Actualización: Gemalto ha anunciado una rueda de prensa para este miércoles. Además, ha comunicado que:
Noticia original: Edward Snowden ha vuelto a luz pública con una nueva revelación acerca de las operaciones “secretas” de las agencias de espionaje. De acuerdo a los documentos que ha presentado a The Intercept, espías estadounidenses y británicos hackearon Gemalto, el fabricante de tarjetas SIM más grande del mundo, para robar las claves cifradas de acceso universal a sus tarjetas SIM. De esta forma no alertaban a usuarios, redes o gobiernos de sus actividades de espionaje.
Ya en el pasado 2013 se descubrió una grave vulnerabilidad con las tarjetas SIM que afectaba a 500 millones de usuarios. En ese momento se supo que la brecha se producía a través del protocolo de cifrado (DES) y el lenguaje de programación Java Card que se utilizan en la mayoría de tarjetas SIM del mercado. El fallo permitía instalar software malicioso a través del envío de un SMS OTA invisible para el usuario.
No sabemos si aquel fallo tenía relación con el hack ahora revelado, el cual habría sido llevado a cabo por la NSA y su homóloga británica, la GCHQ. Una unidad conjunta bajo el apodo de Mobile Handset Exploitation Team (MHET), que se mantuvo en secreto hasta ahora y que se habría originado en el año 2010.
Para que nos hagamos una idea del alcance de la operación basta con presentar a Gemalto. Se trata del mayor fabricante de tarjetas SIM en el mundo, con unas ventas de alrededor de 2 mil millones de tarjetas al año para 450 operadoras de 85 países. Cifras que dan que pensar que es muy probable que muchos de nuestros smartphones podrían haber sido potencialmente espiados por ambas agencias.
Según el informe, las claves de cifrado robadas permitían a las agencias de inteligencia controlar las comunicaciones móviles en las respectivas tarjetas sin el permiso de las operadoras. Por otro lado, se evitaban la “necesidad” de una orden judicial para una escucha telefónica sin dejar rastro. Además, el robo de claves permitía a las agencias descifrar los datos de comunicaciones antiguas.
Pensemos que, si bien la NSA puede obtener permisos en suelo estadounidense para obligar a operadoras a acceder a comunicaciones de clientes, fuera de sus fronteras la cosa cambia. Por lo que es muy posible que en lugar de convencer a las autoridades internacionales para proporcionar acceso o hacks a dispositivos locales, este robo masivo eludía tales trabas y permitía a la NSA monitorizar desde cualquier lugar sin ser detectados.
Otra noticia preocupante con la NSA de por medio que vuelve a remarcar la impunidad con la que operan las agencias de inteligencia en todo el mundo.
Las conclusiones iniciales indican que los productos de Gemalto, las tarjetas SIM (así como tarjetas bancarias, pasaportes y otros productos y plataformas), son seguras y la compañía no espera que supongan un perjuicio económico significativo
Noticia original: Edward Snowden ha vuelto a luz pública con una nueva revelación acerca de las operaciones “secretas” de las agencias de espionaje. De acuerdo a los documentos que ha presentado a The Intercept, espías estadounidenses y británicos hackearon Gemalto, el fabricante de tarjetas SIM más grande del mundo, para robar las claves cifradas de acceso universal a sus tarjetas SIM. De esta forma no alertaban a usuarios, redes o gobiernos de sus actividades de espionaje.
Ya en el pasado 2013 se descubrió una grave vulnerabilidad con las tarjetas SIM que afectaba a 500 millones de usuarios. En ese momento se supo que la brecha se producía a través del protocolo de cifrado (DES) y el lenguaje de programación Java Card que se utilizan en la mayoría de tarjetas SIM del mercado. El fallo permitía instalar software malicioso a través del envío de un SMS OTA invisible para el usuario.
No sabemos si aquel fallo tenía relación con el hack ahora revelado, el cual habría sido llevado a cabo por la NSA y su homóloga británica, la GCHQ. Una unidad conjunta bajo el apodo de Mobile Handset Exploitation Team (MHET), que se mantuvo en secreto hasta ahora y que se habría originado en el año 2010.
Para que nos hagamos una idea del alcance de la operación basta con presentar a Gemalto. Se trata del mayor fabricante de tarjetas SIM en el mundo, con unas ventas de alrededor de 2 mil millones de tarjetas al año para 450 operadoras de 85 países. Cifras que dan que pensar que es muy probable que muchos de nuestros smartphones podrían haber sido potencialmente espiados por ambas agencias.
Según el informe, las claves de cifrado robadas permitían a las agencias de inteligencia controlar las comunicaciones móviles en las respectivas tarjetas sin el permiso de las operadoras. Por otro lado, se evitaban la “necesidad” de una orden judicial para una escucha telefónica sin dejar rastro. Además, el robo de claves permitía a las agencias descifrar los datos de comunicaciones antiguas.
Pensemos que, si bien la NSA puede obtener permisos en suelo estadounidense para obligar a operadoras a acceder a comunicaciones de clientes, fuera de sus fronteras la cosa cambia. Por lo que es muy posible que en lugar de convencer a las autoridades internacionales para proporcionar acceso o hacks a dispositivos locales, este robo masivo eludía tales trabas y permitía a la NSA monitorizar desde cualquier lugar sin ser detectados.
Otra noticia preocupante con la NSA de por medio que vuelve a remarcar la impunidad con la que operan las agencias de inteligencia en todo el mundo.
No sólo la NSA, cualquiera con un móvil te puede estar grabando en las reuniones, en las comidas, etc.
La cuestión es cómo tratan la grandísima cantidad de datos que se genera en unas escuchas globales.
Cómo digo muchas veces por el teléfono, "un saludo para los que nos están escuchando".
Esa no es la solución. Por mucho que un 5% (por decir algo) se aleje de gadgets, el futuro va encaminado (y de manera correcta) a un "todo interconectado". La solución no se apartar la tecnología, la solución es que llegue seguridad de verdad.
Si los americanos están en todos lados, es precisamente por expertos de seguridad buscando agujeros en todas partes. Si las empresas invirtieran lo que toca en seguridad, ellas mismas encontrarían y taparían sus agujeros.
Y ante un futuro donde las redes y la tecnología será el pilar fundamental de la sociedad (bueno, en cierto modo ya lo es), esto tiene que cambiar.
Por suerte un servidor es , y sera un mindungui al que poco tienen que robar o modificar.
(imagen)
Que seguridad va a haber si es la que ponen ellos mismos? que seguridad va a haber si ellos mismos la compran o por las malas reclaman puertas traseras para "luchar contra el terrorismo".
Lo que tiene que cambiar es lo que dice el compañero al que citas, que nos dejemos de dependencias creadas y estupidas para tenernos mas controlados.
Se puede vivir sin smarthphone con internet geolocalizador y toda la mierda esa que traiga, incluso se puede vivir sin telefono movil, se puede vivir sin relojes inteligentes, sin gafas inteligentes y sin tostadoras inteligentes.
Cuanta menos mierda interconectada o "inteligente" mas libres y menos controlados estaremos.
Menos dependencias creadas por muy comodas o cool que resulten
PD:
Java Card no es un lenguaje de programación, es una tecnología que permite usar código Java compilado el Smart Card. simplemente Java Card sólo permite un subconjunto de Java completo en ejecución.