Google Transparency Report.- Es Importante Verlo Desde Todos Los Puntos de Vista.

Hoy echando un vistazo a la lista de correo de la RootedCON y me he quedado impresionado al ver que Google tenia una pagina dedicada a Informes de Transparencia, después del tan hablado caso PRISM y la NSA del que hemos hablado muchísimo en este blog. 

Aunque aun estoy un poco perplejo y no sabría dar una opinion a ciencia cierta sobre la funcionalidad de esta web. La verdad es que hay información muy interesante para que poder ver desde otro angulo todo el follón montado por PRISM y NSA. Que cada uno destripe la información como quiera y aunque yo mantengo mi opinion, si que podemos extraer otras opiniones al respecto. Os dejo el enlace abajo:

• http://www.google.com/transparencyreport/

Sed Buenos ;) 

FOIA.- The Freedom of Information Act

Hoy dando una vuelta por las paginas y blogs que visito cada día me ha hecho gracia una noticia que decía que la [NSA fue inundada con un montón de solicitudes] en nombre de la FOIA. Como podréis deducir el nombre me ha parecido divertido así que he empezando a investigar sobre ella. 

La Ley de Libertad de Información (FOIA), establece que toda persona tiene derecho, exigible ante los tribunales, para obtener acceso a los registros de la agencia federal, excepto en la medida en que tales registros (o partes de ellos) estén protegidos de la divulgación pública de una de las nueve excepciones o por una de las tres exclusiones de registros policiales especiales. Una solicitud de la FOIA se puede hacer de cualquier agencia de registro. 

Supongo que la fueron denegadas sin respeto alguno pero la verdad es que el nombre me hacia mucha gracia. Para todo aquel que quiera saber algo mas pos dejo su pagina web. 

• http://www.foia.gov/ 

Sed Buenos ;) 

Linus y El Backdoor de la NSA en Linux

Ayer hoy rumores por mis redes sociales de que [Linus Torvalds] había acarado el tema del temido por todos Backdoor en Linux. La verdad, es que su intervención me tenia sumamente interesado.

Aunque ya existen otras cosas para desconfiar de la privacidad de algunas distribuciones Linux, si queréis mas información esta todo explicado en [el paper que publiqué hace unos días sobre el Proyecto Prism"A"]. Este hecho fue en la LinuxCon & CloudOpen North America 2013 y los recomiendo encarecidamente escuchar la charla entera sobre Linux Kernel Panel. Pero, el momento crucial esta en el minuto [24:15]. 

La verdad es cuando es que el segundo "no" que sale de la boca de Linus me parece muy sincero.  Aunque, esta es solamente mi opinión.

Fuente: http://thehackernews.com/2013/09/us-government-asked-linus-torvalds-to.html

Sed Buenos ;) 

PANOPTICON.- ¿Como Puede Afectarnos la Falta De Privacidad?

La privacidad es una de las cosas que mas valoramos desde el descubrimiento del proyecto prima, esto se ha visto reflejado en el [gran incremento de usuarios que a sufrido la red TOR] en estos últimos meses. Esta claro que la gran mayoría necesitamos que nos expliquen como realmente esta ocurriendo esto, que es lo que hacen con nuestra información y como todo esto diracta o indirectamente puede llegar a provocar algo en nuestras vidas. 

La verdad es que merece un visionado, el documental ya cuenta con mas de 80.000 visita en Vimeo, espero que lo disfrutéis. 

Sed Buenos ;) 

Fuente: http://www.hackplayers.com/

Curiosidades.- ¡Summon the NSA!

Ayer por la tarde hablando con unos amigo volvió a salir el tema de Estados Unidos, la NSA y PRISM. Estuvimos un rato hablando sobre si eran capaces de cargarse todos los cifrados que quisieran y esas cosas. Hasta que, apareció al Web de Summon the NSA en la pantalla del Hangout. 

