Digital gold: why hackers love Bitcoin | Technology | The Guardian

The WannaCry ransomware attackers demanded payment in the cryptocurrency. But its use in the ‘clean’ economy is growing, too, and could revolutionise how we use money

Fuente: Digital gold: why hackers love Bitcoin | Technology | The Guardian


NYU Accidentally Exposed Military Code-breaking Computer Project to Entire Internet

The supercomputer described in the trove, “WindsorGreen,” was a system designed to excel at the sort of complex mathematics that underlies encryption, the technology that keeps data private, and almost certainly intended for use by the Defense Department’s signals intelligence wing, the National Security Agency. WindsorGreen was the successor to another password-cracking machine used by the NSA, “WindsorBlue,” which was also documented in the material leaked from NYU and which had been previously described in the Norwegian press thanks to a document provided by National Security Agency whistleblower Edward Snowden. Both systems were intended for use by the Pentagon and a select few other Western governments, including Canada and Norway.

Fuente: NYU Accidentally Exposed Military Code-breaking Computer Project to Entire Internet


Cybersecurity for the People: How to Keep Your Chats Truly Private With Signal

it’s possible to make sure that your private conversations are actually private. It starts with installing an app known as Signal, and getting your friends to install it too. Then you’ll want to tweak the settings to lock everything down.

Fuente: Cybersecurity for the People: How to Keep Your Chats Truly Private With Signal


New York’s New Digital Crime Lab Is a Forensic Marvel

In an exclusive tour of the new lab, Fortune got a glimpse of Law & Order in the digital age. The lab is Exhibit A in how America’s biggest city is embracing big data analytics and a dash of hacker culture to solve complex crimes. It also raises hard questions about how to balance these sophisticated crime-fighting tools with civil liberties.

Fuente: New York’s New Digital Crime Lab Is a Forensic Marvel


Hillary Clinton’s Encryption Proposal Was “Impossible,” Said Top Adviser

Hillary Clinton’s advisers recognized that her policy position on encryption was problematic, with one writing that it was tantamount to insisting that there was “‘some way’ to do the impossible.”Instead, according to campaign emails released by Wikileaks, they suggested that the campaign signal its willingness to use “malware” or “super code breaking by the NSA” to get around encryption.

Fuente: Hillary Clinton’s Encryption Proposal Was “Impossible,” Said Top Adviser


Google Chrome Will Start Shaming Unencrypted Websites in January | Motherboard

Starting in January of 2017, Google’s Chrome browser will start flagging some websites that don’t use web encryption as “Not Secure”—the first step in Google’s eventual plan to shame all sites that don’t use encryption.

Fuente: Google Chrome Will Start Shaming Unencrypted Websites in January | Motherboard


Big banks plan to coin new digital currency – FT.com

Four of the world’s biggest banks have teamed up to develop a new form of digital cash that they believe will become an industry standard to clear and settle financial trades over blockchain, the technology underpinning bitcoin.

Fuente: Big banks plan to coin new digital currency – FT.com


El pionero satélite cuántico chino que puede revolucionar las comunicaciones del mundo – El Mostrador

Se trata de un millonario y ambicioso proyecto apodado QUESS, que pone al gigante asiático a la cabeza de una revolución tecnológica: crear nuevas redes de comunicación globales a prueba de hackeos.

Fuente: El pionero satélite cuántico chino que puede revolucionar las comunicaciones del mundo – El Mostrador


Security Tips Every Signal User Should Know

Although Signal is well-designed, there are extra steps you must take if you want to maximize the security for your most sensitive conversations — the ones that could be misinterpreted by an employer, client, or airport security screener; might be of interest to a snooping government, whether at home or abroad; or could allow a thief or hacker to blackmail you or steal your identity.

Fuente: Security Tips Every Signal User Should Know


FBI’s Secret Surveillance Tech Budget Is ‘Hundreds of Millions’

The FBI has “hundreds of millions of dollars” to spend on developing technology for use in both national security and domestic law enforcement investigations — but it won’t reveal the exact amount.

Fuente: FBI’s Secret Surveillance Tech Budget Is ‘Hundreds of Millions’


Take that, FBI: Apple goes all in on encryption | Technology | The Guardian

The new feature is just the latest move towards more widespread encryption in consumer technology products following Apple’s standoff with the FBI earlier in 2016, in which it refused to help the agency weaken its own security processes to access information on an iPhone belonging to a terrorist. Facebook and Google both pledged support for Apple during the fight, and both are subsequently reported to be planning encrypted versions of their messaging apps.

Fuente: Take that, FBI: Apple goes all in on encryption | Technology | The Guardian


El celular de 16 mil dólares que ofrece seguridad militar a los famosos – El Mostrador

El nuevo celular de la startup londinense Sirin Labs se jacta de ser el mejor en lo que a seguridad se refiere: tiene un sistema de cifrado “nivel militar”.

Fuente: El celular de 16 mil dólares que ofrece seguridad militar a los famosos – El Mostrador


Tor Project is working on a web-wide random number generator / Boing Boing

Random number generators are the foundation of cryptography — that’s why the NSA secretly sabotaged the RNG standard that the National Institute for Standards and Technology developed.The Tor Project faces serious, state-level adversaries, including the FBI, and so it needs all the randomness it can get — randomness that can’t be made predictable even if you’ve compromised the user’s computer, even.

Fuente: Tor Project is working on a web-wide random number generator / Boing Boing


‘Crypto Wars’ timeline: A history of the new encryption debate

Encryption is finally mainstream.Government officials and technologists have been debating since the early 1990s whether to limit the strength of encryption to help the law-enforcement and intelligence communities monitor suspects’ communications. But until early 2016, this was a mostly esoteric fight, relegated to academic conferences, security agencies’ C-suites, and the back rooms of Capitol Hill.Everything changed in mid-February, when President Barack Obama’s Justice Department, investigating the terrorists who carried out the San Bernardino, California, shooting, asked a federal judge to force Apple to help the Federal Bureau of Investigation unlock one attacker’s iPhone.What followed was an unexpectedly rancorous and unprecedentedly public fight over how far the government should go to pierce and degrade commercial security technology in its quest to protect Americans from terrorism.

