General

Privacidad y seguridad en redes públicas: Barcamp Guayaquil

Desde 2002 he tenido la oportunidad de asistir como participante, como ponente y como organizador a decenas de eventos tecnológicos, desde Argentina hasta la India. Una característica de estos eventos es que, para mantener a los geeks con vida, suele haber una oferta muy buena de acceso a Inteet en la forma de una red alámbrica o inalámbrica. Aquí explico por qué esto es un falso amigo.

La semana pasada estuve en Guayaquil asistiendo al Barcamp que se hizo en la Perla del Pacífico. El evento fue hospedado por la FIEC de la ESPOL, en unas instalaciones que ya conocía por haber participado en el FLISOL 2009 como patrocinante. Llegué al evento muy temprano, cuando aun no habían llegado muchos de los organizadores y prácticamente ningún participante. A través de Twitter hice una recomendación a los participantes que iban al evento: cifren su tráfico.

Sé que es llover sobre mojado, pero definitivamente el acceso a Inteet, o en general a redes de trabajo para computadores en este tipo de eventos, es un falso amigo. La mayoría de la gente considera que por tratarse de un evento de perfil tecnológico, la red de trabajo será algún tipo de panacea técnica de la privacidad y la seguridad, y en la mayoría de casos no es así, y se deberían continuar tomando las mismas medidas que un usuario o usuaria toma en escenarios hostiles.

Desde muy temprano en la mañana, la red inalámbrica de la FIEC, servida a través de varios puntos inalámbricos con dos ESSIDs diferentes y sin cifrado, estaba replicando paquetes a todas las estaciones. La FIEC utiliza un portal captivo de Cisco y esto genera en los usuarios y usuarias, y probablemente en los administradores de la red y de la Universidad una falsa sensación de invulnerabilidad ante escenarios muy simples de violación de la privacidad y seguridad de los usuarios y usuarias.

La utilización de cifrado de punto a punto (por ejemplo a través de una VPN), verificaciones estrictas de identidades en los extremos de una conexión SSL/TLS y/o cifrado peer-to-peer de comunicaciones, por ejemplo con GnuPG, hubiera minimizado el impacto individual y colectivo de esta situación. Y, adicionalmente, considero que muchas de estas tecnologías ya están muy desarrolladas como para centrarse en el triángulo de la seguridad vs. costos vs. usabilidad — para mayor información en este tema, el lector o lectora puede referirse a mi artículo Digital signature and personal mail encryption: an S/MIME and PGP review in real-life scenarios publicado en Security Acts de Agosto 2010.

Dentro del tráfico que fue posible interceptar con el objeto exclusivo de generar estadísticas y conclusiones para aumentar la sensibilidad de los usuarios y usuarias de la red del Barcamp Guayaquil y de otros eventos en Ecuador y la región, fue posible interceptar navegación Web no cifrada y especialmente tráfico de clientes Twitter (al parecer, este evento recopila demasiadxs twitters) que divulgaban desde Direct Messages hasta listas de contactos. También fue posible percibir el flujo de cantidades muy importantes de imágenes, específicamente avatares, imágenes de perfiles de Facebook, entre otros.

Una pequeña muestra tomada en 7 minutos y 53 segundos, desde las 1420 ECT del 31/07/2010, permitió obtener 97310 paquetes con un tráfico promedio de 1,355 Mbps, para un total de 80 MB. de tráfico. De este total, 98,41% de los paquetes son de protocolo IP y de esto solo 1,63% son de protocolo UDP (DNS y NTP) con un abrumador índice de 12,84 más tráfico sin cifrar que tráfico cifrado, del cual hubo escasos 3 Mb. bajo TLS/SSL.

En otra muestra un poco más grande, que cubrió 1 hora y 12 minutos desde las 0855 ECT, se obtuvieron 350716 paquetes con un tráfico promedio de 0,422 Mbps (todavía no había llegado la gente) donde se observan los mismos patrones de uso. En otra captura, la más grande, que cubrió 1 hora 46 minutos, desde las 1018 ECT, se percibió 1 MB. en archivos GIF y 2.76 MB. en archivos JPEG, así como adjuntos de mensajería electrónica, archivos XML con parámetros de configuración de clientes de Twitter y otros temas. Todas las muestras fueron destruídas luego de la obtención de estas estadísticas de uso y de la misma manera se exceptuó de las capturas información que permitiera correlacionar estas capturas con personas particulares.

Todo esto se hizo para una población variable que promedió 82 dispositivos en una de las dos redes, que, por cierto, usa direccionamiento IPv4 para sus clientes, lo cual es sinceramente un malgasto de recursos, que incluía 2 iPod/iPhone, 3 Nokia, 2 Blackberry, 47 equipos con Windows, 7 con MacOS X y 3 con Linux.

Es importante resaltar que toda esta información estaba disponible sin ninguna restricción debido a la falta de configuración en los equipos inalámbricos y redes conexas utilizadas en el evento. De la misma forma de que yo me percaté, lo pudo haber hecho cualquier otra persona, incluyendo potencialmente gente simplemente ociosa que hubiera podido generar daños gracias simplemente a la disponibilidad de esta información.

Lamentablemente, en mi experiencia, es futil arrojar la culpa a los administradores de la red solamente. Si bien ellos pueden encontrarse responsables del asunto, el enfoque de privacidad y seguridad en redes públicas debe ser proactivo y no solamente reactivo. En este sentido, el uso de tecnologías por parte del emisor y del receptor para facilitar los mecanismos que permitan incrementar la percepción de seguridad a la vez que se reducen tangiblemente los vectores de ataque es una de las medidas que es importante promover entre los usuarios y usuarias.

Hay distintos foros en Ecuador para apoyar sin fines de lucro a los usuarios y usuarias en el tema de seguridad de la información; uno de los más específicos era COMSec (seguridad.com.ec/hackers.ec) que ahora está offline, pero existen otros espacios, desde Twitter (hashtag #Ecuador) hasta listas de correo como Equinux o foros de grupos de interés. Yo estoy como siempre a la orden para aquellxs que quieran dar el primer paso para formar una cultura de seguridad de la información en su quehacer tecnológico diario.

Update: estamos en proceso de traducir la Cartilla de Seguridad del CERT.br al castellano con el apoyo del Grupo de Seguridad de LACNIC, ISOC Ecuador y voluntarios de la región.

Standard

One thought on “Privacidad y seguridad en redes públicas: Barcamp Guayaquil

  1. Pingback: Privacidad e idiosincrasia | null pointer dereference

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s