El Objetivo de esta pagina es dar a conocer a la gente que esta haciendo la NSA y ya de paso reírse un poco de ella que ya se han reído bastante en nuestra cara durante estos años. La función de ese botón gordo es realizar una búsqueda en google con estas palabras ("Rootkit PLO Chemical weapon Disaster medical assistance team Malware Service disruption Conventional weapon Taliban Suicide attack Tamil Tigers" xD) y de esta manera invocar a la policia o a la misma NSA a que te hagan una visita.

Aquí podréis ver la query a Google cuando apretamos el boton.

No deja de ser una cosa que me sorprende muchísimo encontrar, cada uno expresa su inconformidad como quiere y como Internet, hasta cierto punto, también es nuestro pues que mejor que invitar a la NSA a un Cafe. Para que tenga un poco mas de curiosidad sobre la pagina os la dejo abajo: 

• http://summonthensa.com/

Sed Buenos.

PRISM"A" .- Final y Fecha Para el Paper

Hoy es el ultimo día del mes de agosto así que, hoy doy final a todas las entradas relacionadas con el Proyecto PRISM"A"  la verdad es que ha sido genial buscarle los tres pies al gato y crear una teoría para una distribución Linux la cual empezaré a montar y "tunear" en breve en mi antiguo portátil. 

Así que, estoy orgulloso de deciros que el día 15 se septiembre encontrareis en esta web (que acabo de crear hace 2 minutos xD) tanto el White Paper como la correspondiente beta del Proyecto PRISM"A"  https://sites.google.com/site/linuxprojectprisma/ . ¿Por qué utilizo google sites para un proyecto totalmente opuesto a su servicio?  Muy fácil, por que quiero que llegue a todo el mundo y creo que es una buena manera de empezar a moverse por los campos del SEO.

Muchas gracia a todos los que habéis apoyado o ayudado a este proyecto y espero que el resultado os acabe gustando tanto a vosotros como a mi.

Sed Buenos ;) 

Proyecto PRISM"A".- NoScript y el Open Hardware

Ya estamos a pocos días de acaber este mes de Agosto y se nos hecha el tiempo encima con el proyecto PRISM"A". Así que por una vez en este blog no me voy a ir por las ramas y voy a matar dos pájaros de un tiro.  

Esta claro que si queremos un sistema Anti-Prism 100% teníamos que pensar también el Hardware. Muchos componentes de Hardware, al igual que Software, pueden ser privativos o contener partes de dudosa confiabilidad. Así que, lo primero que tenemos que conseguir con este equipo la confianza completa y eso solo se consigue pudiendo revisar (Si entiendes xD) cada una de las partes del Software o del Hardware que hay en el.

De esta manera, y por el cariño que le tengo a estos "juguetes" me decanto por montar el Sistema Operativo en una Raspberry Pi la cual soporta la arquitectura ARM que es justamente la que usa Debian (es mas, la distribución por defecto es una versión de Debían adaptada xD). Ademas, podremos tener nuestro PRISM"A" en el bolsillo y conectarlo en cualquier equipo. (Lo bueno es que le empiezo a ver mercado a la idea xDDD)

• http://www.raspberrypi.org/ 

Bueno, por otro lado le vamos a dar mas caña al navegador ya que creemos que es una parte importante del Sistema y no se vosotros, pero creo que es la herramienta que usamos habitualmente. Aunque naveguemos por la Red TOR y tengamos a foxy proxy de respaldo no encontraremos con los mismos peligros con los Scripts en Javascript, Flash y Java. 

Así que vamos a poner una capa mas de seguridad aprovechándonos de las extensiones open source que nos ofrece Firefox y del famoso NoScript un add-on que nos permite el bloqueo de Script en todas las paginas por defecto y poder habilitarlos en el caso de que una web sea de confianza. 

• http://noscript.net/

Dos nuevas utilidades para PRISM"A" y menos días para acabar el paper. Sed buenos ;) 

PRISM"A.- CryptoCat - Mensajería Instantánea, Pixelada y Privada

Una de las cosas que mas precisa el usuario medio es la posibilidad de comunicarse con los demás de una manera fácil rápida y cómoda. Por eso nos hemos volcado mucho en paginas o herramientas como Facebook, Skype, El antiguo Msn, etc sin importarnos mucho nuestra privacidad y pasando por alto todas las otras alternativas que sin duda nos ofrecen un grado mas de privacidad. 

Desde el proyecto PRISM"A" hemos decidido substituir esta necesidad por CryptoCat una extensión para navegadores en nuestro flamante y "tuneado" Firefox. Aunque nos estamos centrando un poco demasiado en el navegador creo que si nos esforzamos para poder ofrecer una interfaz curiosa como hace Chrome OS podremos obtener una distribución bastante chula. 

Bueno al lío, CryptoCat funciona como cualquier sala de chat o IRC creamos nuestra sala con nuestro nick o seudónimo, el mismo nos cifrara esa conexión y se preocupará de no dejar ningún rastro de nuestra conversación en sus servidores.

Como podéis ver es un sistema muy parecido a IRC solo debes pasar el nombre de la sala de la conversación y ya podréis comunicaros. 

La verdad es que es una extensión que yo he usado bastante y funciona realmente bien. Os animo a probarla tanto en Firefox como en Google Chrome  para que tengáis vuestra propia opinión.

• https://addons.mozilla.org/es/firefox/addon/cryptocat/

Y os adjunto la documentación de CrytoCat para que veáis que nuestra elección no a sido a dedo.

• https://github.com/cryptocat/cryptocat/wiki/Soporte-En-Espa%C3%B1ol

Sed Buenos ;) 

Proyecto PRISM"A".- Eligiendo Buscador Predeterminado - ¿DuckDuckGo?

Ya muchos sabres lo que es el proyecto PRISM"A" y lo que intentamos hacer, Double Reboot y yo, con un portátil de hará ya unos 7 años. La verdad, es que pensábamos terminar el proyecto para este agosto pero creemos que solo tendremos lista la parte teórica. Aunque, la noticia buena, es que tendréis el White Paper del proyecto a finales de agosto y podréis seguir por este blog los diferentes problemas que tengamos en la parte practica. 

Para que nos demos cuenta de como va el proyecto y lo como "tunearemos" nuestro equipo, os he hecho un esquema-resumen a perfecto paint.

¿Me ha quedado chulo verdad?  xD

La verdad es que nos quedamos anclados en la elección del navegador por defecto de nuestro sistema "AntiPrism". Pero como todos sabemos, Mozzilla Firefox viene con Google como buscador por defecto. Así que, no nos sirve de nada si creamos un sistema pensando en la privacidad y después realizamos todas nuestras búsquedas por Google las cuales, no son para nada privadas.

Por esta razón y por que queremos que el usuario se sienta como con el sistema y pueda tener "Cosillas para toquetear" nos decantaremos por DuckDuck Go. Un buscador alternativo de muchísima fama el cual nos permite hacer búsquedas bastante exactas [de una manera anónima, sin ser rastreados y sin tener que iniciar la sesión]. Ademas, que cuenta con bastantes herramientas extras llamadas Goodies.

Para que os hagáis una opinion de porque hemos elegido este navegador y no otro os dejo la pagina aquí abajo y ya sabéis que estamos abiertos a cualquier sugerencia.

• https://duckduckgo.com/about#

Sed Buenos ;) 

Opinión & PRISM"A".- The Pirate Bay PirateBrowser - No more censorship!

En la ultima entrada referente a nuestro proyecto PRISM"A" dije que tenia que mirar el nuevo [Browser de The Pirate Bay] y pensar seria apto para adaptarlo a nuestro proyecto. Pero, primero, prefiero que conozcáis un poco mas lo que nos ofrece este Navegador. 

La primera cosa que me ha sorprendido des pues de extraer todo el contenido es que conservara el icono de Tor Browser, los que conozcan este navegador ya sabrán de que hablo. Al principio no vi que me ofreciera nada que no me pudiera ofrecer [Tor Browser] hasta que me fije en la extensión  [foxyproxy], una herramienta destinada a la gestión de proxys. Esto no es nada que no pudieras hacer con el otro, pero le aporta un punto extra a cualquiera que no sepa y solo quiera descargarse el navegador y disfrutar de una cierta privacidad. 

