Header Ads

Powerless

Las palabras de moda en el ámbito tecnológico actual son censura, anonimato y privacidad. Apartándonos de lo sensacionalista y mediático del tema, es algo muy real (como aclaratoria para aquellos que viven en el paraíso), en países como Cuba, Venezuela, China, Irán, etc (Vea Top Ten de la censura).
Pero la censura no es exclusiva de los gobiernos totalitarios; también se ha convertido es práctica habitual del mundo empresarial (Vea  10 métodos de censura por internet).
Hoy, las diferentes organizaciones (y gobiernos) implementan muchas tecnologías y métodos para bloquear contenidos y restringir el acceso, en un intento por controlar la información de una red diseñada para lo contrario, y los usuarios, el último eslabón de la cadena alimenticia, se las ingenian para no ser devorados por el pez grande y saltarse estos controles, en el nombre de la libertad de expresión. (Vea Manual Anticensura)
Es por esta razón que hemos diseñado una nueva entrevista, tipo FAQ (la primera fue sobre las interferencias Wifi y No-Wifi), esta vez enfocada en el filtrado de contenidos y bloqueos de ‘anonimizadores’ vs libertad de expresión, la cual representa la opinión de muchos especialistas en el ramo, y que pretende exponer la situación actual de esta problemática y el futuro que nos depara.
La "Entrevista"
Gracias  señor X por la entrevista anterior, y ojalá pueda ayudarnos a desenmarañar el mundo de las conexiones anónimas, y de paso echarle la mano a unos "amigos", ansiosos por explorar la deepweb sin que nadie se entere... o prefiere que lo llame Doctor X?
No tengo doctorado, ni tampoco soy médico, pero me agrada que me laman el trasero; me aleja de la chusma... Y si bien muchos me tachan de radical y "HP", por haber ayudado a muchas empresas a joder a sus empleados (me divertí mucho haciéndolo), reconozco que vamos de mal en peor; por eso es importante hablar de este tema... Ah; si lo prefieres, le agregas dos X a mi nombre para que suene más "porno".
¿Qué significa entrar al mundo Darknet, con Tor o i2p?
La mejor analogía que he leído es la del portal elbinario, cuando explica que: ‘ la sensación de entrar a este mundo es similar a lo que Alicia sintió al descender por la madriguera de conejo; una subred de intrincados túneles donde finalmente se llega a habitar en otro ecosistema del ciberespacio’.
Y ésta es mi parte favorita:
- Cheshire, ¿podrías decirme, por favor, qué camino debo seguir para salir de aquí?
- Esto depende en gran parte del sitio al que quieras llegar – dijo el Gato.
- No me importa mucho el sitio… -dijo Alicia.
- Entonces tampoco importa mucho el camino que tomes – dijo el Gato.
- … siempre que llegue a alguna parte – añadió Alicia como explicación.
- ¡Oh, siempre llegarás a alguna parte – aseguró el Gato -, si caminas lo suficiente!
Internet está plagado de programas y sitios que se conocen vulgarmente como "proxies anónimos" o "anonimizadores", que sirven para acceder a estos contenidos, y las empresas invierten millones de dólares para bloquearlos. Podría hablarnos un poco de esta "guerra".
Hay mucho bla, bla de ambos bandos. Por un lado tenemos la teoría del “culo sentado en una silla”. De acuerdo con Expansión.com: ' En la mentalidad de las empresas capadoras, las redes sociales (y ni hablar de la deepweb) son sitios peligrosos donde sus trabajadores pueden resultar “abducidos” o “secuestrados” de su sacrosanto deber de trabajar. Su intención es “aislar” a sus trabajadores del entorno exterior: y si no les quitan su teléfono móvil es porque lo suponen anticonstitucional (pero mejor no dar ideas)... El que quiere trabajar, trabaja. Y el que quiere perder el tiempo, lo pierde. Y las empresas, felices, porque en el fondo, no compran horas de cabeza pensante, sino horas de culo sentado en una silla. Políticas apolilladas, absurdas'.
En la otra esquina del ring, las empresas y gobiernos se defienden con la tesis que el filtrado y bloqueo es necesario para proteger su infraestructura informática de ataques terroristas, extorsiones, ciberbullying, grooming y toda clase de actos criminales. También para economizar ancho de banda de internet, entre otros argumentos...
Pero mienten; solo unos pocos usan las redes Darknet para lo que fueron creadas y la mayoría se la pasan metidos en la deepweb viendo pornografía o comprando éxtasis; y las empresas usan sus sistemas y filtros para vigilar a sus empleados, robarles las ideas, ver sus conductas consumidoras para venderle baratijas o explotarlos, y muchas cosas más que prefiero no mencionar, ya que aumentaría el desempleo; o peor; contratarían en la red Tor a los supersicarios Ernie y Bernie, para mandarme "a dormir... con los peces muertos".