Fuente: ‘Crypto Wars’ timeline: A history of the new encryption debate


With Facebook No Longer a Secret Weapon, Egypt’s Protesters Turn to Signal

Although the police in Cairo sealed off parts of the Egyptian capital where protests scheduled on Facebook were to have taken place on Monday, opposition activists managed to stage brief rallies that resembled flash mobs, calling for an end to military rule and the cancellation of a deal to surrender two islands to Saudi Arabia.The fact that Facebook is now so closely monitored by the security forces prompted one leading activist to offer an online tutorial in how to use a new tool, the encrypted messaging app Signal, to help protesters find each other on the city’s streets, and stay one step ahead of the authorities.

Fuente: With Facebook No Longer a Secret Weapon, Egypt’s Protesters Turn to Signal


Europe’s leap into the quantum computing arms race — FT.com

It is a dizzying gamble and there are billions of euros riding on the outcome. If the wager pays off, Europe will hold its own against mighty China and the US; if not, the entire project will be regarded in hindsight as a breathtakingly indulgent folly. I refer, of course, not to the forthcoming referendum on Britain’s EU membership but to the European Commission’s announcement last week that it would be launching a €1bn plan to explore “quantum technologies”. It is the third of the commission’s Future and Emerging Technologies Flagship projects — visionary megaprojects lasting a decade or more. These are challenges too grand — and bets too risky — for a single nation to square up to on its own.

Fuente: Europe’s leap into the quantum computing arms race — FT.com


¿Hasta qué punto son seguras las telecomunicaciones cifradas? – El Mostrador

Con la mirada puesta en la anhelada meta de la privacidad, la universalización del cifrado para la seguridad de las telecomunicaciones en internet se perfila ya como un camino sin retorno, avalado por los últimos movimientos de populares plataformas en el sector, aunque teñido de sombras.

Fuente: ¿Hasta qué punto son seguras las telecomunicaciones cifradas? – El Mostrador


Wanting it badly isn't enough: backdoors and weakened crypto threaten the net / Boing Boing

As you know, Apple just said no to the FBI’s request for a backdoor in the iPhone, bringing more public attention to the already hot discussion on encryption, civil liberties, and whether “those in authority” should have the ability to see private content and communications — what’s referred to as “exceptional access.”

Fuente: Wanting it badly isn’t enough: backdoors and weakened crypto threaten the net / Boing Boing


Apple’s FBI Battle Is Complicated. Here’s What’s Really Going On | WIRED

The news this week that a magistrate ordered Apple to help the FBI hack an iPhone used by one of the San Bernardino shooter suspects has polarized the nation—and also generated some misinformation.  In the interest of clarifying the facts and correcting some misinformation, we’ve pulled together a summary of the issues at hand.

Fuente: Apple’s FBI Battle Is Complicated. Here’s What’s Really Going On | WIRED


We cannot trust our government, so we must trust the technology | US news | The Guardian

Apple’s battle with the FBI is not about privacy v security, but a conflict created by the US failure to legitimately oversee its security service post Snowden

Fuente: We cannot trust our government, so we must trust the technology | US news | The Guardian


Apple to beef up customers’ iCloud encryption – FT.com

Apple is working on new ways to strengthen the encryption of customers’ iCloud backups in a way that would make it impossible for the company to comply with valid requests for data from law enforcement, according to people familiar with its plans.

Fuente: Apple to beef up customers’ iCloud encryption – FT.com


Edward Snowden desmiente encriptación de ISIS – FayerWayer

La herida por los ataques terroristas en París aún sigue fresca, pero el grupo de ISIS no se ha detenido en su campaña de propaganda y amenazas, alertando a las autoridades en su último movimiento, por la supuesta inclusión de métodos de cifrado avanzado para sus comunicaciones. Pero Edward Snowden no les cree nada.

Fuente: Edward Snowden desmiente encriptación de ISIS – FayerWayer


Cómo empezar a utilizar el navegador anónimo Tor, paso a paso

Tor es una de las mejores herramientas para conectarse a Internet de manera segura (si no la mejor). Aunque no es perfecta, configurarla es tan sencillo que cualquier persona que acceda a la web con frecuencia debería tenerla instalada y lista para usarse. Te explicamos cómo hacerlo. Dejando a un lado el apartado técnico, conectarse […]

Fuente: Cómo empezar a utilizar el navegador anónimo Tor, paso a paso


Hacker-fighting prowess on show at cyber security conference – FT.com

Hacker-fighting prowess on show at cyber security conference – FT.com.

A man types on a laptop computer in an arranged photograph taken in Tiskilwa, Illinois, U.S., on Thursday, Jan. 8, 2015. U.S. officials are discussing whether new standards should be set for government action in response to hacks like the one suffered by Sony Pictures Entertainment, such as if a certain level of monetary damage is caused or if values such as free speech are trampled, National Security Agency Director Michael Rogers said in an interview with Bloomberg News. Photographer: Daniel Acker/Bloomberg©Bloomberg

When cyber security start-ups set out their stalls at the industry‘s largest annual conference on Monday, they will be looking to show off their hacker-fighting prowess not just to buyers of security products, but also to Wall Street investors.

A new generation of cyber security companies is preparing to go public, as analysts predict a rise in security spending by boards desperate to protect themselves from becoming the next Sony Pictures, Home Depot or Target.

Dan Ives, an analyst at FBR Capital Markets, says investors will be flocking to the RSA Conference in San Francisco this week because cyber security is a $15bn-$20bn market opportunity in the next three years.

“Seven or eight years ago you could hear a pin drop at RSA,” he said. “Now it is going to be like a Bon Jovi rock concert.”

“It is the seminal event in cyber security: the new year’s eve, the wedding, the bar mitzvah,” he added.

VC funds have been flooding into cyber security, surpassing $1bn for the first time in the first quarter of 2015, according to data from private company research firm PrivCo. VC funding for security software start-ups hit $2.3bn in 2014, up more than a third from the year before. Just four years ago, less than $1bn was raised by cyber security companies for a whole year.