Si, digo cierta por que solo esta disponible para sistemas Windows y ya sabemos como de unidos han estado Windows y NSA. 

En resumen, no vamos a incluir The Pirate Bay en nuestro proyecto [PRIM"A"] aunque la incorporación de foxyproxy nos ha dado algunas ideas bastante buenas para "tunear" nuestro Firefox en Debian. 

Os dejo el enlace  del Pirate Browser para que os hagáis una opinión propia. Sed Buenos ;) 

PRISM"A".- ¿Firefox Como Navegador?

La ultima vez que os hable de nuestro proyecto PRISM"A" nos quedamos en la teórica incorporación de Debian como sistema operativo base para el proyecto debido a todas las ventajas que expliqué en el anterior articulo. Ahora, toca el turno de elegir una buena base para nuestro navegador.

Firefox, de momento, nos parece una buna base para empezar. Hace tiempo os hablé de Https EveryWere  y de las ventajas que tenia esta extensión ahora 100% estable sobre Firefox. Ademas, nos da la posibilidad de configurar TOR en el de una forma aparentemente fácil y si encima es open source, puede tener actualizaciones de seguridad mas "rápido" eso es un plus añadido a la experiencia del usuario. 

Hace poco me entere de que Piratebay ha sacado su propio navegador el cual incluye TOR haciéndolo pasar todo por un servidor proxy adicional y también basándose en Firefox, (Así que no voy muy desencamino en mi elección). Aun me he de poner a examinarlo como es debido así que, el navegador puede cambiar en unos días.

Pero, sea como sea el resultado preveo que vamos a acabar pasando por el aro de Mozilla Firefox sea como base o "tuenandolo" a base de extensiones. 

Sed Buenos ;) 

Proyecto PRISM"A".- Eligiendo Sistema Operativo

PRISM"A" es el nombre provisional que le hemos dado al proyecto conjunto con DoubleReboot que os anunciamos [ayer]. (Si, somos así de originales XD). Bueno, el primer problema que tenemos es seleccionar un sistema operativo que no tenga nada que ver con Microsoft, Apple, o Google (por el nuevo Google Chrome OS o Android). Ademas, nos gustaría que los drivers fueran totalmente compatibles con todo el hardware de nuestro equipo (del cual, pusimos las características en la entrada anterior). Ademas, queremos que sea un sistema estable y del que estemos 100% seguros de que no tendremos ninguna backdoor en el momento menos inesperado. Así que necesitamos un sistema estable en el cual podamos revisar la gran mayoría o todo el código que entre en nuestra maquina y que sea algo intuitivo para el usuario.

De esta manera, y perdonad que me haya puesto un poco Richard Stallman, hemos decidido dotar (de momento teóricamente) de un sistema Debian el cual cumplirá, de momento, con todas nuestras y ya nos saca muchos dolores de cabeza. Aunque, sabemos que debían no es la panacea y que han habido ciertos errores en esta distribución. Nos gustaría que fuera una distribución algo mas cercana a la conocida [Tails] donde si que llevan [la seguridad en al orden del día]. Lástima que esta distribución solo esté disponible en un formato Live y la serie los nodos TOR finales monitoreados por el FBI tampoco .

Así que, aquí es donde empieza nuestro trabajo. Debemos ser capaces de manipular un Debían y dejarlo preparado para que cualquiera pueda disfrutar de su privacidad.

Si alguien tiene cualquier sugerencia para el proyecto os animo a dejar un comentario en esta entrada y lo discutimos por allí sin problemas 

Sed Buenos ;) 

Nuevo Proyecto.- ¿Equipo Anti-PRISM?