Tampoco faltan los cantinflescos oportunistas, que ven esta guerra como un gran pastel, lleno de $$$$, ya que venden combos "junk", disfrazados de soluciones "mágicas" seguridad, y embaucan a incautos usando tácticas FUD (Fear, Uncertainty and Doubt) o sea utilizando el miedo, la incertidumbre y la duda, y como ñapa les prometen anonimato y privacidad, fuera de los ojos de la NSA, los gobiernos totalitarios y las organizaciones "capadoras"; una oferta demasiado tentadora como para dejarla pasar.
Dentro de este combo de soluciones se encuentran los 'anonimizadores' ( inproxy y outproxy), que no son más que un conjunto de herramientas que nos ayudan a franquear estas restricciones impuestas sin nuestro consentimiento, usando servidores externos, llamados 'testaferros'. Los más populares son Ultrasurf, HideIP, p2p, freegate, los túneles vpn (TunnelierPrivateVPNopenVPN, etc) y la lista sigue y sigue. También hay sitios para navegar anónimamente, sin necesidad de aplicaciones y redes específicamente diseñadas para esto, como Onion Router (TOR),  freeneti2p, Hyperboria. Todos dispuestos a saltarte la redes capadas y acceder a todo tipo de contenidos... Hasta Google está reclamando su tajada del pastel con el proyecto uProxy.
Las comparaciones entre algunos de estos anonimizadores puedes encontrarla en el post  Preservando el anonimato y extendiendo su uso.
Pero, si la publicidad es dirigida, no hay anonimato... ¿o sí?
Cómo diablos voy a saber lo que te gusta sino raqueteo tu vida digital primero. Esto lo hacen la mayoría de las empresas y gobiernos, incluyendo San Google, San facebook y muchos otros “San”; y también los anonimizadores. Si quieres una demostración, instala la extensión de chrome Ghostery y te llevarás una gran sorpresa, cuando veas cuántos sitios que visitas a diario, recopilan información sobre tus preferencias. Lo único que les falta es que pongan una cookie dentro del retrete, para ahorrarnos los exámenes de heces fecales.
Es por esa razón que estas herramientas anonimizadoras y muchos servicios VPN, siempre han sido tan controversiales. Nadie (excepto ellos) sabe lo que hacen con el tráfico que pasa por sus servidores. No hay garantías, ni tampoco tienen la seguridad que suponemos.
Y también está el asunto de si estas herramientas realmente nos brindan anonimato. Muchos discrepan sobre este particular. Vea los estudios realizados por Torrentfreak y Comparitech que abordan el tema con profundidad.
Pero hay organizaciones que tienen argumentos válidos para filtrar contenido y bloquear a usuarios no autorizados, ya que utilizan los anonimizadores para  delinquir a su antojo
Onion Router "TOR"
Esta es la otra cara de la moneda. Con el arribo de los colonizadores al nuevo mundo, llegaron también las enfermedades, y el "e-crime" no fue ajeno a la disyuntiva: “libertad de expresión versus Censura”; y buscó su lugar dentro estas “redes underground”. Pederastas, sicarios, narcotraficantes, delincuentes, estafadores, traficantes de armas y un largo etc; encontraron refugio en la deepweb. Un reportaje interesante sobre el tema es  Tor; La red Invisible.
¿Para una empresa es fácil deshacerse o filtrar de estas conexiones anónimas?
Si manejas un entorno controlado y tienes un proxy/firewall es relativamente sencillo bloquearlas, sin necesidad de contratar un sistema hiper sofisticado, como los UTM, que como dicen en Google Group, no son más que un Firewall "Reloaded". Con iptables es suficiente; a no ser que manejes un país entero y necesites “algo más”.
¿“Algo más”, como qué?
Digamos que un ejército represivo, ejecuciones sumarias, desapariciones forzosas y ese tipo de “nimiedades”, propias de los gobiernos autocráticos.
¿Y cómo se bloquea un anonimizador?
En el "origen de los tiempos", se combatían las redes p2p con ipp2p, pero este proyecto se quedó sin soporte y las aplicaciones P2P se han modernizado y ahora utilizan protocolos propietarios, puertos dinámicos, cifrado del tráfico, lo cual representa un gran obstáculo para los métodos de identificación tradicionales y deja fuera de combate a ipp2p; pero ahora tenemos a los Next Generation Firewall NGFW que se encargan del trabajo sucio.
Un ejemplo tal vez...