 


New Firefox version says “might as well” to encrypting all Web traffic | Ars Technica

New Firefox version says “might as well” to encrypting all Web traffic | Ars Technica.

 

Developers of the Firefox browser have moved one step closer to an Internet that encrypts all the world’s traffic with a new feature that can cryptographically protect connections even when servers don’t support the HTTPS protocol.

Opportunistic encryption, as the feature is known, acts as a bridge between plaintext HTTP connections and fully compliant HTTPS connections based on transport layer security or its predecessor, protocol secure sockets layer. These traditional Web-based encryption measures require site operators to obtain a digital credential issued by a browser-recognized certificate authority and to implement TLS protection through OpenSSL or a similar code library. Even then, many sites are unable to fully encrypt their pages because they embed ads and other third-party content that’s still transmitted in plaintext. As a result, large numbers of sites (including this one) continue to publish some or all of their content in HTTP, which can be readily manipulated by people with the ability to monitor the connection.

OE, as opportunistic encryption is often abbreviated, was turned on by default in Firefox 37, which was released this week. The move comes 17 months after an Internet Engineering Task Force working group proposed OE become an official part of the HTTP 2.0 specification. The move garnered critics and supporters alike, with the former arguing it may delay some sites from using the more secure HTTPS protections and the latter saying, in effect, some protection is better than none. The chief shortcoming of OE is its lack of authentication for cryptographically validating that a connected server is operated by the organization claiming ownership.

In a recent blog post, Mozilla developer Patrick McManus laid out some of the thinking and technical details behind the move to support HTTP 2 in Firefox:


Qué es y cómo usar PGP en tu vida diaria – FayerWayer

Qué es y cómo usar PGP en tu vida diaria – FayerWayer.

El sistema de cifrado PGP cifra tus correos y comunicaciones de forma segura, de persona a persona.

Cuando Edward Snowden y Laura Poitras lograron ponerse en contacto y burlar a las agencia de seguridad estadounidenses y sus aliados gracias a que una de sus primeras comunicaciones fue encriptada. En ese correo electrónico Snowden le pedía a Poitras que aumentara el nivel de seguridad de su correo con una nueva llave más segura ya que la NSA es capaz de generar un trillón de contraseñas por segundo.

 

Snowden, Poitras y millones de personas ahora usan cada día cifrado para proteger sus comunicaciones. No se trata de hacer más difícil a la NSA saber qué dices, se trata de proteger cualquier tipo de información persona de cualquier otra persona, organización o sistema exterior que intenta espiarte.

 

PGP es uno de los sistemas de cifrado más comunes y usados del mundo, también uno de los más seguros. El acrónimo de Pretty Good Privacy es un desarrollo original de Phil Zimmermann, que hoy en día tiene sus esfuerzos puestos en Silent Cirle, una empresa que quiere crear sistemas seguros para comunicaciones globales cuyo primer producto físico fue BlackPhone, que recientemente se actualizó en su segunda edición Blackphone 2.

 

PGP es un criptosistema que cifra el contenido de un texto comprimiéndolo buscando patrones repetitivos en el texto, de la misma forma que por ejemplo la compresión de un archivo JPEG busca patrones repetitivos en la imagen para hacer más ligero el archivo.

 

¿Por qué cifrar tus comunicaciones?

 

No se trata de que tengas algo que esconder, si no de que tienes comunicaciones que no tienen porque ser escuchadas o leídas por otras personas.

El cifrado de mensajes es algo que hoy por hoy es tedioso y que requiere que un mínimo de dos personas tengan llaves públicas para poder enviarse un correo cifrado y no fallar en el intento. Pero como muchas de las tecnologías que se veían complicadas, poco a poco hay más aplicaciones y servicios que ponen la seguridad por delante, ya sea haciendo extremadamente fácil el cifrar un email como lo hace Yahoo, o integrando en una aplicación cifrado por defecto.


Passphrases That You Can Memorize — But That Even the NSA Can't Guess – The Intercept

Passphrases That You Can Memorize — But That Even the NSA Can’t Guess – The Intercept.

Featured photo - Passphrases That You Can Memorize — But That Even the NSA Can’t Guess

It’s getting easier to secure your digital privacy. iPhones now encrypt agreat deal of personal information; hard drives on Mac and Windows 8.1computers are now automatically locked down; even Facebook, which made a fortune on open sharing, is providing end-to-end encryption in the chat tool WhatsApp. But none of this technology offers as much protection as you may think if you don’t know how to come up with a good passphrase.

A passphrase is like a password, but longer and more secure. In essence, it’s an encryption key that you memorize. Once you start caring more deeply about your privacy and improving your computer security habits, one of the first roadblocks you’ll run into is having to create a passphrase. You can’t secure much without one.

For example, when you encrypt your hard drive, a USB stick, or a document on your computer, the disk encryption is often only as strong as your passphrase. If you use a password database, or the password-saving feature in your web browser, you’ll want to set a strong master passphrase to protect them. If you want to encrypt your email with PGP, you protect your private key with a passphrase. In his first email to Laura Poitras, Edward Snowden wrote, “Please confirm that no one has ever had a copy of your private key and that it uses a strong passphrase. Assume your adversary is capable of one trillion guesses per second.”

In this post, I outline a simple way to come up with easy-to-memorize but very secure passphrases. It’s the latest entry in an ongoing series of stories offering solutions — partial and imperfect but useful solutions — to the many surveillance-related problems we aggressively report about here atThe Intercept.

It turns out, coming up with a good passphrase by just thinking of one is incredibly hard, and if your adversary really is capable of one trillion guesses per second, you’ll probably do a bad job of it. If you use an entirely random sequence of characters it might be very secure, but it’s also agonizing to memorize (and honestly, a waste of brain power).

But luckily this usability/security trade-off doesn’t have to exist. There is a method for generating passphrases that are both impossible for even the most powerful attackers to guess, yet very possible for humans to memorize. The method is called Diceware, and it’s based on some simple math.


