De encriptados y otros atoles con el dedo.
En las ultimas semanas Google y Apple han estado hablando de encriptado y de como son los defensores de la privacidad de sus usuarios y que si vieron a las niñas?.
La idea es básica, ya que todo mundo vio a JLaw y a J.Lo; ahora los de Cupertino ofrecen un sistema de encriptado en los dispositivos móviles en los que solo el dueño o dueña del dispositivo podrá ver los archivos locales.
De hecho RP de Apple dijo lo siguiente: "Apple no puede saltarse la clave que el usuario asigne, entonces no podemos tener acceso a la información... No es factible para nosotros el responder a mandatos del gobierno para extraer los datos que vienen en dispositivos que estén usando el iOS 8 / Apple cannot bypass your passcode and therefore cannot access this data... So it's not technically feasible for us to respond to government warrants for the extraction of this data from devices in their possession running iOS 8".
Los
cylons de Google
dijeron algo parecido...
“Por mas de tres años Android ha ofrecido
encriptado; y las llaves no son almacenadas fuera del dispositivo,
por lo que no pueden ser compartidas con las autoridades... como
parte de nuestro nuevo lanzamiento de Android, el encriptado estará
activado de cajón, ni siquiera tendrán que pensar en activarlo /
For over three years Android has offered encryption, and
keys are not stored off of the device, so they cannot be shared with
law enforcement... As part of our next Android release, encryption
will be enabled by default out of the box, so you won't even have to
think about turning it on”.
“Es mejor espiar a las personas cuando ya las has convencido de que
están seguras, de esta forma te regalaran todos sus secretos”
Buen
discurso de ventas, pero después de haber visto pasar la
Resolucion
2178
de
la ONU la pregunta; ¨sera que Apple y Android quieren ayudar a
los criminales y terroristas?”, cobra mas peso debido a todas “las
amenazas” con las que somos bombardeados diariamente. Ejemplo:
“CyberVor
se roba 1.2
billones de credenciales de usuarios”.
Hay que tener en mente que es solo encriptado local y por local queremos decir, que se queda en el teléfono. Como Bruce Schneier ya lo dijo, esta táctica no hace mucho cuando se tiene que proteger información en la nube (cloud).
Se
le quiere hacer creer al usuario que las compañías están de su
lado ¨en la lucha por la privacidad¨ y ya ni hablemos de la
recolección de datos (mining). Hace
un par de años, ElcomSoft
rompió el encriptado del iOS4
en unos 20 minutos... como?
Ellos no atacaron la información encriptada, en lugar de eso se
fueron sobre el chip que realiza esa tarea. La información que se
almacena en el dispositivo con iOS4 se encripta usando una llave de
solo cuatro (4) caracteres, lo que quiere decir que hay 10,000
posibles llaves. ElcomSoft utiliza Fuerza
Bruta en el chip de encriptado y de allí solo le bastan 20 minutos
para obtener la llave. Una vez que se obtiene la llave, se puede
analizar la información con herramientas convencionales como FTK
de AccessData o EnCase
de Guidance.
Cualquier tipo de encriptado es bueno y es mejor que ninguno, pero su efectividad dependerá del grado de complejidad que el usuario le asigne.
Esta es la receta de una buena contraseña y La Calculadora para que prueben la resistencia.
-
Números (10 y diferentes: 0-9)
-
Letras (52 y diferentes: A-Z y a-z)
- Caracteres Especiales (32 simbolitos pa’ todos!)
Ejercicio:
En una contraseña de 5 caracteres; 3 minúsculas y 2 números (a5g2h).
Existen 36 opciones (10 números y 26 letras) a la 5ta potencia o 365= 60,466,176
Entonces la operación queda así: 60,466,176 / 2,000,000,000* = 0.03 segundos
Ahora, veamos que pasaría con una contraseña más “fuerte”.
12 caracteres; 3 mayúsculas, 4 minúsculas, 3 caracteres especiales y 2 números (G3$aT^eB6*is)
Existen 94 opciones (10 números, 52 letras y 32 caracteres especiales) a la 12 o 9412= 475,920,314,814,253,376,475,136
Entonces la operación queda así: 475,920,314,814,253,376,475,136 / 2,000,000,000 = 237,960,157,407,127 segundos = aproximadamente 7.5 millones de años.
En una contraseña de 5 caracteres; 3 minúsculas y 2 números (a5g2h).
Existen 36 opciones (10 números y 26 letras) a la 5ta potencia o 365= 60,466,176
Entonces la operación queda así: 60,466,176 / 2,000,000,000* = 0.03 segundos
Ahora, veamos que pasaría con una contraseña más “fuerte”.
12 caracteres; 3 mayúsculas, 4 minúsculas, 3 caracteres especiales y 2 números (G3$aT^eB6*is)
Existen 94 opciones (10 números, 52 letras y 32 caracteres especiales) a la 12 o 9412= 475,920,314,814,253,376,475,136
Entonces la operación queda así: 475,920,314,814,253,376,475,136 / 2,000,000,000 = 237,960,157,407,127 segundos = aproximadamente 7.5 millones de años.
No comments:
Post a Comment