Salvo excepciones, los anonimizadores y P2P se conectan a direcciones IP (no a URLs), entonces crea una lista blanca de direcciones IPs autorizadas en tu red local y bloquea el resto.
¿Y cuáles son estas "excepciones"?
Los de tipo circumvention (como Ultrasurf  Hotspot ShieldTor  Private TunnelFreegate, etc) que utilizan una combinación de comunicaciones seguras con tecnologías de ofuscación VPN, SSH, y HTTP Proxy y hacen retransmisión y re-ensamblado de sus conexiones, siendo muy difícil su detección y su bloqueo.
¿Te refieres a los túneles de última generación, que utilizan cifrado y ofuscación?
No son tan nuevos. Según PCActual: ' eMule fue uno de los primeros clientes P2P en ofrecer la funcionalidad de ofuscación del protocolo, que no es otra cosa que esconder el protocolo que se está utilizando para que las conexiones no puedan ser detectadas por terceros, sino solo por los usuarios que se conectan entre sí. Básicamente, se trata de un sistema que genera datos aleatorios para que no se produzca esa identificación.'
Con los años evolucionó y ahora tiene un nombre más cool: SSH Plus. Las aplicaciones más conocidas que lo emplean son  Psiphon3Circumventor (sin soporte desde hace varios años), MyEnTunnelPlus SSH, entre otras.
psiphon
En teoría evitan el fingerprinting (activo o pasivo) y por ende el tracking sobre nuestra conexión, pero estos túneles cifrados y ofuscados no son infranqueables y tampoco mejoran el anonimato, ni mucho menos son invisibles a los "watchers", y si tu sistema está mal diseñado o controlado por un administrador IT "normal", puede que cumplan su cometido... Pero si es paranoico, revisará los logs en busca de algún patrón hex. Para estos casos debes realizar un bloqueo con reglas basadas en string, limitar algunos puertos well-known con portknocking y crear tu propio servidor DNS o configurar tu firewall para que solo permita peticiones a DNS específicos cifrados y luego cierras el puerto 53.
La nueva versión de Psiphon 3 se queda "conectando..." si hay filtrado del puerto UDP 53 en iptables
Y supongo que cuando se enteren de esta entrevista lo más lógico es que cambien su método, pero de igual manera siempre habrá forma de joderlos.
Pero creo que hay otro problema mucho más grave con Psiphon. Es que es tan buena y rápida (mira los tiempos de conexión) que los bittorrents están lanzando su túnel a través de sus servidores para realizar el intercambio de archivos, y la empresa responsable de su diseño, en Google Groups, aseguró que han tenido que 'tomar medidas restringiendo determinados puertos'.
¿Un anonimizador restringiendo contenidos?
Tal y como lo oyes. Una aplicación cuya bandera y propósito en la vida es evitar la censura, se auto-restringe sí misma, cerrando puertos en sus servidores para evitar a los "malandros p2p"... Irónico, no?
El encadenamiento proxy es una práctica más habitual de lo que pensamos. En ocasiones la Red Tor está bloqueada por una organización y los usuarios lanzan túneles con proxychain, sockchain o cualquier otro “chain”, encapsulando el tráfico para dificultar su detección, y así acceder a nuestra "precioso" antro deepweb.
Naturalmente, cada encadenado representa una disminución brutal del ancho de banda, pero cuando se trata de ocultar nuestras perversiones más oscuras, vale la pena.
Ahí tienes el caso de Telex ; una aplicación (que la han publicitado como si fuese la panacea anti-censura), permite que Tor encadene sus conexiones a través de sus servidores, ya que, de acuerdo a sus promotores, su método es infalible. Según MuyInteresante; ' los usuarios instalan el programa y los ISP externos a la conexión censurada, instalan equipos llamados estaciones Telex. Cuando un usuario quiere visitar un sitio prohibido, establece una conexión segura con un sitio HTTP de la red, que podría ser cualquier sitio protegido con contraseña que no esté bloqueado. Ésta es una conexión señuelo. El programa Telex marca la conexión como un pedido de Telex insertando una etiqueta con un código secreto en los titulares de la página. La etiqueta usa una técnica de criptografía conocida como 'estenografía de clave pública'. El pedido del usuario pasa a través de dispositivos de ruta en varios ISP, algunos de los cuales pueden ser estaciones de Telex. Estas estaciones tienen una clave privada que les permite reconocer las conexiones etiquetadas de los clientes de Telex. Las estaciones desvían las conexiones de forma que el usuario pueda ir a cualquier sitio en internet'.
