Security ad absurdum

una verdad incómoda

¿para qué (casi) nadie está interesado?

Tracking (rastreo digital)

En el pasado, si alguien me hubiera dicho que llevaría voluntariamente un dispositivo de escucha secreto e incluso que lo cargaría yo mismo, me habría reído a carcajadas. Hoy en día, tengo un smartphone. (Autor desconocido).
La mayoría de los usuarios no aceptarían tener que prescindir de Facebook, Google, Youporn y Twitter, Microsoft Windows, macOS y iPhones de Apple, y smartphones Android, etc. Siempre me sorprende que la gente luche durante años contra la obligación legal de conservación de datos (o la obligación de almacenamiento mínimo) y no tenga ningún problema con ella para sus artilugios de estilo de vida favoritos e incluso acepte voluntariamente que se recojan los datos de comunicación sobre la conservación y se pongan a disposición de las autoridades.

A menudo se "argumenta" que Google, Facebook y otros servicios de Internet financiados por la publicidad se "pagan con datos". Esto no es del todo correcto de forma tan simplificada. Los datos no son una moneda que pueda utilizarse para pagar a los empleados o las facturas de los equipos. Los datos son un recurso que se explota para vender un producto.
El 97% de los sitios web del TOP100 y cerca del 80% de los sitios web en lengua alemana están infectados con diversos elementos de Google para la inserción de publicidad o el análisis del tráfico. (Reppesgaard: Das Google Imperium, 2008) Cada llamada de un sitio web así preparado se registra en Google, se evalúa y se asigna a un navegante. Además de los sitios web comerciales, las ofertas de información de los periodistas profesionales y los blogueros independientes en las plataformas blogger.com y blogspot.com, también hay muchos sitios web privados que se alegran de unos céntimos del programa de publicidad Adsense.

Los perfiles de usuario resultantes son ahora muy reveladores. Aunque el 80% de los usuarios de Internet desaprueba el rastreo de la conducta de navegación, éste sigue expandiéndose tanto técnicamente por los grandes recolectores de datos como a través de decisiones políticas, se facilita la recolección de datos. Muchos servicios en la web aprovechan las posibilidades de rastrear y analizar el comportamiento de navegación y nuestra comunicación privada y vender los datos recogidos por dinero.

"Do-Not-Track" ist am Lobbyismus gescheitert

"Do-Not-Track" (DNT) fue propuesto por EEF.org en 2009. Con una cabecera HTTP adicional, el navegador debía transmitir el deseo básico del usuario de no ser rastreado. En diciembre de 2010, la FTC declaró su apoyo al DNT y en 2012, el W3C comenzó a estandarizar la función.

El claro deseo de los usuarios, expresado mediante la activación de "Do-Not-Track" en el navegador, fue ignorado en su totalidad por la industria del rastreo. Los estudios empíricos demostraron que esto redujo el seguimiento durante la navegación en menos de un 2%.

Fue un movimiento brillante por parte de Microsoft habilitar "Do-Not-Track" por defecto en IE10 sin la interacción del usuario. Esto contradice claramente las intenciones de la norma del W3C, que establece explícitamente que el navegador sólo debe enviar un encabezado DNT cuando el usuario desea expresar activamente una solicitud. Esta activación por defecto dio a la industria del rastreo la excusa necesaria para ignorar oficialmente el DNT, pues ya no se podía suponer que un usuario había optado activamente por él. Yahoo declaró en mayo de 2014 que todos sus servicios ignorarían el DNT, seguido por Google y Facebook en junio y Twitter dos años después.

Sin embargo, no sólo se trata de la exhibición de publicidad, sino también de la recopilación y el uso de grandes cantidades de datos personales.

Seguimiento y análisis de movimiento

re:publica 2013 - Análisis de flujo de visitantes Link/imagen abre re:log - Análisis de flujo de visitantes Todos los smartphones (y los portátiles) tienen un módulo WLAN. Es cómodo cuando llegas a casa o cuando tu smartphone utiliza automáticamente la WLAN en el trabajo en lugar de las costosas conexiones de datos del proveedor de telefonía móvil. Si uno está de viaje con el módulo WLAN activado y el inicio de sesión automático para las WLAN preferidas, el smartphone o el portátil envía regularmente "sondas" activas para escanear el entorno en busca de las WALN preferidas. Además de la dirección MAC única a nivel mundial, también se envía una lista de SSID de las WLAN preferidas a las que el smartphone se conectaría automáticamente (lista de redes preferidas, PNL). Esta lista proporciona información sobre los lugares en los que el propietario del smartphone prefiere estar (casa, oficina...). Con poco esfuerzo técnico, estos datos de las "sondas" WLAN activas pueden utilizarse para el seguimiento y los ataques.

