Sep 6 2013

Computación en la nube – Algunas recomendaciones para mantener alejada a la NSA

Bruce Schneier es un periodista de The Guardian y fue uno de los que mostro el accionar de la NSA y como supera cualquier barrera que se ponga para invadir la privacidad de personas, empresas, países y funcionarios de otros gobiernos.

En su último articulo NSA surveillance: A guide to staying secure, aparte de contar todo lo que ha vulnerado la NSA, nos da algunas recomendaciones para tener en cuenta y que es interesante recordarlas y/o aplicarlas.

Uno de los pasajes del artículo – si quieres saber todo lo que vulnera la NSA puedes leerlo completo – nos dice;

Como ha sido revelado hoy, la NSA trabaja con los vendedores de productos de seguridad para asegurar que los productos de encripción comercial se pueden quebrar de maneras secretas que solo sabe la NSA. Se sabe que esto ha ocurrido históricamente; CryptoAG y LotusNotes son los ejemplos más públicos, y también hay evidencia de una puerta trasera en Windows.

¿Vas a seguir creyendo lo que te dicen los foros de la industria de TI y los vendedores de promesas de las empresas de USA?

Cuidate, y antes de tomar la decisión de contratar servicios en la nube de una empresa de USA, aclara todo esto con tu junta directiva y el resto de los colegas, no vaya a ser cosa que un día tengan que explicar porque los datos de la empresa – y de tus clientes – son públicos y/o están en manos de los competidores.

Si sos un CMO y te dicen que ahora te vas a liberar de TI comprando servicios en la nube alojados en algún lugar de USA,

¡Cuidado!

Escucha al CIO o al CISO y preparate, no confíes ciegamente en los proveedores, nadie te va a decir que sus soluciones tienen puertas traseras para la NSA.

Las recomendaciones de Bruce no son nada nuevo pero lo que revela del software comercial de USA te deja pensando.

  • Ocultarse en la red. Implementar servicios ocultos.
    Usar Tor para pasar al anonimato. Sí, NSA apunta a los usuarios de Tor, pero es un trabajo para ellos. Cuanto menos obvio seas, más seguro estás.
  • Cifrar las comunicaciones.
    Usar TLS. Utilizar IPsec. Una vez más, si bien es cierto que la NSA apunta a conexiones cifradas – y puede tener hazañas explícitas en contra de estos protocolos – estarás mucho mejor protegido que si te comunicas sin cifrar.
  • Asume que, si bien el equipo puede verse comprometido, tomaría trabajo y riesgo por parte de la NSA – por lo que probablemente no lo sea.
    Si usted tiene algo muy importante, utiliza un bache en el aire. Desde que empecé a trabajar con los documentos Snowden, me he comprado un nuevo computador que nunca se ha conectado a Internet. Si quiero transferir un archivo, encripto los archivos en el equipo seguro y voy a mi computadora conectada a Internet, utilizando una memoria USB.
  • Desconfía del software de encriptación comercial, especialmente de grandes proveedores.
    Mi conjetura es que la mayoría de los productos de cifrado de grandes empresas de EE.UU. tienen puertas traseras que la NSA puede utilizar, y muchos extranjeros probablemente también lo hacen. Es prudente suponer que los productos extranjeros también tienen puertas traseras. El Software de código cerrado es más fácil para la NSA tener una puerta trasera que en el software de código abierto. Los sistemas que dependen de secretos principales son vulnerables a la NSA, ya sea a través de medios legales o clandestinos.
    Comentario personal; lo mismo podemos decir de cualquier software comercial de empresas de USA y principalmente hablamos de Microsoft y sus sistemas operativos desde 1999 y Oracle con sus bases de datos. De hecho muchos artículos de la prensa americana se han hecho eco de publicaciones que decían que el gobierno de USA colaboró en el desarrollo de Windows 7.
  • Trata de utilizar el cifrado de dominio público que tiene que ser compatible con otras implementaciones. Por ejemplo, es más difícil para la NSA tener una puerta trasera para TLS que para BitLocker, porque cualquier fabricante tiene que ser compatible con el TLS de todos los demás proveedores, mientras BitLocker sólo tiene que ser compatible con el mismo, dando a la NSA mucha más libertad para hacer cambios. Y como BitLocker es propietario, es mucho menos probable que se descubran esos cambios. Prefiero criptografía simétrica sobre la criptografía de clave pública. Prefiero los sistemas de registro de base discreta convencionales sobre los sistemas de curva elíptica, este último tiene constantes que la NSA influencia cuando puede.

Desde que empecé a trabajar con los documentos de Snowden, he estado usando GPG, Silent Circle, Tails, OTR, TrueCrypt , BleachBit, y algunas otras cosas que no voy a escribir. Hay una función de cifrado de indocumentados en mi programa Safe Password desde la línea de comandos), he estado usando eso.

Entiendo que la mayoría de esto es imposible para el usuario típico de Internet. Incluso yo no uso todas estas herramientas para casi todo lo que estoy trabajando. Y todavía estoy principalmente en Windows, por desgracia. Linux sería más seguro.

La NSA ha convertido el tejido de la Internet en una gran plataforma de vigilancia, pero no son mágicos. Están limitados por las mismas realidades económicas que el resto de nosotros, y nuestra mejor defensa es hacer que la vigilancia sea tan cara como sea posible.

Confía en las matemáticas. El cifrado es tu amigo. Utilizalo bien, y haz todo lo posible para asegurarse de que nada puede comprometerlo.

Así es como se puede seguir siendo seguro incluso en la cara de la NSA.

Anuncio publicitario

¿Qué opinan?

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.