Intrincado el laberinto de Telex
Una cháchara más complicada que la de un perro cuando va a cagar; vueltas y vueltas, y que asusta al más experto, acompañada de una dosis de entusiasmo anti-censura, pero en la práctica no es funcional y lo bloqueamos sin mayor esfuerzo con reglas anti-IP.
¿Y los navegadores que usan en la cabecera HTTP Strict Transport Security (HSTS)?
Ayudan en algo, ya que hacen un forzado para que las conexiones sean https y así evitar la vigilancia tipo Man-In-The-Middle (MITM), con SSLStrip o alguna otra herramienta similar, (y también puedes modificar tu servidor Apache para que redireccione siempre a https); pero su éxito es relativo, ya que, como bien sostiene el portal karpoke 'si una web proporciona acceso seguro (HTTPS) pero accedemos de forma no segura (HTTP) podría suceder que nos redirija a la versión segura, sin embargo, ya se había iniciado una conversación sin cifrar. Este comportamiento puede ser explotado por un ataque MITM'.
Y si con esta explicación no te basta, RedesZone afirma que la nueva versión SSLStrip2 es capaz de reventar esta tecnología y meter un MITM junto con la herramienta dns2proxy
¿Y cómo hacen los administradores TI en su día a día para contrarrestar las filtraciones y conexiones no autorizadas?
La mayoría se valen de una batería de herramientas, y los más experimentados, sniffan constantemente su red y revisan los logs del sistema. Sin embargo, termina siendo una labor dispendiosa y titánica, ya que es imposible estar mirando los logs todo el tiempo y los mecanismos de activación de alertas no siempre son tan certeros como quisiéramos a la hora de determinar si hay o no una violación de la seguridad, por tanto los falsos positivos son cada vez más frecuentes.
Hay que aclarar que los sysadmins, excepto algunos que diseñan sus propias herramientas, la mayoría dependen de herramientas diseñadas por terceros, por tanto están expuestos a los fallos y vulnerabilidades en su arsenal defensivo.
¿Y cómo lo solucionan?
Con el llanto de los usuarios; es una manera muy efectiva para la toma de decisiones y desencadenar las contramedidas... Niño que no llora no mama.
O sea, que hasta que un usuario no pone una queja, no pasa nada.
Mas o menos, ya que por más que revises los registros de los servidores y la red local, siempre hay cosas que no vas a controlar y es el factor humano.
Mira, esto es un problema que va más allá de la capacidad de los sysadmins (que dependen de los ejecutivos). Esto es un problema estructural del enfoque de la seguridad actual, que es: 'primero existe la enfermedad y luego la cura', entonces el 'modus operandi' es esperar que los "aviones se estrellen contra las torres" y ocurra el desastre, para mover un dedo. Algo similar ocurre con las vulnerabilidades. Hasta que un cibercriminal no irrumpe en un sistema, jode todo lo que encuentre, dejando una estela de mierda a su paso y compromete la información de millones de usuarios (si son miles a nadie le importa), el fabricante del software o hardware realiza las correcciones.
Este absurdo proceder aplica también para la resolución de problemas, ya sea corrigiendo vulnerabilidades, Bots, eliminadores de links, bloqueo de sitios, descargas, cierre de puertos, etc.
¿Y en los sistemas ofensivos?
Digamos que tienen una connotación “diferente”, más allá de su eficiencia. El problema radica en que hay organizaciones que  consideran la ofensiva como parte de la defensa, lo que se conoce como 'hack-back', pero a veces la línea divisoria que separa una aplicación ofensiva de un malware es muy delgada. Un ejemplo reciente es el caso de la compañía italiana Hacking Team, que lanzó una aplicación Remote Control System (RSC), llamada Galileo, con un considerable efecto nocivo sobre Android e IOS, la cual fue tildada de malware por el equipo de Kaspersky… Parece que en esta guerra todo vale.
Si quieres conocer los mitos y verdades sobre este tema, te invito a leer el excelente post Defensa Ofensiva: Mitos y Realidades.
O sea, por lo que usted plantea, se podría resumir que todos sistemas actuales son deficientes, sin importar cuál sea su orientación (defensiva, ofensiva o ambas)
Sí y no; ya que, como dije antes es un problema estructural. Pero mejor vayamos al grano, para que comprendas a qué me refiero con "problema estructural".
Por ejemplo, el ABC de la mayoría de las empresas son los famosos "marcos (frameworks) de ciberseguridad", como ISO 27001/27002NIST, etc.
Framework de ciberseguridad. Source  thehackernews
Y gracias a este desatino algunos usuarios consiguen quebrantar estas normas, enarbolando las banderas de la "libertad de expresión" o más bien del XXX, las drogas y demás vicios.
¿Por qué dices que es un "desatino"?
