/* */ Derrapades neuronals

Pàgines

dissabte, 10 d’abril del 2021

Altra Ràdio: Interceptant comunicacions en missatgeries xifrades

Fa uns dies que els informatius de Bèlgica parlen de les incautacions massives de droga al port d’Anvers ; 17 tones fa unes setmanes i 11 tones més pocs dies enrere. També d’operacions a gran escala per a detenir sospitosos, fins i tot un treballant als jutjats de la ciutat.

Els mitjans de comunicació diuen que és degut a que la policia ha pogut infiltrar-se en el sistema de comunicació que feien servir, Sky-ECC. Sky-ECC són, eren, perquè ara han tancat el web, uns telèfons securitzats, sense gps, ni càmera, ni micròfon, només la telefonia bàsica junt amb un programari de comunicacions xifrades punt a punt en el que les missatges desapareixien automàticament pocs segons després de ser llegits.

De fet, uns telèfons ideals per a amagar accions criminals, però també per a blindar-se viatjant a segons quins països o negociant alguns contractes, si cal fer-ho a distància. Cal recordar el cas Boeing-Airbus amb ECHELON pel mig (ja no se’n parla) el 1994, per exemple.

El xifrat no és per a amagar accions criminals. També és per a protegir-te de l’espionatge industrial, de xafarders, teletreballar connectat als servidors de l’empresa, o per poder fer comerç electrònic o connectar-te al teu banc de manera segura.

Amb aquest operació, també s’ha deixat anar la idea que han pogut trencar el sistema de xifrat d sky-ecc. En desconec els detalls de la implementació, però podria ser possible segons com i amb quins algoritmes ho haguessin fet. És, per exemple, un dels punts que es retreu a Telegram, que facin servir un algoritme propietari i no del tot públic, que no es pot auditar per tercers.

Hi ha però una altra hipòtesi que no creu que hagin trencat el xifrat ans que han pogut colar programari maliciós (malware) als telèfons dels presumptes delinqüents. Per molt xifrat que tinguis, si et colen un malware que pot llegir el que escrius o llegeixes just abans de xifrar-ho o desxifrar-ho, no cal trencar el xifrat. És també el que va passar a l’estiu de 2020 amb una altra acció a França i els Països Baixos contra el crim organitzat, atacant la missatgeria EncroChat.

I aquesta, col·locar programari maliciós, és una hipòtesi que potser demana de menys recursos i pot ser més plausible que el trencar del xifrat. La idea és que es poden haver clonat punts de connexió wifi vulnerables o emprat antenes de telefonia “ad-hoc” (que no pertanyen a les operadores) que col·locades prou a prop de la víctima, facin que el dispositiu s’hi connecti. Les dades que hi circularan estaran xifrades, però si aconsegueixen que l’usuari es descarregui un malware (seguint un enllaç maliciós d’un sms, xat o correu, per exemple) o una actualització no-oficial del programari de missatgeria, li poden enviar una versió “adaptada” i no l’autèntica. I a partir d’aquí, aquesta versió adulterada o el programari maliciós pot interceptar els textos abans de ser xifrats i fer còpies dels missatges per a envia-les a un servidor controlat per la policia. I només infectant a una persona poden començar a veure la xarxa de contactes, desvetllant nous possibles objectius.

I amb això tornem a tocar un tema recurrent. La reclamació de la policia i alguns governs de posar portes amagades al programari de xifrat. Una petició que des del punt de vista tècnic i matemàtic s’obre el que es sustenta el xifrat, és impossible. I des del de la seguretat, un risc: si hi ha portes amagades per a que “els bons” puguin intervenir el xifrat, tard o d’hora “els dolents” les trobaran i faran servir per a intervenir, també, les comunicacions “dels bons” sense que aquests ho sàpiguen.

Resumint: - el xifrat és segur quan els algoritmes i el codi són públics i poden ser auditats per tercers. - no cal rebentar el xifrat quan hi ha baules més insegures com els usuaris que es poden descarregar programari maliciós seguint un enllaç - hi ha dispositius com els “Stingray” o “IMSI-catchers” que fan d’antenes de telefonia mòbil i poden captar els telèfons propers, interferir-ne les comunicacions, o recollir quins telèfons es troben en una zona (p.ex. manifestacions, reunions, o talls de carreteres).

dissabte, 4 de juliol del 2020

Enllaços sobre el SARS-CoVid19 i biologia cel·lular en general

A l'escola xalava molt amb les classes de Biologia, i en particular amb la biologia cel·lurar i la bioquímica. Vaig tenir molt bons prefessors i m'agradava el tema. Va anar d'un pel que no estudiés Biologia a la UB. Amb la crisi del COVID19 han anat sortint interessants articles describint el codi genètic, les proteïnes i la seva funcionalitat, i he tornat a xalar i cercat més enllaços del tema. Aquí en deixo uns quants:

Coronavirus: coneixent l'enemic. (març 2020, Ismael Mingarro)
https://metode.cat/noticies/coronavirus-humans-coneixent-enemic.html

