Leer este post te puede convertir en un terrorista con el nuevo Código Penal

Anarquista con Bomba en La Sagrada Familia de Barcelona
Anarquista con Bomba en La Sagrada Familia de Barcelona. (CC) Pablo Ibañez https://www.flickr.com/photos/amigomac/5222231396/

Si estás leyendo esto a pesar del aviso que supone el título de este post, ya es tarde. Desde este instante podrías ser imputado como terrorista según el nuevo apartado añadido al artículo 573 bis del Código Penal.

 

Nuevo artículo 573 bis del Código Penal

Nuevo artículo 573 bis del Código Penal

Seguro que aun recuerdas la detención de 11 anarquistas y que se destacó que estaban en posesión de un libro titulado “Contra la Democracia”, editado por los Grupos Anarquistas Coordinados (suena a Satán saliendo del infierno para devorar primogénitos).

Ahora te estarás preguntando que tiene que ver lo primero con lo segundo y a su vez que tiene que ver contigo.

Resulta que, aunque no lo estás viendo, sobre el párrafo anterior hay oculto un elemento HTML que al entrar a este post, carga de manera oculta esta URL: https://www.soydelbierzo.com/anarquismo/ que contiene una copia del citado libro.

En el log del servidor ha quedado registrado en el log de visitas tanto el post en sí como la copia del libro anarquistas que has cargado en tu ordenador sin querer:

“GET /2015/01/22/leer-este-post-te-puede-convertir-en-un-terrorista-con-el-nuevo-codigo-penal HTTP/1.1″ 200
“GET /anarquismo/ HTTP/1.1″ 200

Vale que las operadoras no están obligadas a retener la información de las URL que visitas, pero no dudes que el Estado dispone de medios para vigilar las URL que pides, el contenido de estas y realizar un seguimiento de lo que lees, donde y cuando.

Nota: No, no eres un terrorista por leer ese documento, o no debería serlo, a nada que le eches un vistazo verás que no alienta a cometer atentados ni a volar edificios ni a matar personas, es una ironía por haber sido usado como excusa ridícula en la Operación Pandora.

Las peores passwords de 2014

KeepCalmLongPasswords

Como todos los años al comenzar enero son varias las firmas que publican un listado de las peores claves que puedes usar.

En este caso se trata de la lista de SplashData, que basa su listado en la información filtrada de más de 3 millones de usuarios durante 2014.

1.-    123456 (Nº1 desde 2013)

2.-    password (Sin cambios)

3 .-   12345 (Sube 17 puestos)

4 .-   12345678 (Baja 1 puesto)

5.-    qwerty (Baja 1 puesto)

6.-    1234567890 (Sin Cambios)

7.-    1234 (Sube 9 puestos)

8.-    baseball (Nueva)

9.-    dragon (Nueva)

10.-    football (Nueva)

11.-    1234567 (Baja 4 puestos)

12.-    monkey (Sube 5 puestos)

13.-    letmein (Sube 1 puesto)

14.-    abc123 (Baja 9 puestos)

15.-    111111 (Baja 8 puestos)

16.-    mustang (Nueva)

17 .-   access (Nueva)

18.-    shadow (Sin Cambios)

19.-    master (Nueva)

20.-    michael (Nueva)

21.-    superman (Nueva)

22 .-   696969 (Nueva)

23.-    123123 (Baja 12 puestos)

24.-    batman (Nueva)

25 .-   trustno1 (Sube 1 puesto)

Recordemos algunas recomendaciones sobre el tema de las claves:

1.- Usa claves largas, de 12 o más caracteres, incluye letras números y símbolos.

2.- No uses la misma clave para diferentes servicios, si uno se ve comprometido, el resto también lo estarán.

3.- Usa un gestor de contraseñas de los que ya hablé aquí hace tiempo,  podrás permitirte usar claves más seguras y largas que las que un cerebro normal es capaz de retener.

 

Sobre el cifrado a prueba de gobiernos de iOS 8

iOS 8

Una de las nuevas funcionalidades que ofrece la recién estrenada iOS 8 a los dispositivos iPhone e iPad de Apple es el cifrado mediante clave derivada a partir del PIN de los datos que contiene, incluidos los dispositivos antiguos que soporten la actualización a esta nueva versión del sistema operativo.

Dicho cifrado protegido por una clave derivada basada en el código PIN, descrito con detalle en la guía de seguridad iOS de Septiembre,  imposibilitaría a la propia Apple a descifrar el contenido de uno de estos dispositivos ante cualquier petición por parte de gobiernos, agencias y fuerzas de seguridad, y así lo han anunciado en su web hace unos días, Apple cannot bypass your passcode and therefore cannot access this data. So it’s not technically feasible for us to respond to government warrants for the extraction of this data from devices in their possession running iOS 8.

Dado que el proceso criptográfico está ligado a datos únicos que cada procesador lleva al salir de fábrica, el atacante/gobierno necesitaría probar las posibles combinaciones en el propio dispositivo.

Más allá del lavado de cara de Apple con esto, el cual ha forzado a Android a anunciar que el cifrado de dispositivo (disponible desde hace tiempo) vendrá activado de serie en su próxima versión, Apple se ha dejado alguna puerta abierta que posibilitaría a la maquinaria coercitiva del gobierno acceder a lo que creemos que está seguro en nuestro dispositivo.

En aras de la máxima facilidad de uso iOS 8 permite que iTunes y XCode (esto les sonará más a los desarrolladores de apps) se conecten y tengan acceso a los datos que hay en el dispositivo incluso cuando este desconecta la pantalla y se bloquea, sin necesidad de ningún PIN o password para tener acceso al contenido del iPhone/iPad.

Esto sucede al tener pareado el dispositivo con el iTunes o Xcode del ordenador porque iTunes/Xcode se quedan con una copia de las llaves de cifrado del dispositivo para permitir esta funcionalidad (es un poco más complejo lo que parece hacer iTunes, pero no intento que esto sea un artículo técnico) que no necesitan de código PIN o clave alguna para funcionar, tan cómoda como insegura.

Si un agente del gobierno nos requiere el dispositivo, la mejor opción es apagarlo, ya que hasta que no metemos el PIN por primera vez tras volverlo a encender, el sistema que permite a iTunes conectarse no está operativo y siempre podremos alegar que no recordamos el PIN de acceso, sin opción a que puedan ir a nuestro domicilio a conectarlo al ordenador con iTunes.

Nota: Esto solo ha sido una pequeña prueba de concepto sin utilizar herramientas forenses ni complicados métodos de ataque buscando vulnerabilidades, tan solo un iPad con iOS 8, un PIN para bloquearlo y un ordenador con la última versión de iTunes pareado con el dispositivo.