Porque esos marcos no consideran la "medicina preventiva"... Si no existe la seguridad 100%, que te hace pensar que existe la "medicina preventiva" en el campo de la ciberseguridad. Mira las gráficas mundiales de ciberamenazas de  Kaspersky o los ataques en tiempo real de Norse, para que te hagas una idea de lo que enfrentan las organizaciones diariamente. Si solucionaran los problemas de origen y actuaran "antes de", nada de esto ocurriría.
Claro que muchos dirán que miento, y que sí están incluidos, pero ya depende de lo que tu consideres como "medicina preventiva". Si piensas que la bazofia lo es, entonces ya sabes la respuesta y cuando termine la entrevista y ‘salgas por esa puerta, empezarás a sentirte mejor y recordarás que no crees en estas tonterías (…), ya que tú controlas tu propio destino’  y tus procedimientos como administrador IT son los correctos... Incluso te puedo ofrecer una 'galleta'… Pero si eliges la 'píldora roja', entenderás que estas cosas son simples rituales de la vida diaria, como comer, vestirnos o dormir, que se realizan incluso hasta de manera inconsciente, y que la "prevención" va más allá de las fronteras de nuestras narices, ya que son acciones, procedimientos e intervenciones, que están relacionadas directamente con el análisis de riesgos que hagas y con tu capacidad de respuesta.
"Para muestra, un botón"; ahí tienes las vulnerabilidades tipo '0-day'; la mayor pesadilla que pueda enfrentar cualquier administrador IT y fabricante. ¿Existe 'medicina preventiva' para 0-day?... Por supuesto que NO... Y ¿por qué no?... porque "un burro busca a otro burro pa' rascarse".
Esto es un grave problema estructural. Mucho se habla de este tema en conferencias de ciberseguridad, con en sendos y bonitos informes con gráficas incluidas que impresionan a cualquiera, pero la realidad es muy diferente. Esta situación se presenta por un principio elemental: Somos los arquitectos de nuestros sistemas, y por ende, los hacemos a nuestra "mala  imagen y semejanza". Y la consecuencia es el derrumbe de los frameworks... El que ataca tiene la ventaja y el que se defiende se ve forzado a pasar de la planificación a la improvisación sobre la marcha.
¿Y Hardening también es un "desatino"?
No. Es el punto de partida para la administración de cualquier sistema informático. El Hardening reduce el riesgo de vulnerabilidades, elimina procesos innecesarios y mantiene saneada nuestra red, evitándonos un sinfín de problemas y dolores de cabeza. De hecho a mis lameculos siempre les recomiendo que se lean el libro Hardening de Servidores GNU/Linux, que sin dudas ayuda muchísimo en este proceso... Pero el hardening es solo eso; ni más ni menos. Si quieres estar a la altura de los cibercriminales, te hará falta sacar del sombrero algo más que un conejo.
Entonces de nada sirven los marcos de ciberseguridad
No. Pero, al igual que con el Hardening, es mejor tenerlo que no tenerlo.
¿Y por qué ocurren los '0 day'?
Schneier tiene una respuesta bastante acertada para tu pregunta: ' es más barato poner remedio (parches) que solventar el problema en el origen, y por eso no hay motivación en la industria del software (y del hardware) a hacer bien las cosas'.
¿Qué requisitos debe tener un buen administrador IT, sysadmin, experto en ciberseguridad o como quiera llamarle?
Ser un demente paranoico... Triste profesión... Mi mamá me dijo que estudiara medicina y por necio no le hice caso. Ahora sería cirujano y estaría disfrutando de un buen fin de semana con mi familia en la ribera francesa, gastándome los miles de dólares diarios que me hubiese podido ganar, quitando arrugas a vejestorios ochenteros; en cambio 'heme aquí', en esta ratonera llamada "gerencia informática", llena de cables, ups y equipos por doquier, con pantallas que me consumen los ojos, chupando radiación y rodeado de ingratos y enemigos, que se creen Dioses del Olimpo, porque nosotros mismos nos encargamos de subirlos al pedestal. 'No hay cuña que mas apriete que la del mismo palo'. Y para cerrar este 'circulo maquiavélico' estoy hablado sandeces contigo, aparentando ser un superhacker, mientras la RAE, los medios y el mundo entero nos tildan de  piratas informáticos, y a veces con justa razón, en tanto los verdaderos cibercriminales se burlan de esta entrevista, porque siempre vamos a estar oliéndoles el trasero y viendo la nube de polvo que dejan a su paso... El coyote tratando de agarrar al correcaminos.
¿Con justa razón?
'El que esté libre de pecados que lance la primera piedra'. Muchos de los que hoy se autoproclaman "hackers" se rasgan las vestiduras y juran sobre la biblia ser más santos que el Papa, pero cuando nadie los ve, se la pasan haciendo maldades. Por ejemplo, Cóndor, que en los 80 jodió a muchos y ahora es "consultor de seguridad" y da conferencias de hacking ético. Que ironía. 'Mata un hombre y serás un asesino; mata a millones y te llamarán conquistador'. Mete un keylogger en el computador de tu esposa, a ver si te pone los cuernos, instala un Windows sin licencia o descarga una película sin comprarla y serás maldecido, humillado y acusado de 'pirata'; pero jode a millones de computadoras en el mundo y todos te admirarán y con el tiempo serás digno de culto, firmarás autógrafos, tendrás un club de fans y te llamarán "experto en ciberseguridad" y muchos otros calificativos de alcurnia, y las mejores empresas del mundo se pelearán por tenerte en su nómina... Es solo cuestión de números.
Mi estimado entrevistador; 'la práctica hace al maestro', y nuestros conocimientos más avanzados no lo aprendimos ni en los libros, ni en San Google, sino en escenarios reales, jodiendo a algún cristiano desprevenido.
¿Y por qué dice que estamos "hablamos sandeces"?
Porque, por ejemplo, Ultrasurf, Freegate o GTunel, son distribuidos por el grupo Global Internet Freedom Consortium (GIFC), para combatir la censura, y adivina quién está detrás de la financiación y desarrollo de estos anonimizadores;... pues el gobierno de Estados Unidos, o lo que es lo mismo, la NSA (que vigilan todo). También tenemos el caso TOR, que en el 2013 fue financiado por la NSA. Y más temprano que tarde, los demás anonimizadores correrán la misma suerte; a las buenas (le ofrecen financiación a cambio de escudriñar a los que se conecten) o a las malas (le dan caza a sus creadores y los ponen tras las rejas). Es por eso que ningún cibercriminal que se respete, las utilizaría para conectarse.
Amigo mío; no sigas tratando de colarte en el laberinto del conejo con esas herramientas, ya que, como dijo Zafón: ' el camino al infierno está construido de buenas intenciones'… Solo aquellas que aún permanecen en la sombra, fuera del alcance de la turba, son las que utilizan los cibercriminales para hacer sus diabluras.
¿Cuáles?
Qué se yo… Supongo que herramientas escritas en lenguajes no convencionales de tipo P2P anónimos y desentralizados (p2p sin control), incluyendo aplicaciones y buscadores basados en esta tecnología, sin nodos centrales y con DNS-P2P; o las redes F2F, con políticas ciberanarquistas de cifrado ilegal, o aplicaciones remotas que acceden mediante un túnel ssh (y abren los respectivos sockets) a terminales zombies secuestrados con privilegios dentro de una red y así usarlos como pasarela y plataforma para acceder al "fondo de la red"; o mecanismos anti-InterNIC, incluso RAT y muchas otras artimañas… Al menos es lo que yo haría. Pero es vital evitar transferir muchos "gigas", para no llamar la atención de los "watchers", y constantemente encadenar las conexiones.
¿Y cómo envían y reciben grandes volúmenes de información de forma segura?
Para esto están los medios portables cifrados; un método conocido como Sneakernet; reencauchado de la década de los sesenta, pero con un nuevo embalaje... Definitivamente 'cuanto más cambia una cosa, más se convierte en lo mismo'.
Varias organizaciones anti-censura están creando una red mundial de intercambio Sneakernet y los bancos están utilizando este método para transferencia de valores. Y salvo que algún hacker demente, de esos que abundan por ahí, invente un aparato para escanear al vuelo los datos de un dispositivo portable de almacenamiento, sin conexión con el exterior, (y sigo dando ideas), Sneakernet, hasta hoy, es el método más seguro y recomendado para enviar y recibir información... Gracias a éste, Osama Bin Laden logró evadir a las autoridades durante años.
O sea que en lugar de usar la nube o el mail, mejor guardamos los archivos en una usb, ciframos su contenido y la enviamos por correo postal o con un amigo.
Correcto. Y es mejor en persona. Nada de servicio postal... Y si tu preocupación es que descubran tu colección pirata de mp3 y tu catálogo porno, con Sneakernet está a salvo, por ahora. Un transporte lento, pero seguro... Y hay más. Algunas organizaciones de espionaje y empresas de alta seguridad, están reemplazando los dispositivos portables usb (ya que son muy inseguros) por chips de almacenamiento biodegradables, incrustados al cuerpo... Desempolvaron a  Johnny Mnemonic.
¿En su opinión, cuál sería la mejor herramienta para anonimizar nuestras conexiones y gozar de privacidad; la No 1; la mero mero?