Proyecto Tor: cómo es la comunidad alrededor de la red que resiste a la NSA

Proyecto Tor: cómo es la comunidad alrededor de la red que resiste a la NSA.


En la Deep Web no hay sólo delitos, también existe la mayor red de seguridad y privacidad que navega sobre internet y permite que activistas, periodistas, empresas y hasta fuerzas de seguridad compartan trabajen de forma segura

Hablamos con Nick Mathewson, uno de sus fundadores y otros miembros de la organización para entender cómo funciona una comunidad que trabaja para proteger la libertad de expresión y la privacidad de personas en todo el mundo

Cómo se financian, cómo trabajan con fuerzas de seguridad y las dudas sobre su vulnerabilidad después del ataque en enero del año pasado

¿Qué fue primero en la Deep Web: la oscura leyenda del anonimato y los mercaderes sórdidos de Silk Road o la comunidad de hackers y activistas que luchan por los derechos de la sociedad civil en lo que quizás ya sea el único reducto no controlado por la NSA? De lo primero se ha hablado ya demasiado en los medios de forma bastante desinformada, como si uno escribiese sobre un barrio sólo cuando hay un asesinato en una de sus calles. De lo que no se habla tanto -quizás  porque la mayoría de periodistas y medios tradicionales en España no lo usan aún- es de la red Tor y la comunidad que trabaja alrededor de ellos en lo que se denomina Proyecto Tor.
Alrededor de 60 miembros de Tor aprovecharon elCircumvention Tech Festival en Valencia para verse las caras. Hablamos con ellos para saber más sobre las personas detrás de la red segura que la misma NSA definió como “ el rey de la seguridad del anonimato en internet, sin sucesores al trono“.

¿Reemplazar Gmail y Dropbox por una alternativa segura? Nadim Kobeissi (@kaepora) muestra que es posible | Manzana Mecánica

¿Reemplazar Gmail y Dropbox por una alternativa segura? Nadim Kobeissi (@kaepora) muestra que es posible | Manzana Mecánica.

Peerio es un innovador sistema de mensajería y almacenamiento con énfasis en ser fácil de usar, permitir comunicaciones seguras y la posibilidad de compartir grandes archivos. Utiliza encriptación punto-a-punto, lo que significa que la gente que opera Peerio intencionalmente excluye la posibilidad de tener acceso a tus mensajes o tus archivos.

Para registrarse en Peerio, hay que descargar alguno de los programas disponibles: hay versiones para Google Chrome (multi-platforma), Windows y Mac, y versiones para Android e iOS están en desarrollo. Es necesario descargar el programa porque la encriptación ocurre localmente, algo que no es posible hacer de forma completamente segura cuando uno utiliza un sitio web, a menos que uno confíe ciegamente en los desarrolladores de tal sitio (que en general no es buena idea).


“Nuestra privacidad se ha terminado y es casi imposible recuperarla” | Tecnología | EL PAÍS

“Nuestra privacidad se ha terminado y es casi imposible recuperarla” | Tecnología | EL PAÍS.

Leonard Kleinrock gana el Premio Fundación BBVA Fronteras del Conocimiento

Leonard Kleinroc, uno de los padres fundadores de Internet. / FBBVA

El lado oscuro de Internet. No es metáfora periodística, sino cómo define uno de los padres de la red, el ingeniero estadounidense Leonard Kleinroc, la cara más amarga de la globalización digital que vivimos. El ataque de ayer a las redes sociales del Comando Central de Estados Unidos o la ciberguerra entre Estados Unidos y Corea del Norte son dos de los últimos ejemplos de una tendencia creciente: “Muestran ese lado oscuro de Internet que ha emergido últimamente y que crecerá en el futuro”.

La felicidad por haber ganado hoy el Premio Fundación BBVA Fronteras del Conocimiento —que considera “un galardón a todos los pioneros que contribuyeron a la creación de Internet”— no es óbice para que hable sobre los nubarrones en la era digital sin tapujos. Especialmente en si esa esfera privada que creemos tener existe ya: “En su mayor parte, nuestra privacidad se ha terminado y es casi imposible recuperarla”, sentencia Kleinroc. Es más, cree que los culpables en realidad somos todos: “La dimos voluntariamente, al menos en pequeñas fracciones, a lo largo del camino”. Kleinroc cree además que la gente es “inconsciente de hasta que punto organizaciones y grupos de individuos explotan sus datos para sus intereses”.


Encriptación punto-a-punto: de la oscuridad al mainstream | Manzana Mecánica

Encriptación punto-a-punto: de la oscuridad al mainstream | Manzana Mecánica.

Lunes 5 Ene 2015

Carlos Castillo

En pocos días he llegado a un punto de saturación respecto a leer predicciones para el 2015. Muchas de las predicciones son, fundamentalmente, cosas que ya están sucediendo y que al autor de la predicción le gustaría que continuaran sucediendo. Eso no tiene nada de malo, pero no estaría mal llamar a las cosas por su nombre.

En ese espíritu, creo que hay algo muy importante que sucedió a fines del 2014 y que estaría muy bien que continuara sucediendo el 2015. Me refiero a la transición que están experimentando las tecnologías de nube con conocimiento cero, en particular la encriptación punto-a-punto.

Conocimiento cero = bueno

Almacenar cosas en la “nube” es valioso por varios motivos. Primero, poder acceder a tus propios archivos desde cualquier dispositivo (móvil, tabletlaptop, etc.) es muy conveniente. Segundo, un efecto secundario positivo es que tienes un respaldo de estos archivos. Tercero, es más fácil compartir un archivo con otra persona si tu archivo ya está en la “nube”.

Para muchas personas, resulta obvio que si, por ejemplo, subes algunas fotos a un sistema de almacenamiento, entonces tus fotos quedan a disposición de la gente que opera esa nube. La gente que trabaja para esa empresa puede ver tus fotos, y si los hackean a ellos, o si adivinan tu clave sin necesidad de tener acceso a tu dispositivo, entonces tus fotos pueden acabar en cientos de sitios en Internet.

