18 feb. 2016

FBI solicita a Apple desbloquear un iPhone (y la caga)

Un juez de California ordenó a Apple que ayudara al FBI a desbloquear un iPhone que encontraron en el bolsillo de un terrorista. Syed Rizwan Farook, de 29 años, fue abatido junto a su mujer durante el ataque a una agencia de servicios sociales de San Bernardino, California, el pasado diciembre, donde murieron 14 personas y otras 22 resultaron heridas. El teléfono que encontraron en su cuerpo es un iPhone 5C. Y, según el FBI, está bloqueado. La juez Sheri Pym de la Corte de Distrito de Los Angeles ha establecido que Apple debe proveer de "asistencia técnica razonable" [PDF] a los investigadores para acceder a la información bloqueada.

Si el teléfono estuviera bloqueado, esto significaría dos cosas. En primer lugar, desactivar el mecanismo de autodestrucción que salta cuando alguien introduce la contraseña incorrecta diez veces seguidas. Después, una vez tengan un número ilimitado de intentos, quieren que la empresa les ayude a romper la contraseña con fuerza bruta. Quieren que la empresa produzca un software que pueda generar las 10.000 combinaciones posibles de números hasta dar con la afortunada.

La compañía tenía cinco días laborables para responder a la orden si consideraban que la petición de la juez resultaba "injustificadamente onerosa". No los han usado. Su consejero delegado, Tim Cook, ha tardado menos de 24 horas en responder que, además de onerosa, es "una medida sin precedentes que amenaza la seguridad de todos los clientes". Lo ha dicho esta mañana en una Carta abierta a nuestros consumidores publicada en la web de Apple. "Nos resistimos a esta orden, cuyas implicaciones van más allá del caso en el que se aplica".

Apple es clara al respecto: "Apple no realizará extracción de datos en teléfonos con iOS 8.0 como respuesta a órdenes de registro judiciales porque los archivos a extraer están protegidos por una contraseña de cifrado que está vinculada a la del usuario, y Apple no la tiene". Un portavoz de Google también aclaró su parte al Times: "Las claves no se registran en el dispositivo y, por lo tanto, no pueden ser compartidas con la ley".

Y, el FBI "la cagó"

El 19 de octubre de 2015, aproximadamente seis semanas antes de los ataques terroristas de San Bernardino, Syed Farook realizó un último backup completo a iCloud desde su iPhone 5C. Apple ya había proporcionado acceso a esta información al FBI bajo una orden judicial.

Ahora el FBI está buscando los datos almacenados entre el 19 de octubre de 2015 y la fecha de los ataques, el 12 de diciembre, y que no han sido aún sincronizados con la cuenta de iCloud de Farook. Cuando el FBI se acercó a Apple para solicitarles ayuda, Apple sugirió a los federales una forma alternativa: conectar el iPhone de Farook a Internet en una red Wi-Fi conocida para que su teléfono realice una copia de seguridad automáticamente a su cuenta de iCloud.

Pero, justo después de los ataques terroristas, un policía de San Bernardino intentó resetear el Apple ID Passcode, asociado al iPhone, en un intento de acceder a los datos. Al restablecerse el passcode, Apple esencialmente crea un nuevo ID de dispositivo que no se sincroniza automáticamente en iCloud hasta que el usuario configura manualmente este nuevo passcode dentro de la configuración del dispositivo.

Lamentablemente, el iPhone de Farrok ya está bloqueado y Apple se ha negado a proporcionar una puerta trasera para eludir la contraseña del dispositivo. Por lo tanto, las autoridades ahora se quedaron sin posibilidad de sacar los datos de iCloud.

Imponer puertas traseras no detendrá el cifrado de datos (ni el terrorismo)

Bruce Schneier publicó un informe sobre el estado de la tecnología de cifrado en el mundo. Sus conclusiones son variadas e interesantes. La principal, que el mercado está en plena explosión. Si Washington obliga a las empresas tecnológicas a introducir una puerta trasera en sus tecnologías y plataformas de comunicación cifrada, como exige el director del FBI, hay un variado abanico de productos extranjeros que ocuparán su lugar.
Según los datos del informe, el mercado de tecnologías diseñadas para proteger los datos y/o las comunicaciones está en plena explosión. "Hay al menos 865 productos de hardware o software que incorporan sistemas de cifrado de 55 países diferentes. Esto incluye 546 productos fabricados fuera de los EEUU, un tercio del total". A nadie sorprende que el país más aficionado a esas tecnologías es Alemania, cuya capital concentra más hackers y activistas anti-vigilancia por metro cuadrado que ninguna otra ciudad europea. Le siguen el Reino Unido, Canadá, Francia y Suecia. Otros países que están desarrollando sus tecnologías de cifrado: Algeria, Argentina, Belize, las Islas vírgenes británicas, Chile, Chipre, Estonia, Irak, Malasia, San Cristóbal y Nieves, Tanzania y Tailandia. Nótese la presencia de paraísos fiscales. Según el informe, no hay una gran diferencia de calidad entre las tecnologías que se producen en Tanzania y las que produce Silicon Valley.

De los 546 productos que hemos encontrado -dice Schneier-, el 56% se venden y el 44 son gratuitos, el 66% es propietario y el 34% open source. En cuanto al tipo de producto, 47 del total son productos para cifrar archivos, 68 para cifrar el email, 104 para cifrar mensajes, 35 para cifrar la voz y 61 son dispositivos para usar Redes Privadas Virtuales (VPN).

Un informe similar, publicado en 1999 por la Universidad George Washington, listó las tecnologías de cifrado disponibles en el mercado internacional. Su conclusión fue que controlar o restringir la exportación de tecnologías de cifrado redundaba en detrimento del mercado estadounidense, sin ejercer ningún control sobre la producción o el uso de esas tecnologías en el resto del mundo. Hace 17 años, nadie se imaginaba que millones de personas empezarían a usar tecnologías de cifrado para comunicarse con sus seres queridos. Hoy cada vez parece más irrisorio comunicarse de ninguna otra forma.

Fuente: El Diario y II

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!