29 septiembre 2014

Tor y Tails tienen graves fallos de seguridad

A pesar de que no se conocen los detalles, existe certeza de que el navegador y el OS pueden revelar la identidad de sus usuarios.

Enviar y recibir información sensible a través de Internet requiere la utilización de aplicaciones y servicios que garanticen el anonimato a sus usuarios. La vigilancia masiva implementada por algunos gobiernos ha hecho más notoria esta necesidad, por lo que se han desarrollado algunas soluciones específicas, al tiempo que otras han adquirido popularidad.

Entre las más conocidas se encuentran Tor, una red que facilita mantener el anonimato en Internet, y Tails, un sistema operativo conocido por no dejar huellas en las computadoras donde se utiliza, al funcionar desde una memoria USB. Sin embargo, un par de noticias alertan sobre los fallos que han sido descubiertos en ambas aplicaciones.

Tor

Reuters reporta que la conferencia de seguridad Black Hat había programado una plática titulada "No tienes que ser la NSA para romper Tor: desanonimizando a los usuarios haciendo uso de presupuesto" en la que un par de investigadores, Alexander Volynkin y Michael McCord, expondrían cómo descubrir la identidad de los usuarios de este software.

Sin embargo, la charla fue cancelada debido a una petición formal de la Universidad Carnegie Mellon de Pittsburg, donde laboran los investigadores. La razón principal para solicitar la cancelación se refirió a que el material que sería compartido durante la presentación no había sido autorizado para ser públicamente liberado.

Un abogado de Carnegie Mellon informó a Black Hat que uno de los presentadores no podría dar la charla sobre Tor porque los materiales que discutiría no han sido aprobados para su publicación por la universidad ni por el Instituto de Ingeniería de Software (Software Engineering Institute, SEI).

La presentación prometía ser interesante, ya que en el resumen entregado para elaborar el programa, los investigadores señalaban que era posible conocer la identidad de cualquier usuario por menos de USD $3.000. Además habían prometido dar a conocer algunos de los casos de éxito, en los que se encontraban involucrados algunos sospechosos de delitos como pornografía infantil.

Tails

El caso del sistema operativo que ha sido utilizado incluso por Edward Snowden es un tanto diferente. La consultora en temas de seguridad Exodus Intelligence descubrió un fallo en Tails que permite conocer la identidad de los usuarios e incluso ejecutar código de forma remota y lo dio a conocer a través de un tuit.

Sin embargo, la firma ha decidido no hacer públicos los detalles de la vulnerabilidad, con el fin de evitar que cualquier otra persona pueda explotarla. Por el contrario, la empresa mantendrá ocultos los detalles hasta que el problema sea solucionado. Así lo confirmó a The Verge uno de los cofundadores de Exodus Intelligence, Aaron Portnoy:

Somos reacios a publicar cualquier detalle técnico porque no queremos que nadie sea capaz de reproducir el exploit. Estamos tratando de que todos sepan que no se puede confiar en cualquiera de estos sistemas al 100%

Para los desarrolladores de Tails, la conducta de la consultora fue desconcertante, debido a que no se puso en contacto con ellos antes de dar a conocer la noticia. También aprovecharon para mencionar que cualquier persona que descubra vulnerabilidades en su software puede contribuir a su mejora a través de correo electrónico.

Algunos problemas de seguridad son descubiertos cada mes en algunos de los programas. Algunas personas han reportado tales vulnerabilidades, que luego son arregladas: ese es el poder del software de código libre y abierto.

Tomado de: http://anonopsibero.blogspot.com.ar/2014/07/tor-y-tails-tienen-graves-fallos-de.html

No hay comentarios: