Sistemas de monitorización social

Publicado en Ciencia y Tecnología, Noticias,


Tweet about this on TwitterShare on Google+2Share on Facebook0Share on LinkedIn0

Esta es una interesante serie de artículos escritos por Rafael Páez en Security ArtWork, donde nos hablan del alcance de los sistemas de monitorización social, o más comúnmente conocidos como redes de espionaje y que paso a compartir con todos los lectores interesados.

Los sistemas de monitorización social comúnmente conocidos como redes de espionaje, son mecanismos, normalmente gubernamentales, que se encargan de interceptar y analizar todo el tráfico que se transmite por las comunicaciones electrónicas, para así, como “ellos” lo definen, poder detectar y anticiparse a ataques terroristas, planes de narcotráfico y conspiraciones políticas entre otras funciones.

Existen diversos sistemas que cumplen estas características y con esta serie de posts me gustaría hacer una pequeña introducción a algunos de ellos.

Echelon

La red Echelon es considerada como la mayor red de espionaje creada para la interceptación de comunicaciones electrónicas de toda la historia y es el sistema de espionaje más conocido de todos sin lugar a dudas. Se han escrito multitud de libros e incluso se ha hecho alguna película (“Echelon conspiracy”) donde tenemos a Echelon como principal “protagonista”.

Sus orígenes se remontan a finales de la Segunda Guerra Mundial, cuando Estados Unidos y Gran Bretaña crean un sistema conjunto de espionaje e intercambio de información denominado UKUSA (United Kingdom y United States of America), al cual se le irían añadiendo posteriormente otros países como Canadá, Australia y Nueva Zelanda. A pesar de que el sistema continuó en avance, no fue hasta 1976 cuando se produjo el nacimiento público de la red Echelon.

Esta red está formada por muchos elementos unidos entre ellos para así poder abarcar un mayor alcance de “rastreo” de las comunicaciones, siendo estos elementos antenas, radares, satélites y estaciones de escucha, apoyados por submarinos y aviones espía. Gracias a todo este entramado de dispositivos consiguen observar el mayor número de comunicaciones globales, incluyendo todas aquellas comunicaciones que puede realizar un usuario normal, como el envío de correos electrónicos o las llamadas telefónicas. Se considera que el poder de captación de las comunicaciones que viajan por Internet es del 90%, ya que casi todas las comunicaciones que se hacen vía Internet pasan por nodos de los Estados Unidos o por puntos de control de la NSA, lo que hace mucho más fácil su detección.

Duncam Campbell, un reconocido periodista e investigador británico especializado en temas de inteligencia y seguridad, ha escrito en diversas ocasiones sobre el tema, llegando a afirmar ante el Parlamento Europeo en uno de sus artículos, que Echelon está dirigido por la NSA (Agencia Nacional de Seguridad de EE.UU) y por el Servicio Secreto de Inteligencia británico (SIS), y que vigila diariamente todas las comunicaciones transmitidas por radio de onda corta, Internet, satélite e incluso aquellas que viajan por cable submarino. Además afirma que sus fines no son únicamente militares como ellos justifican, sino que realiza un espionaje con fines económicos y políticos, incluyendo en estos análisis a los ciudadanos.

A raíz de todo este tipo de información han surgido nuevos rumores, informes y demandas sobre Echelon. Varias empresas y corporaciones han demandado en diferentes ocasiones a Gran Bretaña y Estados Unidos por robo de secretos confidenciales, argumentando que dichos robos les han causado considerables pérdidas económicas. Como por ejemplo el gobierno francés, el cual dice estar seguro de poder demostrar como por culpa de Echelon, Airbus perdió un contrato millonario que fue a parar finalmente a las manos de la empresa americana Boeing, e incluso llega a asegurar que en Microsoft hay trabajadores pertenecientes a la NSA que instalan programas secretos y agujeros de seguridad en los productos que desarrolla, para después poder entrar a dichos contenidos. Además, se comenta que Microsoft aceptó estas condiciones a cambio de recibir apoyo financiero y ayuda para monopolizar sus productos en el mercado.

Funcionamiento de Echelon

El funcionamiento de Echelon se basa básicamente en sniffers que permanecen a la escucha e interceptan todas las comunicaciones posibles, siendo en mayor medida aquellas que viajan a través de Internet, y se le aplican una serie de filtros determinados (conocidos como diccionarios). Si el resultado es positivo, entonces se procede a su monitorización y/o grabación.

Estos filtros se encargan de la identificación de palabras clave en las comunicaciones, y son éstos los que contienen aquellos términos que se quieren detectar (de ahí que se llamen diccionarios). Estos diccionarios son capaces de detectar palabras en diferentes idiomas, y no solo aquellas donde la información viaja en forma de texto, sino que también es capaz de diferenciar las voces reales e identificar dichas palabras según su contexto e idioma.

Una vez se ha detectado una comunicación considerada como peligrosa, es grabada y monitorizada, y se etiqueta según la “peligrosidad” o importancia que se le dé. Seguidamente se envía a los distintos centros de análisis, para que allí hagan un análisis más exhaustivo de la misma.