Para un cliente corporativo, el problema de almacenar secretos de negocio en la nube es mucho más serio, sobre todo si se trata de un negocio del sector tecnológico (posible competidor del proveedor de nube) o que compite con alguna empresa estadounidense, como le sucedió a Petrobras.

Un proveedor de almacenamiento remoto no necesita tener acceso al contenido de tus archivos para poder almacenarlos.

Resulta obvio para casi todo el mundo que esta desventaja es una consecuencia inevitable de subir un archivo a Internet, pero no tiene por qué ser así. Desde hace décadas que existe tecnología para encriptar un archivo antes de subirlo, y decriptarlo después de bajarlo. En otras palabras, para que, sin necesidad de que tú tengas que hace nada ni siquiera preocuparte de lo que está sucediendo, un sistema de almacenamiento pueda funcionar con conocimiento cero.

En algunos casos, el proveedor de almacenamiento ofrece esta característica como una de sus cualidades principales, como es el caso de SpiderOak. En otros casos (e.g. Dropbox), es el mismo usuario el que debe configurar su computador para que utilice cero-conocimiento, como explicamos en un artículo anterior.


Operation Socialist: How GCHQ Spies Hacked Belgium’s Largest Telco

Operation Socialist: How GCHQ Spies Hacked Belgium’s Largest Telco.

BY RYAN GALLAGHER 

When the incoming emails stopped arriving, it seemed innocuous at first. But it would eventually become clear that this was no routine technical problem. Inside a row of gray office buildings in Brussels, a major hacking attack was in progress. And the perpetrators were British government spies.

It was in the summer of 2012 that the anomalies were initially detected by employees at Belgium’s largest telecommunications provider, Belgacom. But it wasn’t until a year later, in June 2013, that the company’s security experts were able to figure out what was going on. The computer systems of Belgacom had been infected with a highly sophisticated malware, and it was disguising itself as legitimate Microsoft software while quietly stealing data.

Last year, documents from National Security Agency whistleblower Edward Snowden confirmed that British surveillance agency Government Communications Headquarters was behind the attack, codenamed Operation Socialist. And in November, The Intercept revealed that the malware found on Belgacom’s systems was one of the most advanced spy tools ever identified by security researchers, who named it “Regin.”

The full story about GCHQ’s infiltration of Belgacom, however, has never been told. Key details about the attack have remained shrouded in mystery—and the scope of the attack unclear.

Now, in partnership with Dutch and Belgian newspapers NRC Handelsbladand De StandaardThe Intercept has pieced together the first full reconstruction of events that took place before, during, and after the secret GCHQ hacking operation.

Based on new documents from the Snowden archive and interviews with sources familiar with the malware investigation at Belgacom’s networks,The Intercept and its partners have established that the attack on Belgacom was more aggressive and far-reaching than previously thought. It occurred in stages between 2010 and 2011, each time penetrating deeper into Belgacom’s systems, eventually compromising the very core of the company’s networks.


Mensajería desde tu celular/movil: encriptación punto a punto o nada | Manzana Mecánica

Mensajería desde tu celular/movil: encriptación punto a punto o nada | Manzana Mecánica.

Bruno está muy preocupado por un problema de carácter … privado. Le escribe muy compungido a un amigo cercano, Andrés, para pedirle consejo. Andrés le contesta rápidamente con un mensaje con los datos de contacto de un médico que se caracteriza por su amplia trayectoria, y por tener manos pequeñas.

Analicemos por un momento cómo funciona este intercambio de mensajes en un programa de mensajería como SnapChat o Facebook Messenger.

En prácticamente todos los programa de mensajería modernos existe un canal de comunicación seguro, típicamente usando SSL (el mismo protocolo usado para HTTPS). Este canal se establece entre cada persona y un servidor o grupo de servidores centrales administrados por el proveedor del servicio. Todos los mensajes son enviados desde y hacia ese servidor en forma segura.

Sin embargo, este tipo de arquitectura no respeta la privacidad de los usuarios ni les ofrece ninguna seguridad. El hecho de que el operador de la plataforma tiene acceso a leer todos los mensajes de sus usuarios les hace extremadamente vulnerables a un hacker.

Más importante aún, es que no es necesario para la operación del servicio que exista este nivel de acceso a los mensajes decriptados. Los dueños del programa de mensajería no tienen ninguna razón legítima para acceder a estos mensajes.


El Ciudadano » “Hostil a la privacidad”: Snowden insta a deshacerse de Dropbox, Facebook y Google

El Ciudadano » “Hostil a la privacidad”: Snowden insta a deshacerse de Dropbox, Facebook y Google.

Edward Snowden ha arremetido contra Dropbox y otros servicios por ser “hostiles a la privacidad”, instando a los usuarios a que abandonen la comunicación sin cifrar y configuren la privacidad para evitar el espionaje gubernamental.

Snowden aconseja a los usuarios de internet “deshacerse” de Dropbox, ya que este servicio encripta los datos solo durante la transferencia y el almacenamiento en los servidores. El excontratista de la NSA recomienda en su lugar los servicios, por ejemplo, de SpiderOak, que codifican la información también mientras se encuentra en el ordenador.

“Estamos hablando de abandonar los programas que son hostiles a la privacidad”, señaló Snowden en una entrevista con ‘The New Yorker’.

Lo mismo ocurre, en su opinión, con redes sociales como Facebook y también con Google. Snowden apunta a que son “peligrosos” y propone que la gente use otros servicios que permitan enviar mensajes cifrados como RedPhone o SilentCircle.


El iPhone 6 se blinda ante el espionaje | Internacional | EL PAÍS

El iPhone 6 se blinda ante el espionaje | Internacional | EL PAÍS.