La que ni tú, ni yo, ni nadie conoce, excepto su creador y su círculo más cercano. Es por eso que la NSA y otras agencias de espionaje han tenido tanto éxito, ya que conocen las técnicas, métodos y herramientas que utilizan los demás, pero nadie conoce las suyas.
Pero Snowden los expuso…
El mérito de Snowden fue cuestionar. "Quis custodiet ipsos custodes" (¿Quién vigilará a los vigilantes?). Sin embargo tengo sentimientos encontrados con ese caso. Hay más ruido mediático que verdades y demasiadas preguntas sin responder. La prensa lo convirtió en un "update de James Bond" para vender sus editoriales y E.U. cayó en el juego... Tal vez por sus manos pasaron algunas "cositas", creyó que era la caja de Pandora y revolvió el avispero; y como estamos en pañales, este señor salió de la nada, botó la bomba (que encajó muy bien con las teorías conspirativas) y el mundo se rindió a sus pies... En tierra de ciegos, el tuerto es rey.
No sé los motivos que lo llevaron a hacerlo. No creo que haya sido la "libertad de expresión" o la "defensa de los derechos civiles"; mera demagogia barata... Tal vez su jefe lo fastidiaba mucho y quiso vengarse; quién sabe. Pero de lo que sí puedes estar convencido es que todo este circo es tan solo una pequeña "fracción de la verdad"... Este asunto me recuerda tanto la teoría del loco durante la guerra fría. Mucho bla, bla, sin nada tangible que lo respalde... Sin embargo, debo reconocer que estas declaraciones y las fulanas "evidencias" han desatado una ola de paranoia a nivel mundial que va a ser muy difícil de calmar, y más temprano que tarde, los países afectados intentarán reducir su dependencia tecnológica de las redes norteamericanas de telecomunicaciones y crearán su propia infraestructura interconectada... Un mundo sin la NSA... Suena poco probable pero nunca se sabe. Tal vez los norteamericanos, para evitar más escándalos, hagan lo mismo que hicieron los colombianos en su momento; le cambiarán el nombre a la NSA para dar la impresión de que la situación está bajo control; similar a lo que ocurrió en Colombia cuando estalló el caso de "las chuzadas". Le cambiaron el nombre a la unidad de inteligencia DAS por DNI y santo remedio, pero los delincuentes siguen activos al servicio del Estado.
Sin embargo, aclaro que la NSA no es el demonio que muchos creen, ya que esto es un problema de personas y no de instituciones. El hecho de que haya un par de hijos de puta en la NSA que hagan maldades no significa que la institución esté comprometida en actos delictivos. Hay mucha gente buena trabajando ahí y protegiendo a su país de amenazas.
Por lo que veo, estamos jodidos. Gobiernos y delincuentes espiándonos, los anonimizadores dan asco, y los sistemas actuales tampoco se salvan y distan mucho de ser efectivos
No hay que ser un genio para darse cuenta que los sistemas que controlan las redes corporativas y gubernamentales, toman sus decisiones y realizan sus procedimientos basados en lo que se conoce como whitelist y blacklist... El origen de todos los males... Que consiste en colocarse entre el terminal del lector y el que tiene la información, y como cada computadora usa una identificación (dirección IP y MAC), los administradores IT lo que hacen es identificar que sitios visita el usuario y luego crean una 'lista negra' con las url o ips que quieren censurar y una 'lista blanca' para lo que quieren excluir... Sencillo, ¿no?
Dios mío; perdónalos. No saben lo que hacen... Te lo explico de una manera más simple. La manera en que una organización aborda la defensa, la ofensiva (o ambas), es conocida de antemano por los criminales (y usuarios) y por tanto eventualmente pueden violarla. Ahora pregunto ¿Cuáles son las herramientas más comunes que usan los SysAdmins y expertos en ciberseguridad'... Enumeremos algunas. Firewall,  IDS/ IPS, WAF(web application firewall), NAC (network access control), Proxy, VPN, Anti-DDoS, MDM (Mobile Device Management), Burp, Owasp Zap, Metasploit, hotspot, honeynet, antivirus, antimalware, antiransomware, etc. Y cuáles son los procedimientos... Bloqueos por mime type u otros métodos, proxy con MITM, Firewall de Nueva Generación (NGFW), barrido de puertos con IDS u otros, supervisión de protocolos (TCP, UDP, DHCP, ARP y todo lo que termine en P), análisis forense del tráfico real (con herramientas como TCPdump, Wireshark,  Cisco Span, Sysinternals y un largo etc). Y aquí ocurren dos cosas. La primera es que tanta supervisión termina por ralentizar el tráfico, y si, por ejemplo, la velocidad de captura en modo promiscuo de nuestro adaptador de red es inferior a la del tráfico en tiempo real de la red, o esta tiene demasiadas conexiones concurrentes, se pueden perder grandes cantidades de datos. (ver Análisis Forense de una Red). La segunda (y la peor) es que estas herramientas también son del dominio de lo cibercriminales, cada día perfeccionan sus métodos para saltarse estos controles y evadir los censores. Lo curioso es que estas herramientas, a pesar de que muchas son libres, implementarlas no es barato, sin embargo es un sacrificio que los gobiernos y organizaciones están dispuestos a asumir con tal de mantener a los usuarios y criminales a raya. El ejemplo más clásico de despilfarro de billetes es el  Golden Shield (Gran Cortafuegos Chino), con un costo superior a los 800 millones de dólares.