En re:publica 2013, se proporcionó una WLAN gratuita. Esta red WLAN rastreó todos los dispositivos habilitados para WLAN (ordenadores portátiles y teléfonos inteligentes) de los visitantes, independientemente de si los dispositivos utilizaban la red WLAN o no. El proyecto re:log - análisis del flujo de visitantes a través de re:publica W-LAN visualiza los datos.

La empresa de publicidad Renew instaló 200 papeleras en los Juegos Olímpicos de Londres 2012 que rastreaban a los peatones mediante las direcciones MAC de sus smartphones con un punto de acceso WLAN integrado. En una semana, se rastrearon más de 4 millones de dispositivos en su paso por la City de Londres.

La autoridad de transportes de Berlín colaborará con HOTSPLOTS para ofrecer Wi-Fi gratuito en las estaciones de metro. "We will cookie the subway" también sería un buen eslogan, pero "Nuestra herramienta de registro..." es realmente buena y adecuada.

Estos datos permitirán el seguimiento de los movimientos en el mundo real, como demostraron los pisos de visitantes en republica 2013 (ver arriba).

El análisis del entorno social también es posible con los datos de localización. La suma de todos los datos de localización es superior a la acumulación de las localizaciones de las personas A, B y C. Como muestra el estudio Inferring social ties from geographic coinsidences (ext.PDF ), esta colección permite obtener información detallada sobre el entorno social, aunque no se sea amigo de Facebook. Los datos de localización de los teléfonos inteligentes revelan con quién bebes habitualmente una cerveza, con quién te acuestas, si participas en las manifestaciones de Pegida o te reúnes en los círculos de Antifa, en qué empresa trabajas o si estás en el paro, y mucho más.

La empresa Sense Networks es pionera en el campo del análisis del movimiento. En una entrevista con Technology Review, G. Skibiski describe su visión. Con la recopilación de datos de geofencing (incluidos los datos de VDS), es posible una fácil vigilancia.

En Ucrania, estos datos ya se utilizaron para intimidar a los manifestantes en enero de 2014. Los participantes en una manifestación contra el entonces presidente en funciones recibieron un SMS con el siguiente contenido: "Estimado cliente, está registrado como participante en un disturbio."

La empresa Dataminr ofrece a sus clientes acceso a las publicaciones de Twitter a través de la API y anuncia en un folleto (int.PDF ), utilizando el ejemplo de una protesta estudiantil en Sudáfrica, cómo la nueva herramienta de análisis geoespacial puede utilizarse para vigilar las manifestaciones políticas.

WiFi-Tracking on Amsterdam Airport Schiphol El Bluetooth se utiliza de la misma manera para el seguimiento. Además, cada función aumenta la superficie de ataque. Nadie puede atacar o conectarse en secreto a un dispositivo Bluetooth que esté apagado. Por lo tanto, la función para smartphones o tabletas sólo debe activarse cuando se utilice realmente.

El ataque de BlueBorn publicado en septiembre de 2017 demuestra que esta advertencia estaba justificada. Los atacantes pueden explotar los teléfonos inteligentes a través de varios agujeros de seguridad en Bluetooth y ejecutar su propio código en el dispositivo. Los dispositivos Android y Linux pueden ser tomados por completo.

Cabe señalar que prácticamente no existe protección técnica contra la localización y observación de perfiles de movimiento. Los ejemplos muestran que es difícil protegerse de una posible vigilancia. Incluso si deja su propio teléfono inteligente en casa, un amigo puede tener su teléfono inteligente con él y los dos están siendo espiados.

Compañías de Big Data

Youtube Video about Acxiom and Big Data youtube ∽ 3 Min. Los recopiladores de datos (Facebook, Amazon, Twitter...) venden información sobre los usuarios a los corredores de datos (por ejemplo, Acxiom, KaiBlue, RapLeaf...) que enriquecen los datos, los agregan y venden perfiles completos a los usuarios finales reales, como las empresas de tarjetas de crédito, los departamentos de recursos humanos de las grandes empresas y los departamentos de marketing. El cliente paga.