Apple no facilitará las claves de sus clientes a la agencia de espionaje de EE UU

El bloqueo del nuevo teléfono inquieta a los servicios de seguridad

Un grupo de personas espera para poder comprar el iPhone6, en Berlín. / HANNIBAL HANSCHKE (REUTERS)

Enviar a LinkedIn39
Enviar a TuentiEnviar a Eskup

EnviarImprimirGuardar

El flamante iPhone 6, recién lanzado al mercado, es el primer teléfono inteligente a prueba de espías. Un algoritmo en su sistema operativo hace que solo el usuario tenga acceso a los contenidos protegidos, con lo que Apple no podría entregar información ni siquiera por orden judicial.

“Si no eres el cliente, eres el producto”, una máxima de Jan Koum, fundador de la aplicación de mensajería móvil WhatsApp, para defender la privacidad de los usuarios vuelve a estar de actualidad. Apple se ha sumado a este principio con iOS 8, el sistema operativo que viene por defecto en los nuevos modelos de iPhone, 6 y 6 Plus.

Tim Cook, consejero delegado de Apple, rompe así el axioma general de Internet. Lo ha explicado en una carta incluida en los cambios de su política de privacidad: “A diferencia de nuestros competidores, Apple no va a pasar por encima de tu contraseña y, en consecuencia, no puede acceder a esos datos. Técnicamente, ya no podremos asumir las peticiones del Gobierno para capturar datos de aparatos que estén en posesión, siempre que tengan instalado iOS8”. No habrá posibilidad, por tanto, de que Apple colabore con la Agencia Nacional de Seguridad (NSA) en caso de que se lo requiera.

En los aparatos de Apple habrá una única manera de descifrar los contenidos protegidos: la clave que da acceso a su identidad de usuario. Hasta ahora, solo el correo @me.com, la cuenta que ofrece a los clientes, seguía esta dinámica. Con el iOS 8 esta función se hace extensiva a mensajes (aplicación que une tanto SMS, WhatsApp…, pero solo entre dispositivos de Apple), calendarios, contactos y fotos.

El nuevo sistema pone la responsabilidad final en cada cliente individual. Antes de la actualización, Apple podía descifrar claves, contraseñas y códigos de bloqueo bajo petición judicial. Ahora ya no podrá hacerlo y derivará las peticiones a los dueños de los móviles.


Nuevo sistema operativo de Android incluirá por defecto la encriptación de datos – BioBioChile

Nuevo sistema operativo de Android incluirá por defecto la encriptación de datos – BioBioChile.


Google

Google

Publicado por Eduardo Woo
Google anunció que su próximo sistema operativo móvil, hasta ahora conocido como Android L, incluirá por defecto la encriptación de datos.

Según informó al diario estadounidense The Washington Post, la medida responde a otorgar mayor seguridad a sus usuarios, luego de las revelaciones de Edward Snowden, quien indicó que los organismos de inteligencia de Estados Unidos (la NSA) lograban accesos simples a los datos de ese tipo de teléfonos.

En un modo sencillo, esta acción transforma los archivos de tu terminal (como fotos y textos) en información ilegible, la que sólo puede ser descifrada con una clave que el usuario deberá proveer.

Encriptar es codificar o hacer ilegible, en este caso, toda la información de tu teléfono, para que esta pueda ser únicamente descifrable -o leída-, por las personas que tengan la clave“, explicó a BioBioChile Gustavo Canales, fundador de soluciones informáticas Uanaco.

El informático agregó que la encriptación “es un método de seguridad más actual, utilizado frente a los distintos métodos que existen para obtener la información”.

Yo puedo colocarle una clave al usuario de mi computador, pero basta sacar el disco duro y conectarlo en otro equipo para visualizar toda la información”, en cambio “la encriptación codifica la información de mi disco duro, para que esta sea ilegible en cualquier equipo, a menos que tengan la clave de encriptado“, ejemplificó.

Niki Christoff, vocero de Google, recordó al medio norteamericano que esta opción se encuentra desde 2011 disponible, y que puede ser activado en Ajustes > Seguridad > Encriptar teléfono.


You Can Get Hacked Just By Watching This Cat Video on YouTube – The Intercept

You Can Get Hacked Just By Watching This Cat Video on YouTube – The Intercept.

By 190

Many otherwise well-informed people think they have to do something wrong, or stupid, or insecure to get hacked—like clicking on the wrong attachments, or browsing malicious websites. People also think that the NSA and its international partners are the only ones who have turned the internet into a militarized zone. But according to research I am releasing today at the Citizen Lab at the University of Toronto’s Munk School of Global Affairs, many of these commonly held beliefs are not necessarily true. The only thing you need to do to render your computer’s secrets—your private conversations, banking information, photographs—transparent to prying eyes is watch a cute cat video on YouTube, and catch the interest of a nation-state or law enforcement agency that has $1 million or so to spare.

To understand why, you have to realize that even in today’s increasingly security-conscious internet, much of the traffic is still unencrypted. You might be surprised to learn that even popular sites that advertise their use of encryption frequently still serve some unencrypted content or advertisements. While people now recognize that unencrypted traffic can be monitored, they may not recognize that it also serves as a direct path into compromising their computers.

Companies such as Hacking Team and FinFisher sell devices called “network injection appliances.” These are racks of physical machines deployed inside internet service providers around the world, which allow for the simple exploitation of targets. In order to do this, they inject malicious content into people’s everyday internet browsing traffic. One way that Hacking Team accomplishes this is by taking advantage of unencrypted YouTube video streams to compromise users. The Hacking Team device targets a user, waits for that user to watch a YouTube clip like the one above, and intercepts that traffic and replaces it with malicious code that gives the operator total control over the target’s computer without his or her knowledge. The machine also exploits Microsoft’s login.live.com web site in the same manner.

Fortunately for their users, both Google and Microsoft were responsive when alerted that commercial tools were being used to exploit their services, and have taken steps to close the vulnerability by encrypting all targeted traffic. There are, however, many other vectors for companies like Hacking Team and FinFisher to exploit.

In today’s internet, there are few excuses for any company to serve content unencrypted. Anyunencrypted traffic can be maliciously tampered with in a manner that is invisible to the average user. The only way to solve this problem is for web providers to offer fully encrypted services.


Gato espía rondaba casas vecinas para conseguir WiFi gratis – BioBioChile

Gato espía rondaba casas vecinas para conseguir WiFi gratis – BioBioChile.


Coco y el collar scanner | Gene Bransfield

Coco y el collar scanner | Gene Bransfield

Publicado por Eduardo Woo
Un hombre experto en informática equipó a su gato para espiar y hackear redes inalámbricas WiFi dentro de su barrio, en Washington, DC.

Se trata de Gene Bransfield, quien puso a ‘Coco’ -como se llama el felino siamés- un collar que contenía una placa base Spark Core, un chip GPS, una tarjeta WiFi y una batería recargable, denominada “WarKitteh”.

Los elementos con que funciona el collar | Gene Bransfield

Los elementos con que funciona el collar | Gene Bransfield

El aparato sirve como scanner, el que gracias a las andanzas de ‘Coco’ permitía descubrir y geolocalizar lugares con redes WiFi sin protección, o con seguridad débil, basadas en WEP, una encriptación con más de 10 años que es fácilmente manipulable por terceros.

La revista de tecnología Wired explica que Bransfield realizó el experimento con la intención de llamar la atención ante lo vulnerables que son algunas personas con sus señales de internet.

“Mi intención no era mostrarle a la gente dónde pueden conseguir WiFi. Sólo le puse tecnología al gato y le dejé dar vueltas porque la idea me divertía”, afirmó, agregando que el resultado fue sorprendente ya que encontró muchos puntos abiertos.


La red Tor sufre un ataque que puede haber dejado a sus usuarios al descubierto

La red Tor sufre un ataque que puede haber dejado a sus usuarios al descubierto.

Los desarrolladores han anunciado que las conexiones a la red han sido vulneradas desde finales de enero

Es probable que el atacante anónimo haya obtenido las direcciones IP y el historial de navegación de un número de usuarios indeterminado

Los nodos maliciosos fueron bloqueados el pasado 4 de julio. Si usas Tor debes actualizar a la última versión lo más rápido posible

 

 

Logotipo Tor

Miles de usuarios se conectan diariamente a la red Tor para salvaguardar su privacidad. / The Onion Router

 

 

¿Te has conectado a la red Tor en el último medio año? Si tu respuesta es afirmativa es posible que tu conexión haya sido rastreada por un atacante anónimo. Según han anunciado los desarrolladores en el blog oficial del proyecto el 30 de enero de este año se introdujeron unos nodos maliciosos que pasaron desapercibidos durante cinco meses hasta el pasado 4 de julio, cuando finalmente se descubrieron y eliminaron de la red.

El proyecto de software libre The Onion Router intenta construir una red superpuesta a internet que proporcione un alto nivel de anonimato, y es usada a diario por millones de activistas, periodistas e individuos preocupados por su privacidad online.

Se rumorea que el ataque se basa en un paperque se iba a presentar a principios de agosto en la conferencia Black Hat, uno de los encuentros sobre ciberseguridad más importantes del mundo. Los dos investigadores de la universidad Carnegie Mellon cancelaron la charla por las presiones de sus abogados. Esto lleva a que los responsables de Tor barajen la posibilidad de que el ataque fuera el resultado de esa investigación, aunque no se puede descartar que haya detrás alguna agencia gubernamental como la NSA o el GCHQ.


Llega Blackphone el teléfono que cuida tu privacidad – El Mostrador

Llega Blackphone el teléfono que cuida tu privacidad – El Mostrador.

En la era de las filtraciones llega un aparato que te protege, pero ¿es necesario? Analizamos sus ventajas y desventajas en nuestro blog de tecnología.

1

Cuando se anunció en el Congreso de Telefonía Celular en Barcelona el lanzamiento de Blackphone, un teléfono para cuidar la privacidad, los medios se apresuraron a cubrirlo. Después de todo las filtraciones de Edward Snowden estaban frescas en la memoria digital.

Cuatro meses después y con un precio de US$629 Blackphone ya puede adquirirse, pero ¿vale la pena?

“Habla y charla en libertad sabiendo que tus conversaciones están fuera del radar de vigilancia” dice la empresa al promover su producto y agrega: “Navega internet con la confianza de saber que nadie está mirando por encima de tu hombro”.

La premisa de venta es que tú estás en control de tus datos, tu dispositivo y nadie más puede acceder a tu información.


Cryptolocker: what you need to know | Technology | theguardian.com

Cryptolocker: what you need to know | Technology | theguardian.com.

What happens when a computer is infected with the malicious software, and what should you do to protect your files?

 

 

Viruses such as Cryptolocker can be attacked by taking down the servers that control them.
Viruses such as Cryptolocker can be attacked by taking down the servers that control them. Photograph: imagebroker/Alamy

 

Cryptolocker is back in the headlines, thanks to a coordinated effort to take down the computers and criminals that run the notorious “ransomware”. But what is it? And how can you fight it?

Cryptolocker is ransomware: malicious software which holds your files to ransom

The software is typically spread through infected attachments to emails, or as a secondary infection on computers which are already affected by viruses which offer a back door for further attacks.

When a computer is infected, it contacts a central server for the information it needs to activate, and then begins encrypting files on the infected computer with that information. Once all the files are encrypted, it posts a message asking for payment to decrypt the files – and threatens to destroy the information if it doesn’t get paid.

The authorities have won users a two-week window of safety

The National Crime Agency (NCA) announced yesterday that the UK public has got a “unique, two-week opportunity to rid and safeguard” themselves from Cryptolocker. The agency didn’t go into more detail, but it seems likely that at least one of the central servers which Cryptolocker speaks to before encrypting files has been taken down.

The NCA has also taken down the control system for a related piece of software, known as GameOver Zeus, which provides criminals with a backdoor into users’ computers. That back door is one of the ways a computer can be infected with Cryptolocker in the first place.

What that means is, until the window is closed – and the virus cycles to new servers – users who are infected with Cryptolocker won’t lose their files to encryption. As a result, these users have the chance to remove the virus before it destroys data, using conventional anti-virus software. In other words, there has never been a better time to update the protection on your computer.

But watch out – while the servers that control Cryptolocker are out of action, it’s possible to be infected with it and not know. If you don’t keep your computer clean, then at the end of the two-week period, you could be in for a nasty surprise.


Privacy under attack: the NSA files revealed new threats to democracy | Technology | The Guardian

Privacy under attack: the NSA files revealed new threats to democracy | Technology | The Guardian.

Thanks to Edward Snowden, we know the apparatus of repression has been covertly attached to the democratic state. However, our struggle to retain privacy is far from hopeless

US National Security Agency
The US National Security Agency threat operations centre in Fort Meade, Maryland, in 2006. Photograph: Paul Richards/AFP/Getty Images

In the third chapter of his History of the Decline and Fall of the Roman Empire, Edward Gibbon gave two reasons why the slavery into which the Romans had tumbled under Augustus and his successors left them more wretched than any previous human slavery. In the first place, Gibbon said, the Romans had carried with them into slavery the culture of a free people: their language and their conception of themselves as human beings presupposed freedom. And thus, says Gibbon, for a long time the Romans preserved the sentiments – or at least the ideas – of a freeborn people. In the second place, the empire of the Romans filled all the world, and when that empire fell into the hands of a single person, the world was a safe and dreary prison for his enemies. As Gibbon wrote, to resist was fatal, and it was impossible to fly.

The power of that Roman empire rested in its leaders’ control of communications. The Mediterranean was their lake. Across their European empire, from Scotland to Syria, they pushed roads that 15 centuries later were still primary arteries of European transportation. Down those roads the emperor marched his armies. Up those roads he gathered his intelligence. The emperors invented the posts to move couriers and messages at the fastest possible speed.

Using that infrastructure, with respect to everything that involved the administration of power, the emperor made himself the best-informed person in the history of the world.

That power eradicated human freedom. “Remember,” said Cicero to Marcellus in exile, “wherever you are, you are equally within the power of the conqueror.”

The empire of the United States after the second world war also depended upon control of communications. This was more evident when, a mere 20 years later, the United States was locked in a confrontation of nuclear annihilation with the Soviet Union. In a war of submarines hidden in the dark below the continents, capable of eradicating human civilisation in less than an hour, the rule of engagement was “launch on warning”. Thus the United States valued control of communications as highly as the Emperor Augustus. Its listeners too aspired to know everything.

We all know that the United States has for decades spent as much on its military might as all other powers in the world combined. Americans are now realising what it means that we applied to the stealing of signals and the breaking of codes a similar proportion of our resources in relation to the rest of the world.

The US system of listening comprises a military command controlling a large civilian workforce. That structure presupposes the foreign intelligence nature of listening activities. Military control was a symbol and guarantee of the nature of the activity being pursued. Wide-scale domestic surveillance under military command would have violated the fundamental principle of civilian control.

Instead what it had was a foreign intelligence service responsible to the president as military commander-in-chief. The chain of military command absolutely ensured respect for the fundamental principle “no listening here”. The boundary between home and away distinguished the permissible from the unconstitutional.

The distinction between home and away was at least technically credible, given the reality of 20th-century communications media, which were hierarchically organised and very often state-controlled.

When the US government chose to listen to other governments abroad – to their militaries, to their diplomatic communications, to their policymakers where possible – they were listening in a world of defined targets. The basic principle was: hack, tap, steal. We listened, we hacked in, we traded, we stole.

In the beginning we listened to militaries and their governments. Later we monitored the flow of international trade as far as it engaged American national security interests.


10 talking points about cybersecurity and your business | Technology | theguardian.com

10 talking points about cybersecurity and your business | Technology | theguardian.com.

PwC, Interbrand, Symantec and the Institute of Risk Management talk security, crisis control and planning for the ‘absolute worst’

 

 

No company is too small to face a cybersecurity attack.
No company is too small to face a cybersecurity attack. Photograph: Pawel Kopczynski/Reuters

 

It’s the large-scale cybersecurity breaches that make the headlines: Target, Adobe, Sony and the recent concerns about the Heartbleed bug being obvious examples.

Yet businesses of every size are grappling with how to secure their networks, devices and data. A roundtable this week in London organised by Symantec – disclosure: the company sponsors The Guardian’s Secure + Protect blog – explored the issues.

Participants included Graham Hales, global CMO at Interbrand; Richard Horne, partner at PricewaterhouseCoopers; Richard Anderson, chairman of the Institute of Risk Management; and Sian John, senior cyber security strategist at Symantec. It was moderated by Tim Weber, director at Edelman.

Here are 10 of the main talking points from the event:


La NSA desmiente haber estado al tanto de la falla de Internet “Heartbleed” – BioBioChile

La NSA desmiente haber estado al tanto de la falla de Internet “Heartbleed” – BioBioChile.


Heartbleed.com

Heartbleed.com

Publicado por Gabriela Ulloa | La Información es de Agencia AFP
La agencia estadounidense encargada de interceptar comunicaciones, la NSA, desmintió el viernes las revelaciones de la agencia Bloomberg según la cual sabía de la falla de seguridad en el programa de conexiones seguras conocida como “Heartbleed”, y la habría utilizado en su beneficio.

Bloomberg, que mencionó “fuentes cercanas al caso”, afirmó que la agencia de inteligencia sabía desde hacía “al menos dos años” que existía esta falla, pero no lo había revelado sino que la había utilizado en su beneficio para obtener datos.

“Heartbleed” afecta ciertas versiones de OpenSSL, un programa libre usado para conexiones seguras en Internet, que se reconoce por ejemplo en las direcciones web que empiezan con https o un pequeño candado durante operaciones bancarias y de identificación en internet. Su existencia fue revelada al inicio de esta semana.

“La NSA no estaba al tanto de la vulnerabilidad identificada recientemente en OpenSSL, llamada falla Heartbleed, hasta que se hizo pública en el informe de una firma privada de seguridad informática. Las informaciones que establecen lo contrario son falsas”, declaró a la AFP una portavoz de la NSA, Vanee Vines.