Lluís Montoliu - BioTente vídeos sobre CRISPR, proves PCR, epigenètica, ...
https://www.youtube.com/playlist?list=PL2ulhgu9dpGdKf9OJbUmdh8iJQyH1YcCb

Bad news wrapped in a protein: inside the coronavirus genome. (abril 2020, Jonathan Corum and Carl Zimmer)
https://www.nytimes.com/interactive/2020/04/03/science/coronavirus-genome-bad-news-wrapped-in-protein.html

How corona virus mutates and spreads. (abril 2020, Jonathan Corum and Carl Zimmer)
https://www.nytimes.com/interactive/2020/04/30/science/coronavirus-mutations.html

Coronavirus: la lluita des del nanomon. (abril 2020, Jordi Diaz-Marcos)
https://www.enciclopedia.cat/divulcat/coronavirus-la-lluita-des-del-nanomon

Esto es lo que los virólogos sabemos hasta hoy sobre el coronavirus SARS-CoV-2. (abril, Albert Bosch) 
https://theconversation.com/esto-es-lo-que-los-virologos-sabemos-hasta-hoy-sobre-el-coronavirus-sars-cov-2-137274

Good news on the human immune response to the Coronavirus. (maig 2020, Derek Lowe)
https://blogs.sciencemag.org/pipeline/archives/2020/05/15/good-news-on-the-human-immune-response-to-the-coronavirus

Our amazing immune system. (abril 2020, Bert Hubert)
https://berthub.eu/articles/posts/immune-system/

COVID-19: The T cell story (juny 2020, Bert Hubert)
https://berthub.eu/articles/posts/covid-19-t-cells/

DNA: The Code of Life. (2017, Bert Hubert) amb un parell de vídeos de la seva presentació al SHA2017.
https://berthub.eu/articles/posts/dna-the-code-of-life/

Aquí un que va a cercar el codi genètic del virus a un reposiroti i cerca similituds entre les seves variants. En bash!
https://jameshfisher.com/2020/02/09/diffing-coronaviruses/

Un molt bon curs a EdX sobre el sistema immunitari de la Universitat de Tel Aviv i el professor Jonathan Gershoni. Assequible amb els coneixements de Biologia de batxillerat. "Viruses & How to Beat Them: Cells, Immunity, Vaccines".
https://www.edx.org/course/viruses-how-to-beat-them-cells-immunity-vaccines

Aquests enllaços em porten a d'altres amb animacions fetes amb ordinadors, basades en el coneixement actual de l'activitat cel·lular. Llàstima no haver tingut aixo quan ho estudiava!

Animacions del WEHI (Walter+Eliza Hall Institute) sobre funions cel·lulars. Transcripció de gens, orgànuls cel·lulars, portes del nucli, empaquetament del DNA sobre histones, etc. Aquí la playlist de les animacions.
https://www.youtube.com/playlist?list=PLD0444BD542B4D7D9

TED conference de Drew Barry sobre aniumacions de l'activitat cel·lular.
https://www.youtube.com/watch?v=WFCvkkDSfIU


diumenge, 14 de juny del 2020

DNSSEC - el .cat un cop més pioner (II)

A puntCAT vam voler ser pioners en molts aspectes a fi d'oferir el millor servei als registrants i als qui visitaven dominis .cat. Era també un punt de diplomàcia pública a través del que representava el domini .cat en el món digital i els espais de la governança d'Internet. 

Un dels punts que després de ICANN-32 (París, juny 2008, dos anys i pocs mesos després d'arrencar el .cat) vam tenir clarissim va ser que haviem d'implementar DNSSEC i ser el primer gTLD a oferir-lo. En breu, DNSSEC xifra les comunicacions entre el vostre dispositiu i els servidors de resolució de dominis a fi d'evitar el segrest de la comunicació i que us retornin una adreça IP d'un sevirdor maliciós. A l'època, només uns pocs ccTLDs oferien DNSSEC, i cap gTLD.

Ens vam posar a treballar i planificar els cavis en el backend per a tenir-ho llest ben ràpidament. Però no era només un tema tècnic. Haviem de tenir el vist i plau d'ICANN a fi de modificar el contracte pel qual atorga a la Fundació puntCAT la gestió del domini .cat. 

Aquí el document (PDF) del 17 de febrer de 2010 que CORE, el proveïdor d'infraestructura del registre .cat va presentar a ICANN en nom de puntCAT.

Missatges amunt i avall, vam haver d'esperar fins a ICANN-38, del 20 al 25 de juny a Brussel·les, per a que ICANN signés l'acord (modificació del contracte) pel qual ens deixaven oferir aquesta tecnologia. Però ens ho van fer signar, sense dir-nos res, una estona després de que el .org ho presentés en públic.

No en tenim més proves que la sospita d'una tan llarga espera i el fet d'una signatura minuts després de la presentació e la implementació de DNSSEC feta pel .org. Però tot indica que no volien que un petit i nou TLD passes la mà per la cara als grans, i menys al .org, delegat a la Internet Society.

dimarts, 10 de març del 2020

Altra Ràdio - Què podem fer contra el ciber-assetjament

Guió de la intervenció al programa l'Altra Ràdio (Ràdio4).