Hecho todo esto, se crea un informe que explique un poco más en detalle lo que es y de lo que se trata y se vuelve a hacer una nueva clasificación. En el caso extremo de que la comunicación interceptada se considere muy peligrosa (según su política) se procederá a incluir a los participantes de la misma en una lista negra, para así estar en el “punto de mira” de futuras interceptaciones, centrándose en mayor o menor grado en dichas partes.

Aparte de esa archiconocida red ha habido, y continúa habiendo, otras instituciones y países que se han unido a la utilización de estas prácticas creando sus propias “redes espía”. El FBI, sin ir más lejos, tenía su propio software llamado Carnivore, el cual nació en octubre de 1997 como sucesor de Omnivore y fue reemplazada en 2005 por el software comercial NarusInsight, que explicaremos más adelante.

Carnivore funcionaba básicamente como un sniffer más que era utilizado bajo el sistema operativo Microsoft Windows. Su tecnología era bastante sencilla y común, pero lo que marcaba la diferencia y la efectividad era que podía ser instalado en los proveedores de Internet o en cualquier otro punto en el que se tuviera un acceso preferente a los datos que se intercambiaban en las comunicaciones. Además de este factor tan importante, como es la posición donde se situaba, su funcionalidad clave era el gran poder de filtrado del que se disponía, siendo éste su elemento diferencial. En la imagen podemos ver una captura de su interfaz de configuración.

En un informe del Centro de Información para la Privacidad Electrónica (EPIC), los expertos del FBI reconocían que la capacidad que poseía esta herramienta para vigilar las actividades de los internautas era ilimitada. Pese a esta afirmación, aseguraban que únicamente se basaban en los permisos que les otorgaba la ley, y que únicamente eran objeto de monitorización aquellas personas que eran sospechosas de haber infringido la ley. Por lo tanto, en la mayoría de las ocasiones, era necesaria una instancia judicial tras la cual eran capaces de rastrear todo lo que un usuario hacía durante su conexión a Internet, desde los mails que enviaba, hasta las páginas que visitaba.

Referente al tema del sistema de filtrado que utilizaba, se cree que una gran parte del mismo se hacía servir de diccionarios (a pesar de que ellos dijesen que su gran efectividad no se basaba en ese sistema), con los cuales detectaba aquellas palabras que podían considerar como “peligrosas”, como nombres de políticos, de ciudades o aquellas relacionadas con posibles atentados. Una vez uno de estos mensajes era interceptado, se procedía a su almacenamiento, guardando la fecha, la hora y los participantes del mismo.

En diferentes ocasiones se ha comentado que el software era capaz de diferenciar entre aquellas “partes” de los mensajes que se podían interceptar (según la ley) y aquellas que no, y además aseguran que aquella información que no relacionaba directamente al sospechoso era descartada. De hecho, a raíz de todas las críticas generalizadas hacía este sistema, el director del FBI, Donald Kerr, respondió a todas estas acusaciones destacando el verdadero objetivo de Carnivore.

En su artículo (Richard F. Forno, Who’s Afraid of Carnivore? Not me. Cryptome.org. Mayo del 2005.) se dice que Carnivore trabajaba como un simple sniffer más, con la única habilidad de poder distinguir entre las comunicaciones aquello que era legal interceptar y lo que no. Se decía, que por ejemplo, si la orden judicial les daba permiso para interceptar un tipo de comunicación (por ejemplo los e-mails), los otros tipos (como podían ser las compras on-line) eran excluidos, y que además, dentro de los e- mails podía seleccionar aquellos que cumplían ciertas características, como podían ser las direcciones de origen y destino o el asunto que contenía dicho mensaje. También se decía que el sniffer solo guardaba aquellos paquetes que pasaban por el filtro, y que este filtro podía ser extremadamente complejo, ya que así lo era el hecho de poder distinguir entre los mensajes de los diferentes usuarios de Internet. Además, afirmaba que el filtro no buscaba entre el contenido de todo el mensaje intentando encontrar palabras clave como “bomba” o “drogas”, que se basaba en ciertos criterios que eran dados por la orden judicial, como por ejemplo mensajes desde o hacia cierta cuenta o persona.

En definitiva, otro sistema de monitorización social, con mucho menor alcance que Echelon, pero igualmente inquietante.

NarusInsight

El FBI decidió “abandonar” Carnivore para empezar a utilizar NarusInsight. Este sistema fue creado por la compañía estadounidense Narus, la cual se encarga de producir sistemas de vigilancia masiva. Éste concretamente es un sistema de superordenadores que es utilizado por la NSA y otros organismos para realizar vigilancia masiva y monitorización de las comunicaciones de Internet en tiempo real, incluyendo aquellas que realizan los ciudadanos y las empresas. Como podemos ver en su página web, califican a NarusInsight como el sistema de análisis de tráfico en tiempo real más escalable que existe, ya que es capaz de “adaptarse” tanto a redes grandes y complejas como a las redes que puede usar un usuario normal de Internet.