Acxiom dispone de datos precisos sobre el 96% de la población estadounidense. En Alemania, Acxiom proporciona datos sobre 44 millones de consumidores activos. Los consumidores se clasifican en 14 grupos principales, por ejemplo, "monoparental y de bajo estatus", "soltero de mediana edad acomodado" o "pensionista de oro, activo" ....... Estos grupos principales se subdividen en hasta 214 subgrupos según las actividades de estilo de vida (por ejemplo, jardinería, animales domésticos, deportes, moda, dieta...), el comportamiento de consumo, la clasificación del medio (por ejemplo, "intelectual", "clase media orientada al estatus", "medio tradicional de la clase trabajadora", "hedonista", "consumista-materialista"...), etc.

El Match Group monopoliza el mercado de las citas. El Match Group incluye los portales de citas Tinder, OkCupid, Plenty of Fish, Meetic, LoveScout24, OurTimes, Pairs, Meetic, Match, Twoo, Neu.de y otros portales asociados. En las políticas de privacidad de los portales se puede leer que los datos sensibles de la personalidad de los usuarios dentro del Match Group se comparten entre portales: Compartimos sus datos con otras empresas del Match Group. [...] El apoyo puede incluir operaciones de procesamiento técnico, como el alojamiento y el mantenimiento de datos, la atención al cliente, el marketing y la publicidad dirigida [...]. También podemos compartir su información con socios que nos ayudan a distribuir y comercializar nuestros servicios.

Esto es una carta blanca para vender datos muy privados a cualquier tercero.

El seguimiento del comportamiento de navegación y de las compras en línea proporciona una imagen incompleta de nuestros intereses. Al incorporar datos reales, se supone que los perfiles mejoran.

Las solicitudes de patentes de Google y las adquisiciones de empresas muestran que el imperio también quiere recoger datos en el mundo real en el futuro. A principios de 2014, por ejemplo, Google compró Nest, un fabricante de termostatos y detectores de humo, por 3.100 millones de dólares. Los termostatos Nest están instalados en millones de hogares y equipados con sensores de temperatura, luminosidad y humedad que pueden leerse a través de Internet.

La seguridad del IoT suele estar más allá de las capacidades de los ejecutivos de TI, ya que hay que gestionar dispositivos y objetos físicos en lugar de activos virtuales. De hecho, la encuesta de Gartner sobre la columna vertebral del IoT de 2016 mostró que el 32% de los líderes de TI citan la seguridad como una barrera para el éxito del IoT.

Sistemas operativos

Con Windows 8.0, Microsoft ha empezado a introducir el seguimiento basado en dispositivos, que se acepta en los smartphones, también en los PC. Al igual que Google con Android, Microsoft, como uno de los cinco mayores recolectores de datos en Internet, quiere ampliar y personalizar mejor sus datos.
Si lees la política de privacidad de Apple, puedes ver que macOS no es adecuado como sistema operativo si no quieres compartir tu privacidad con Apple. Por ello, Apple fue galardonada con el Premio BigBrother 2011.
Hay una gran variedad de distribuciones de Linux, así que si eres un principiante, lo primero que tienes que hacer es elegir: Debian y derivados, OpenSuSE, Mandrive, Fedora, Gentoo para aficionados, minidistribuciones como Puppy o variantes especialmente endurecidas como Qubes OS y Fortress Linux...
NetBSD y OpenBSD están constantemente optimizados para la seguridad sin comprometer la usabilidad. Si tienes varios años de experiencia con un sistema tipo UNIX (por ejemplo, Linux) y eres lo suficientemente capaz de sufrir, puedes disfrutar de las ventajas de estos dos sistemas operativos.

¿Cómo de fiable es Microsoft? Para la administración federal y todas las autoridades alemanas, empresas y usuarios privados que quieren seguir trabajando con el sistema operativo Windows en el futuro, esta cuestión se plantea hoy más que nunca. En 2013, los expertos de la BSI (Oficina Federal Alemana para la Seguridad de la Información) advirtieron contra el uso de Windows 8 en combinación con TPM 2.0, calificándolo de riesgo de seguridad inaceptable para las autoridades públicas / empresas. Según los expertos, los usuarios de un sistema informático de confianza pierden el control sobre su ordenador. Hoy, la BSI relativiza la advertencia, pero ve algunos aspectos críticos en relación con determinados escenarios de despliegue.

Microsoft es socio del programa PRISM de la NSA desde 2007.

Telemetría Windows 10

En Windows 10, el seguimiento basado en dispositivos se ha ampliado aún más. Se genera un "ID de publicidad único" para cada cuenta en el ordenador. Esta identificación también se pone a disposición de terceros para una identificación única. Datos privados que Microsoft recoge en la configuración por defecto:

  • Los intereses personales derivados del comportamiento de navegación, así como los datos recogidos a través de las aplicaciones, se envían a Microsoft (una aplicación deportiva envía los equipos favoritos, una aplicación meteorológica envía las ciudades más solicitadas...).
  • Los datos de localización de todos los dispositivos con Windows se envían a Microsoft. Se da preferencia a la utilización del GPS o de las WLAN circundantes para determinar la ubicación con la mayor precisión posible.
  • Los datos de contacto de amigos y conocidos se transfieren a Microsoft cuando se utilizan herramientas de Microsoft como una libreta de direcciones.
  • El contenido de los correos electrónicos, los mensajes instantáneos y los mensajes de voz/vídeo (por ejemplo, de Skype) también forman parte de los datos que recopila Microsoft.
  • Windows Defender transmite todas las aplicaciones instaladas.
  • Con el asistente digital "Cortana", la configuración por defecto establece una especie de centro de escucha que conecta el salón directamente con Microsoft. Con la Actualización de Aniversario del 02 de agosto de 2016, se hace casi imposible desactivar el intrusivo y espía "Cortana", ya que el asistente digital proporciona la búsqueda completa (tanto local como en la web).
  • El comportamiento de la escritura se analiza y se envía a Microsoft. El perfil de las pulsaciones típicas podría utilizarse en el futuro para la identificación de entradas de texto en formularios web o chats (palabra clave: biometría de pulsaciones).
  • El UUID único que Windows envía cuando se comunica con los servidores de Microsoft (por ejemplo, para las actualizaciones de software) es utilizado por la NSA y el GCHQ como un selector para las Operaciones de Acceso a Tailor (TAO, por sus siglas en inglés) para dirigirse a los ordenadores de personas o empresas de interés.
  • Como dato destacado, las claves de recuperación generadas automáticamente del cifrado del disco duro Bitlocker también forman parte de los datos que MS recoge en su nube y proporciona a la NSA/FBI/CIA. (¿Criptoguerra 3.0?)
A finales de 2018, la Oficina Federal Alemana de Seguridad de la Información (BSI) publicó un estudio titulado "Integridad del sistema, registro, endurecimiento y funciones de seguridad en Windows 10" (SiSyPHuS). Criticó el hecho de que una prevención completa de la recopilación y transmisión de datos de telemetría por parte de Windows 10 no se puede desactivar completamente mediante la configuración de los ajustes. Sin embargo, la BSI no aborda la cuestión de si la transmisión de datos de telemetría por parte de Windows 10 a Microsoft es ilegal.

Windows 10 y la protección de datos

Windows 10 no sólo está en el punto de mira de los reguladores de la privacidad desde ayer. En noviembre de 2019, la Conferencia de Privacidad ha publicado ahora un documento con un esquema de revisión sobre la privacidad de Windows 10. Podría decirse que una de las motivaciones del escrutinio es el enorme poder de mercado de Microsoft y sus productos. Otra razón por la que el DSK está llevando a cabo una investigación es la importante diferencia de funcionalidad entre Windows 7 y Windows 10:

  • Windows 10 se ve a sí mismo menos como un sistema operativo que como un entorno de sistema con multitud de funcionalidades adicionales.
  • Cada actualización puede hacer que se modifiquen los ajustes de configuración o que cambie el alcance de las funciones y, por tanto, también el alcance del procesamiento.
  • Una transferencia de datos de Windows 10 a Microsoft no puede ser completamente impedida por los ajustes personalizados. Además, la transmisión de datos está encriptada, por lo que no se puede determinar si se transmiten datos personales a Microsoft y, en su caso, cuáles son.

Uso de Windows 10 conforme a la protección de datos

Si los responsables del tratamiento de datos quieren utilizar Windows 10 en su empresa de manera que se respete la privacidad, se debe impedir la transmisión de cualquier dato de telemetría a Microsoft o el responsable del tratamiento de datos debe ser lo suficientemente grande como para negociar una solución individual con Microsoft. De lo contrario, la única opción es cambiar a un sistema operativo respetuoso con la privacidad. El artículo 25 del Reglamento General de Protección de Datos exige una configuración predeterminada de protección de datos fácil de usar ("Privacidad por defecto"). En consecuencia, los responsables, que serían los operadores del sistema, tendrían que asegurarse de que el sistema está configurado en consecuencia.

„Sin embargo, la realidad es que muchas autoridades hace tiempo que se encuentran en la situación de que no les queda otra alternativa para migrar a Windows 10 porque el soporte del sistema operativo actualmente en uso está caducando y no hay otro cliente federal disponible."
Dado que las autoridades alemanas de control de la protección de datos no pueden actualmente emprender acciones directas contra Microsoft debido a problemas con la DSGVO (ventanilla única / procedimiento de coherencia), vuelven a tomar el desvío a través de los usuarios.

En caso de que los tribunales confirmen la opinión de las autoridades de control indicada en el plan de revisión y clasifiquen el uso de Windows 10 como generalmente inadmisible en virtud de la ley de protección de datos, Microsoft se verá "animada" por la potencial amenaza de pérdida de usuarios a tener en cuenta el imperativo de la protección de datos.

Datos de usuario durante la transmisión de datos.

Sin embargo, Windows 10 no es el único problema; el paquete Office de Microsoft también transmite datos. Como parte del proceso de contratación, el Ministerio de Justicia de los Países Bajos encargó a la consultora Privacy Company que realizara una evaluación del impacto de la protección de datos para el uso de Office ProPlus de acuerdo con los requisitos del Reglamento General de Protección de Datos (RGPD). La evaluación de impacto sobre la privacidad (ext.PDF ) publicada en noviembre muestra que los datos de telemetría de Office son datos de uso: Cuando los usuarios traducen partes del texto a través del paquete Office, por ejemplo, sólo pueden hacerlo a través de un servicio en línea de Microsoft.

En total, se dice que hay entre 23.000 y 25.000 tipos de eventos diferentes que se envían desde Office a los servidores de Microsoft. En el lado de Windows 10, se dice que sólo hay un máximo de 2.000 tipos de eventos. En referencia a la evaluación de impacto, el gobierno holandés exige que Microsoft detenga las transferencias ilegales de datos.

Su computadora ha sido propiedad de otra persona durante mucho tiempo

El Intel Management Engine ("ME") () es un microcontrolador dedicado integrado en todos los chipsets de placas base de Intel actuales. Funciona independientemente de la CPU principal, puede estar activa incluso cuando el resto del sistema está apagado y tiene una conexión dedicada a la interfaz de red para la conexión en red fuera de banda que evita la CPU principal y el sistema operativo instalado. No sólo realiza las tareas de gestión para las que fue diseñado originalmente, sino que también implementa funciones como la tecnología Intel Identity Protection (IPT), la ruta de audio-vídeo protegida, Intel Anti-Theft, Intel TPM, las comunicaciones NFC, etc. No hay mucha información sobre cómo funciona exactamente. Igor Skochinsky, REcon 2014 (ext.PDF )

REcon is a computer security conference with a focus on reverse engineering and advanced exploitation techniques. It is held annually in Montreal, Canada. The conference offers a single track of presentations over the span of three days along with technical training sessions held before the presentation dates. Technical training varies in length between two and four days.

El ME consta de un núcleo de procesador dedicado, cachés de código y de datos, un temporizador que incluye un motor de criptografía, ROM y RAM internas, controladores de memoria y un bus interno seguro al que se conectan dispositivos adicionales. Un motor de acceso directo a la memoria (DMA) accede al sistema operativo del host para asignar una zona de memoria externa protegida. Esto complementa la limitada RAM interna del ME. El ME también tiene un controlador Intel Ethernet con su propia dirección MAC. El programa de arranque almacenado en la ROM interna carga un manifiesto de firmware desde el chip flash SPI del PC. Este manifiesto está firmado con una clave criptográfica fuerte que difiere entre las versiones del firmware del ME. Si el manifiesto no está firmado por una clave específica de Intel, la ROM de arranque no cargará ni ejecutará el firmware, y el núcleo del procesador ME se detendrá.