El 8 de març ja ha passat però no per això hem d’oblidar el que hi reivindiquem. Així que avui voldria recomanar una xerrada TED de n’Eva Galperin (twitter @evacide) – investigadora en seguretat informàtica i cap de ciberseguretat de la Electronic Frontier Fundation, entitat estatunidenca reconeguda arreu del món per la defensa de les llibertats individuals en l’àmbit digital.

Parla sobre el “stalkerware”, és a dir, el programari que es fa servir per a seguir les activitats en línia d’altres, d’amagat, normalment per a assetjar-les o extorsionar-les. D’una banda, la nostra vida digital va deixant rastres per tot arreu. Ens etiqueten en fotografies o anem dient què fem i on som. Aquí cadascú sap el que fa però sovint no pot controlar a 3rs, per propers que aquests siguin.

D’altra, en algunes parelles hi ha el risc de compartir paraules de pas o de que l’altra persona sàpiga les respostes a les típiques preguntes per a recuperar les paraules de pas (eg. “la teva primera mascota”, etc) i pugui segrestar el compte.

Per a evitar-ho, canviar sempre els codis, paraules de pas i respostes de recuperació de tots els teus comptes després (o millor just abans) d’un trencament. A les típiques preguntes de recuperació podem respondre sempre una poca-soltada com “a mi no m’agrada el pebrot” que, evidentment, no és ni el nom de la teva mascota ni del lloc on vas néixer, però és una resposta vàlida i difícil d’encertar.

Però els assetjadors poden preparar programari maliciós (malware) que es descarregui de webs trampejades, o en el cas de possibles assetjadors propers, aprofitar el fet de conèixer les paraules o codis d’accés als dispositius per a instal·lar-hi aquest malware que, d’amagat, els donarà accés a fotografies, geolocalització, accés a la càmera i el micròfon, trucades, missatges, etc. de la víctima.

Malauradament, no tots els antivirus reconeixen el programari assetjador (stalkerware) com a maliciós, sigui per acció o per omissió. Una empresa d’antivirus que s’hi fixa n’ha detectat uns 2500, d’aquests programes.

N’Eva impulsa la “Coalition Against Stalkerware” per a educar als usuaris i convèncer a les empreses d’antivirus per a detectar aquests programes, i poc a poc va aconseguint resultats. Esperem i ajudem-la per a que ho aconsegueixi. El seu èxit és el nostre.

Podeu trobar el vídeo a TED o via l’escurçador: https://ja.cat/evated o, per si mai desapareix: https://www.ted.com/talks/eva_galperin_what_you_need_to_know_about_stalkerware/transcript#t-759625

Més informació:

https://www.wired.com/story/eva-galperin-stalkerware-kaspersky-antivirus/

https://stopstalkerware.org/


dimarts, 7 de gener del 2020

Altra Ràdio - No cal donar sempre les dades bones

Guió de la intervenció al programa l'altra Ràdio (Ràdio4)

Potser recordeu que fa uns anys, el 2015, es va fer pública la base de dades dels usuaris d’una web de trobades anomenada Ashley Madison. Una pífia de seguretat i una base de dades mal protegida.

O els tres de LinkedIn, el 2012, el 2017 i el 2019, amb 6, 117 i 770 milions de comptes, petits davant el cas de Marriott de 2018; allí van poder accedir, i també publicar a Internet, la base de dades d’aquesta cadena d’hotels, amb més de 500 milions de clients. Sí, 500 milions, equivalent a tota la població europea sense comptar l’ex Unió Soviètica.

I altres com l’atac a Yahoo, primer minimitzat i dissimulat per la companyia que després, el 2017, va admetre la captura de 3 mil milions de comptes, sí, 3 mil milions.

Aquests fitxers podien estar xifrats, però segons com s'haguessin protegit les dades amb el hash o el xifrat, podrien ser susceptibles a atacs per a recuperar part de la informació personal.

Com la festa no para, la setmana passada un cercador de “Love hotels, del Japó, va anunciar que uns desconeguts havien accedit a la seva base de dades d’usuaris. Com aquest servei també permetia la reserva i pagament de les habitacions, sembla que han accedit a les dades personals dels usuaris, com noms, adreces i telèfons, que van fer servir el servei.

S’obre aquí, com en el cas Ashley Madison, un fantàstic panorama propici a extorsions, sorpreses, bronques i malentesos. En aquesta web atacada diuen; “Demanem sinceres disculpes pels inconvenients i ansietat que haguem pogut causar als nostres clients i altres persones”

Doncs res, comencem l’any disminuint l’ “ansietat” i com a propòsits d’any nou recomanar:

  • No donem mai les vostres dades de debò si no és estrictament necessari (per exemple, per què donar l’adreça postal si no us han d’enviar res?)
  • Donem-nos de baixa dels serveis d’Internet que ja no fem servir.
  • No repetim mai les paraules de pas; una de diferent per a cada lloc. Sempre.
  • I si cal, creeu personalitats diferents per a llocs, diguem-ne, "compromesos”.

No us desanimeu, i Bon Any!