Minería de Datos”

Es en 2013 que las filtraciones del contratista de seguridad de la NSA, Edward Snowden, nos revelan una realidad de vigilancia estatal masiva, en que toda la información que circula en la Internet es recolectada para su almacenamiento y análisis por algoritmos cada vez más exactos en comprender el comportamiento de nuestra sociedad, y así manipularla…

Si le agregáramos que esto sucede en verdaderas ciudades de computadoras dedicadas a la Minería de Datos, construidas por agencias de “Inteligencia” para-estatales, de espaldas a sus ciudadanías, fuera de control de sus propios gobiernos (como la NSA mintiéndole al Congreso de los EE.UU.), nos adentramos en una distópica realidad panóptica que pareciera ciencia-ficción mas sin embargo es actualidad pura; la Guerra de la Información.

En este juego están no sólo en las grandes potencias sino que incluso en muchos Estados Latino Americanos.

Es probable que al cifrar todo nuestro tráfico por TLS/SSL, estemos restándole a los sistemas de vigilancia nuestra información – por lo menos por un tiempo.

Lo que logramos ocultar es el contenido de nuestros mensajes. Mas no así datos referentes a la comunicación misma, como la fecha, las partes, sus direcciones I.P y por tanto geográficas…

La meta-data aporta información mucho más valiosa al aparataje espía que el contenido de nuestras comunicaciones.


Certificados

La firma es la parte del cifrado hecha para que “nos demos cuenta”.
Es decir de asegurarse que el mensaje recibido efectivamente viene del remitente, y de verificar que no ha sido alterado por nadie en el camino.

En HTTP, que es un protocolo cliente-servidor, la firma se hace mediante certificados de seguridad.

Estos certificados a su vez tienen que ser firmados por una CA, o Autoridad de Certificación en español, quienes supuestamente revisan la identidad del dueño de un dominio y firman que es él quien pone el certificado en este dominio.

Tal verificación se hace por correo electrónico, si es que se hace, y por lo tanto no es muy confiable. En cambio, se hace a cambio de sumas importantes de dinero, en dólares, con tarjeta de crédito.

StartCom

Para los autogestivos era común recurrir a los certificados gratuitos de StartComSSL, una firma israelí X.

Ellos eran los únicos que daban certificados gratis, aunque uno solo y limitado.

Auto-firmados o “snakeoil”

También está la opción de utilizar certificados auto-firmados, y verificar siempre las huellas y resúmenes de los certificados generados por nosotros mismos.

Pero esto es tedioso y requiere de un mínimo de conocimiento criptográfico.

Además salta una Advertencia de Seguridad disuadiendo, al que no entiende lo que está pasando, de ingresar a la dirección. Con justa razón, dicho sea de paso.

Let’sEncrypt!

Es a raíz de ésto que aparece la inciativa Let’sEncrypt que propone llegar a cifrar el 100% del tráfico de la web.

Para ello innova en el campo de las Autoridades de Certificados (CA) creando un mecanismo automático de validación, otorgamiento y renovación de certificados.

Consta de un software cliente a instalar en los servidores (certbot) y de infraestructura propia accesible como API para interactuar con ellos.

La propiedad del dominio se valida con pruebas técnicas, como la propiedad de una carpeta dentro de éste, registros DNS, etc.

La API devuelve el certificado que el servidor luego instala y debe renovar periódicamente.

¿Quiénes son Let’sEncrypt?

No obstante, estamos confiando en esta nueva CA ¿por qué?.

Detrás de esta inciativa está la EFF (Fundación Frontera Electrónica), activistas de larga data en derechos digitales.

Sin embargo, dada la arquitectura centralizado de este esquema de seguridad, una Autoridad de Certificados podría entregar nuestras llaves privadas, incluso comprometer la seguridad de nuestros servidores con el software cliente (aunque este es OpenSource, no lo hemos leído aún…)


¿Sirve httpS?

Aún confiando en nuestra CA, me cabe la duda: ¿sirve realmente el cifrado TLS/SSL?

Una ciencia compleja…

Es posible que las agencias de seguridad hayan vulnerado matemáticamente los algoritmos de cifrado que usamos para asegurar nuestras páginas.

De hecho, se sabe que ciertos algoritmos tienen ciertas debilidades, que puedens ser explotados bajo condiciones casuales como malas configuraciones, generadores de números aleatorios defectuosos, utilización de algoritmos obsoletos, números primos débiles, contraseñas cortas, etc.

Es decir que no es que “hay o no hay seguridad” absolutamente, sino que en distintos grados según el uso que nosotros demos a nuestras herramientas de cifrado.

En ese sentido los desarrolladores y administradores de sistemas tenemos cierta responsabilidad de obligar a las buenas prácticas y mantenernos al día.

...desarrollada en secreto por los Gobiernos.

A la vez que es una realidad el que los recursos invertidos por los gobiernos en vigilancia son inconmensurables, unos pocos amateurs nos enfrentamos con verdaderos ejércitos de profesionales bien entrenados y pagos.

Gran parte de la ciencia criptográfica se desarrolla dentro de los círcurlos de la matemática militar y tarda años en llegar a la Academia.

Por lo que dejo la pregunta en el aire:
¿Quién sabe cuál es el estado del arte en Criptografía a Noviembre del 2016?
¿Cuál el algoritmo seguro contra la NSA, de cuántos bits, 4096?
¿Alguno? ¿Ninguno? ¿Ya tienen computación cuántica?

Por lo que no podemos decir que nada es absolutamente seguro en la red. Ni siquiera que estamos restándoselo a los sistemas de recolección masiva de información personal.

Debemos asumir por mientras que todo en Internet es público.
Esto nos obligará a repensar esta herramienta.

Última modificación: 20 de diciembre de 2016 a las 23:51

Hay 4 comentarios

captcha