Como ya sabréis los que llevais mas tiempo aquí, algunas veces me he dedicado a ["analizar" ciertas distribuciones Linux] que prometían ser la panacea para todo el revuelo que sacó a relucir la NSA con PRISM que que poco a poco hemos ido descubriendo que muchos otros países también habían hecho sus propias peripecias en la red de redes. Así que tanto [DoubleReboot] como yo hace tiempo que pensamos en aprovechar un antiguo portátil que teníamos por casa y aprovecharlo para hacer de el un autentico sistema Anti-PRISM (O intentarlo al menos xD)

Para que veáis que no necesitaremos un pepino nuclear os dejo las especificaciones:

Acer Aspire 5101AWLMi

• Tecnología móvil Turion 64 2 GHz 
• RAM : 1 GB - HD : 120 GB 
• DVD±RW (+R doble capa) / DVD-RAM - 802.11b/g 
• Debian
• 5.4" Panorámico TFT 1280 x 800 ( WXGA )

Bueno, al principio vino siendo de los primeros Windows Vista aunque con el paso del tiempo a acabado con un bonito Debian que cumple con todo lo que ahora por ahora le pedíamos a este Equipo.

¿Como lo haremos? 

Es una buena pregunta. Primeramente empezaremos analizando toda la información que esta saliendo sobre PRISM que en [algunos blogs] está saliendo como la espuma últimamente y comprarla con famosa lista de de [https://prism-break.org/] para mas información Dragon Jar hizo una genial explicación sobre todo esto así que os recomiendo la lectura de su [articulo]. 

Ademas hace mucho que no hago una entrada tipo Diario. Así que aprovechando que dentro de poco dispondré de un lugar mas grande donde poderme dedicar a este proyecto con mas espació creo que es hora de ponernos manos en la masa y acabar haciendo un Paper de todo este "experimento".

Supongo que en el recorrido de este "experimento" tendremos muchísimas dudas sobre lo que debemos o no configurar en nuestra máquina. Así que, no seáis muy duros si nos pasamos con las preguntas. 

Sed Buenos ;) 

 

Informe Mandiant.- APT1 Exposing One of China’s Cyber Espionage Units

Se que llego un poco tarde y que seguramente ya os lo habréis leído de cabo a rabo pero, para aquellos que no os voy a explicar que es este documento. (Ademas que es un punto genial después del [caso PRISM y la tercera guerra mundial])  Este informe fue pedido por Estados Unidos a la empresa Mandiant después de todos los misteriosos ataques a industrias clave del país presuntamente a manos de China. 

Merece la pena que lo leáis y que tengáis una opinion propia sobre lo que ocurrió, sinceramente puede que gran parte de estos ataques provengan de china pero creo que hay otros país que también les vendría genial en mascararse en ese velo USA vs China para realizar sus operaciones. Estaré encantaro de debatirlo con una cerveza cuando queráis. Os dejo el pdf para que lo podáis ver online y la URL al documento pdf para que os lo bajéis. 

http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf

Sed Buenos ;) 

Correo Electronico.- Lavabit Garantiza Nuestra Privacidad.

Últimamente, con la que esta cayendo entre la NSA, PRISM y otros países, nuestra privacidad esta a la orden del día. La gente ya no quiere que se le espié (Bueno, al menos los que estamos un poco al día de estos temas).  Así que, un montón de incoativas están  están emergiendo dando respuesta a esta nueva necesidad. Un ejemplo de esto es Lavabit un servicio de correo electrónico el cual nos garantiza que nuestros correos serán privados. 

A que se compromete el servicio:

• Misión.
• Lavabit fue creado para ofrecer a los usuarios de Internet la mejor elección para un servicio confiable, rápido y asequible de correo electrónico que no sacrifica la privacidad de beneficios.
• Valor.
• Lavabit siempre debe proporcionar un valor excepcional a cambio de la inversión de tiempo y dinero de nuestros usuarios. Lavabit debe proporcionar un valor excepcional mediante la entrega de servicios de correo electrónico de calidad al precio más bajo posible.
• Servicio.
• El personal Lavabit siempre debe proporcionar el servicio al paciente, anuncios de particulares y competente para todos los miembros de la comunidad, ya sean clientes, usuarios o visitantes simplemente pasar por aquí.
• Reciprocidad.
• Lavabit siempre ayudar a la comunidad con la apertura de su fuente, la donación de la hora de sus empleados, dar su dinero y el uso de sus recursos para ayudar a los demás. Lavabit presta sus servicios en beneficio de la comunidad a la que sirve, no para beneficio personal.
• Usabilidad.
• Lavabit enfocará continuamente en el diseño de interfaces que combinan facilidad de uso con el poder para satisfacer las demandas más exigentes.
• Accesibilidad.
• Lavabit recordará que todo el mundo usa una computadora diferente e ingeniero de nuestro sistema y soluciones para dar cabida a todos.
• Escuchar.
• Lavabit tendrá una conversación abierta con los usuarios y ofrecer lo que es importante para ellos.
• Privacidad.
• Lavabit rotundamente protege la privacidad de sus usuarios. Lavabit sólo divulgará información privada si es legalmente obligado por los tribunales de acuerdo con la Constitución de los Estados Unidos.
• Ingeniería.
• Lavabit se compromete a la ingeniería excepcional que ofrece software y servicios técnicamente superior.
• Ética.
• Lavabit empleados se comprometen a tomar las decisiones correctas, incluso si no son los más fáciles o más rentable.

Yo al leer esto me convencí un poco y me he atrevido a probarlo. La verdad es que dista mucho aun de ser un sistema tan "vistoso" como son Gmail o Hotmail. Pero, la verdad es que al usar la tecnología de [Squirrel Mail] posiblemente pueda ser una opción muy validad si la empresa se compromete a ser Ética. 

Existen cuentas gratuitas para el que quiera probarlo. Cabe puntualizar que si se nos ocurriera enviar un e-mail a cuantas bajo el [Ojo de la NSA] (ya sabeis Gmail, Outlook, Yahoo) acabara siendo visto. Así que Recomiendo que, si quereis mas privacidad, os acostumbréis a cifrar vuestros correos electrónicos. 

PRISM y ¿La Tercera Guerra Mundial? - Opinión

Hoy dando un buen repaso a las [CTFs de HighSec] y organizando el documento del Pentest para [Friendsandjob] me he puesto al día sobre PRISM y todo lo que esta conllevando este espionaje con pelos y señales. Bueno, ya tenia una opinión clara de lo que esta pasando y realmente ya se esta haciendo [bastante voz]. Pero, hace unos me momentos me he topado con esto con lo siguiente: [Guardian Deletes article "secret European deals to hand over private data to US"]

Con todo lo que estaba o está pasando en le red ahora mismo con tanto espionaje tanto el procedente de estados unidos como el [proveniente de china], el cual armo mucho revuelo la verdad es que me deja muy poco tranquilo.  Esto suena a guerra desde aquí y como ya sabéis en todo el mundo la información es poder y mas pudiéndola obtener con un coste casi ridículo comparado al traslado o al envió de ejercito. 

En mi opinión lo que estamos viendo no es mas que la punta del iceberg que tarde o temprano acabara aparecer. No se de que manera, pero esperemos que sea de la mejor posible. Odio ponerme paranoico con estas cosas pero ,y repito, en mi opinion ya estamos metidos en el preludio de algo que va a traer mucho cola. Tantos países espiándose unos a otros y en algunos casos [consiguiendo planos de armas] ... es la gran mosca detrás de mi oreja. 

Sed Buenos ^^ 

Infografía.- ¿Que es Prism?

Ayer dejé caer el tema de PRISM y lo pase por alto creyendo que la mayoría de vosotros, mas o menos, sabrías de que iba el tema. Ya hay [muchos blogs que han hablado muchísimo mas a fondo] del nuevo juguete de la NSA, pero me he alegrado al cruzarme curiosamente con el blog de [Subdirección de Seguridad de la Información], el cual, aparte de la siguiente imagen también la acompañaba de una muy buena explicación. 

Ahora ya no me podéis decir que por mi no conocéis a PRISM. Sed Buenos!