Entre muchas de sus características destacan algunas como el alto rendimiento que puede llegar a obtener y el gran análisis que puede hacer. Llegando incluso a poder controlar aquello que hacen los usuarios en la máquina inspeccionada, viendo que aplicaciones son las que tienen abiertas en cada instante y conocer todas las actividades que hacen (y han hecho) los usuarios: desde las páginas que han visitado hasta las conversaciones que han intercambiado mediante e-mails o sistemas de mensajería instantánea.

Otra de sus importantes opciones es la de poder analizar aquella información que viaja en los diferentes protocolos, como puede ser el payload o los datos adjuntos de un correo electrónico. Además, una sola máquina de NarusInsight tiene una capacidad de procesamiento de 10Gb/s, lo que implica que puede ser capaz de analizar las conexiones de varios millones de usuarios.

Por último comentar que se desconoce el funcionamiento exhaustivo de este sistema, ya que los usuarios no disponen de autorización para saber realmente como trabaja NarusInsight.

Ghostnet

Para acabar con la serie, hablaremos del descubrimiento hecho por la universidad canadiense de Toronto, concretamente por el Centro Munk, en el que después de una investigación de diez meses (desde junio de 2008 hasta marzo de 2009) se detectó una red china de espionaje cibernético la cual llevaba más de dos años en actividad bajo la mirada inocente del mundo entero llamada Ghostnet. Esta red se hizo pública hace poco tiempo, exactamente el 29 de marzo de 2009, a través del diario The New York Times.

En el informe creado por dicha universidad junto con la ayuda de la universidad de Cambridge, se explica con total detalle en que consistió este descubrimiento y como llegaron a su detección final.

Los investigadores centraron su búsqueda en las acusaciones que la comunidad exiliada en el Tíbet habían hecho en contra del ciberespionaje que estaban recibiendo por parte de China y por una investigación privada que se pidió a los despachos del Dalai Lama. A partir de ahí, fue donde se descubrió que un total de 103 países fueron infectados, entre ellos Corea del Sur, Portugal, Alemania y la India, pero que únicamente se consideraban como objetos de alto valor un 30% del total de los nodos infectados, estando relacionadas con embajadas, relaciones exteriores o incluso organizaciones como la OTAN.

El método utilizado para conseguir crear esta red de espionaje era el mismo que el utilizado por las conocidas botnets, ya que lo que hacía era infectar a los ordenadores mediante un malware que se instalaba en los equipos y era capaz de monitorizar todo aquello que el usuario hacía con su ordenador. Concretamente, el malware utilizado era un troyano denominado “gh0st RAT”, el cual era capaz de obtener un control total y remoto de la máquina infectada llegando incluso a poder activar y desactivar cualquier dispositivo conectado al PC (como podían ser micrófonos y cámaras) y por consiguiente capturar todo lo que éstos detectasen, pudiendo grabar todas las actividades y conversaciones que se hiciesen.

Esta red se diferencia de una botnet “común” por el número de máquinas infectadas, ya que la principal misión de una botnet es infectar el mayor número de ordenadores posibles para así poder obtener un “poder” mayor. GhostNet, pese a haber estado únicamente dos años en funcionamiento, había conseguido infectar 1295 computadoras en 103 países diferentes de todo el mundo, mientras que las botnets comunes consiguen tener un control de entre 30000 y más de 100000 máquinas. Esta diferencia abismal entre un tipo de red y la otra, es que como hemos comentado, las botnets únicamente desean ampliar el número de ordenadores a su mando, en cambio GhostNet realizaba una función muy diferente, que era la de espiar a aquellas personas o entidades que deseaba y creía importantes para su misión. Por este motivo, la infección del troyano no se hacía indiscriminadamente, sino que se realizaba una selección de aquellas personas a las que se les quería tener acceso.

El mecanismo que utilizaban básicamente era el de obtener información de la persona deseada, realizando un estudio de la víctima. Para ello, aprovechaban la información obtenida de otros sistemas infectados, llegando incluso a utilizar dicha información para elaborar el propio engaño para la víctima. El sistema más común que utilizaban para realizar este engaño era el envío del malware a través de los correos electrónicos adjuntando el propio programa en el mensaje, usando en muchas ocasiones las listas de contactos de la persona infectada.

Pese al evidente carácter político de estos objetivos y de que el 70% de los servidores que controlaban la red se encontraban en China, el gobierno del país no se responsabiliza en absoluto de la autoría de los hechos, remarcando que “China prohíbe estrictamente cualquier crimen informático”. Esta afirmación se ve reflejada en el informe presentado, ya que en éste se dice que no es posible establecer una relación exacta que indique la participación del gobierno chino, a pesar de que la universidad de Cambridge lo incrimina y lo relaciona directamente.

Fuente

Califica esta entrada

Etiquetas: , , ,


Deja un comentario

Cuanto es 15 + 13 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos