Dark Mail.

Como saben el servicio de correo  Lavabit, era un servicio de correo seguro, especializado en la seguridad de sus usuarios. Fue fundado en 2004 y suspendió sus actividades en agosto de 2013. El que hizo popular este servicio fue Edward Snowden. En agosto de 2013 lo usbana más de 410.000 usuarios y ofrecía cuentas gratis y de pago. El 10 de junio de 2013, un juez dictó una orden de registro  para obtener todos los datos que Lavabit almacenaba de la cuenta de correo Joey006@lavabit.com, por supuesta posesión de pornografía infantil. Fue así como el FBI solicitó el cifrado de la Web. Razón por la cual su propietario decidió cerrar directamente el servicio, frente a la impotencia de no poder comunicar a los usuarios que apartir de ese momento, sus correos podrías ser vistos.

Casualmente, Silent Circle, otro proveedor de correo electrónico cifrado (aunque también era proveedor de telefonía), siguió con el ejemplo de Lavabit y suspendió sus servicios de correo electrónico cifrado el mismo día poco después de conocerse la noticia.

A día de hoy ya no es accesible dichos servicios, a raiz de dicho cierre, Ladar, su fundador puso en marcha Dark Mail, un proyecto de SW Libre para el desarrollo de un nuevo protocolo de correo electrónico. Dicho protocolo ofrecería un cifrado «extremo a extremo» a los usuarios.

La intromisión de la NSA en los proveedores de correo electrónico como Yahoo, Google, Outlook, genera cierta desconfianza en los usuarios.

De esta manera es que nace, Dark Mail, el protocolo de correo seguro heredado de Lavabit. Intenta llenar ese espacio vacío que dejó la NSA tras sus actuaciones en el caso de Edward Snowden. La idea es que Dark Mail sea implantado en el mayor número de servicios posible con el objetivo de garantizar el secreto de las comunicaciones. Para que el envío de un correo electrónico sea seguro, tanto emisor como receptor deben «hablar» el protocolo Dark Mail; si no fuese así, solamente serían privadas las comunicaciones de usuarios del servicio que sí implementase este protocolo (por ello la importancia de que Dark Mail sea un proyecto en código abierto, para que se pueda extender su aplicación y, además, pueda ser auditado).

Ahora mismo se encuentra en fase de desarrollo, impulsado por por Jon Callas, Mike Janke y Phil Zimmermann (responsable del diseño de PGP) además de Lavar Levison y el equipo de Lavabit y de Silent Circle.

El nombre oficial del proyecto Dark Mail es Dark Internet Mail Environment(DIME) y su objetivo es sustituir los servidores actuales de correo electrónico para ofrecer comunicaciones seguras «extremo a extremo» gracias a DMTP (Dark Mail Transfer Protocol) y DMAP (Dark Mail Access Protocol). Gracias a este sistema, a un correo electrónico se le aplicarían distintas capas de cifrado para que, durante su viaje desde el remitente al destinatario, el mensaje solamente muestre la información que se necesita para cursar la comunicación (dejando siempre oculto el contenido del mensaje).

Básicamente, el servidor de correo electrónico del remitente del mensaje solamente puede descifrar la parte del mensaje que contiene la dirección de correo destino y el servidor del destinatario solamente puede ver la dirección del destinatario (para entregar el mensaje en su buzón) pero no puede ver ni el contenido ni tampoco el correo electrónico del remitente (solamente puede saber del servidor del que procede). Para que este esquema funcione, DIME se apoya sobre un sistema de claves federado (algo parecido al funcionamiento de los servidores DNS) dado que cada sistema que forme parte del proceso de envío y recepción de correos electrónicos tiene sus propias claves públicas y privadas de cifrado.

Aquí les dejo un esquema de la arquitectura y funcionamiento de Dark Mail.

 

Por ahora, DIME se apoya sobre el código fuente de Magma, el servidor de correo electrónico que usaba Lavabit; sin embargo, la idea es que esto se pueda extender a los sistemas que se usan habitualmente (como por ejemplo Postfix). En estos momentos, el sistema sigue siendo experimental; aún no es posible implementar un servicio de correo electrónico basado en DIME, en GitHub existe un repositorio con la versión «pre-alpha» del código y en la web del proyecto hay un documento de especificaciones y arquitectura que se puede consultar libremente pero aún no estamos ante un sistema que se pueda probar o auditar.

Si realmente consiguen llevar el proyecto a buen puerto (y parece que avanza a buen ritmo), DIME podría ofrecer a Google o Yahoo! (y también a las grandes empresas) un protocolo que, de manera transparente para el usuario, ofreciera comunicaciones seguras «extremo a extremo» sin tener que recurrir a componentes externos (como, por ejemplo, PGP).

Otra cosa es que a a los grandes aliados de la NSA les interesa implementar estas medidas.

La verdad que es un proyecto al que hay que apoyar y seguir muy de cerca. Mientras tanto tendremos que seguir usando PGP, para nuestras comunicaciones seguras.

 Enlaces de interés:

https://darkmail.info/

Citizenfour

 

Ciberbullying y las víctimas adolescentes

Como saben el próximo 8 de Abril, estaré hablando sobre ciberbullying y mi especialidad,Ingeniería social. En las Jornadas de formación que organiza la ONG Acción Verapaz.

Lamentablemente el ciberbullying se ha convertido en el principal azote digital de niñas, niños y adolescentes. Las Redes Sociales se han convertido en un canal letal para este tipo de acciones, su propagación es instantánea, una vez que se sube algo, la red no olvida y la información podrá estar durante años en la red.

Tanto la revelación de datos íntimos, personales, divulgación de fotografías trucadas, injurias, suplantación de identidad o insultos son algunas de las formas que adquiere esta ciberviolencia, que supone un maltrato psicológico que deja profundas huellas entre quienes lo sufren llegando en muchos casos a depresión, aislamiento, pérdidas de amistades, adicciones como drogas, soledad y en el peor de los casos, suicidio.

Recordaremos siempre el impactante video de Amanda Todd que nos deja sin palabras ante tanta crueldad infringida por los adolescentes entre ellos mismos.

Como profesional y experto en seguridad de las tecnologías es mi deber difundir y apoyar este tipo de eventos.

Si estás siendo victima de acoso ciberéntico, en el trabajo, en la universidad, en el instituto, en el colegio, en círculo de «amigos», denúncialo y pide ayuda. Callarse, aislarse es lo peor que puedes hacer.

Fuera, tienes mi apoyo incondicional y el de mucha gente (piscólogos, fuerzas de Seguridad del Estado, expertos en seguridad informática, victimas que ya lo han superado, y mucha, mucha gente). Gente que te comprende y sabe por lo que estás pasando. Gente que puede ayudarte a terminar con eso.

No lo olvides, toma evidencia, denúncialo y busca ayuda.

Les dejo una serie de videos creados por PantallasAmigas sobre consejos útiles para evitar el ciberacoso, sexting, sextorsión,  protección de la privacidad.

Imagen de previsualización de YouTube Imagen de previsualización de YouTube Imagen de previsualización de YouTube

 

Crónica de SecAdmin 2014

El pasado 13 de Diciembre, tuvo lugar en las instalaciones de Novotel, Sevilla, el I Congreso de Seguridad Informática y Hacking SEC/ADMIN 2014, con una asistencia que supero las expectativas de los organizadores, debido al nivel de las charlas impartidas, talleres y los retos desarrollados para un público entregado y que despunta en Ciberseguridad.

Empezó D. Tomas Castilla, con su charla sobre “Virtualización lowcost”, con una brillante exposición de cómo tener un sistema económico, eficiente y de alta disponibilidad con VMWare.

Cedió el turno a D. David Meléndez Cano, quien dejo perplejos a los fanáticos de los vehículos ciberpatrullados con su ponencia “ Mitigando ataques WIFI al control remoto de Drones” explicando los pormenores de cómo evitar que nos roben un Dron que se comunica con el piloto vía Wifi.

En cuanto a normativa, legislación; D. Luis Jurado, relato con su ponencia “Todos son risas hasta que cita el juez”, qué hacer cuando las Fuerzas y Cuerpos de Seguridad del Estado que luchan contra la Ciberdelincuencia, se presenta en casa; todos tomaron nota de protocolos, derechos y obligaciones, como detenidos y sobre todo, como actuar.

Tocaba el turno de D. Jorge Websec, fanático de la Red de redes, que nos explico de manera muy amena, las distintas vulnerabilidades que presentan innumerables plugins de WordPress y como se puede acceder a un WordPress desprotegido con su ponencia “Seguridad en WordPress con WordPressa”.

Llego el turno de D. Adrian Ramirez, que presento su charla “Detección de intrusos en mi si stema” con todo lujo de detalles y de cosecha propia, nos relato como detectar intrusos y las medidas para prevenir el acceso a nuestro sistema, tanto en entornos Windows como entornos GNU/Linux.

Cedió la palabra a D. Jaime Alvarez, quien asombro a propios y extraños de la sala, con un clásico en su ponencia titulada “ Hardware Hacking y robótica” que hizo su aparición con la “piña” un hardware capaz de hachear cualquier organización, puntualizando los peligros que corren las empresas que no cuentan con un experto en seguridad informática.

El congreso tenía como objetivo, reunir personas con gustos y aficiones comunes, compartir conocimientos y experiencias para mejorar muchas debilidades de la red, que son aprovechados por piratas y sobre todo despejar muchos mitos y leyendas como la presentada por D. Luis Portillo, y su ponencia “Seguridad Informática y LOPD”, que nos conto todos los secretos de la LOPD, despejando muchas falsas creencias acerca de esta Ley

Tocaba la última de las ocho charlas y no por eso la menos brillante charla que corrió a cargo de D. Javier Soria, “ Talleres forense de móviles con Cellebrite”, que para variar, hizo las delicias de todos los asistentes y que fue un magnifico broche de oro a este congreso. Javier, hizo muchas demostraciones sorprendiendo a la audiencia, con la famosa maquina, explicando con todo lujo de detalles, lo que puede hacer con los dispositivos móviles y sobre todo la cantidad de información de se puede
obtener desde dispositivos tan variados como es un Smartphone, GPS, tableta o cualquier dispositivo de telefonía móvil, sin importar borrados o país de fabricación, dejando a todos los asistentes sin palabras.

Fue un éxito.
Felicitaciones a todos tanto ponentes, patrocinadores y asistentes…