La manera en que una organización aborda la defensa, la ofensiva (o ambas), es conocida de antemano por los criminales (y usuarios) y por tanto eventualmente pueden violarla.
¿Y cuál sería la alternativa para reemplazar estos sistemas por uno que pueda proteger a las organizaciones sin sacrificar la privacidad y el anonimato de los usuarios?
La pregunta del millón de dólares… Podría ser uno más dinámico e innovador, como los cuánticos u otros más avanzados; no lo sé... 
Pero sin importar cuál sea el candidato, dar este gran salto implicaría tirar billones de dólares a la basura, lo cual no va a suceder, al menos en ésta década, pero lo que sí podemos hacer es concebir mejores análisis de riesgos, para poder implementar procedimientos más efectivos, sin tener que joder a los usuarios ni sobrecargar los servidores con sistemas tan complejos y “pesados”, como los UTM… El primer paso para lograr el tan anhelado equilibrio de Nash.
¿Qué tipo de análisis de riesgos?
Un paso en la dirección correcta sería el uso del marco Cynefin; un framework creado por Dave Snowden (cualquier parecido con Edward Snowden es mera coincidencia), el cual se enfoca en la toma de decisiones en un sistema definido de riesgos, que usa la ciencia de la complejidad ( sistemas complejos) para poder tener nuevos puntos de vista, e interiorizar conceptos desde los más simples a los más complejos y sobre todas las cosas ' resolver problemas de una manera mucho más efectiva y tomar decisiones, desde contextos simples'
No veo cómo un marco de riesgos puede ser el instrumento para definir mis decisiones y de paso echar al piso todo un sistema preestablecido
A ver... Vamos por pasos... La acelerada masificación de la tecnología está actuando como el enemigo natural de las organizaciones, ya que no hay tiempo suficiente para absorber la actual, cuando la siguiente ya está a la vuelta de la esquina Esta aceleración trae consigo que los sistemas preestablecidos actúen 'después de' (y hasta "post-mortem") y no 'antes de', como debería ser... Esta es la razón principal del por qué los sistemas de seguridad actuales siempre están un paso atrás del cibercrimen. Anticipar los problemas debería ser el cimiento de cualquier organización, pero no es así, y es por eso que los 'Análisis de Riesgos' son deficientes.
Y si le sumamos las vulnerabilidades que traen 'de fábrica' el software y hardware que administran y operan en las diferentes organizaciones, el panorama es realmente sombrío.
El otro punto débil es la excesiva autodependencia que hemos creado de estos "sistemas malignos". Tal y como le dijo Morpheus a Neo en Matrix: ' ¿qué ves a tu alrededor; ejecutivos, maestros abogados, carpinteros?... Son las mentes de las personas (los usuarios) que tratamos de salvar (de los ciberdelincuentes), pero hasta lograrlo, esas personas son parte de ese sistema, por tanto, son el enemigo (...) tienes que entender que la gran mayoría no está lista para desconectarse y muchos están habituados y son tan desesperadamente dependientes del sistema, que pelearan por protegerlo (autodependencia)'
Sabemos desde hace muchos años que Windows es pura mierda, pero este año más del 90% de los ordenadores a nivel mundial utilizan este sistema operativo (y cada vez que Microsoft saca una nueva versión es peor que la anterior). También conocemos de antemano que Linux y OSX son susceptibles al malware y ciberataques, pero queremos pensar lo contrario. Que el software de nuestros smarthphones es una porquería, y whatsapp es lo más inseguro que existe, pero nos encanta mensajear y descargar cuanta aplicación esté de moda.
Cuando pequeños, nuestros abuelos nos decían: 'ten cuidado que la calle es peligrosa', pero hicimos caso omiso y ahora de adultos llegamos a las 4 a.m de la discoteca y decimos: 'la vida es muy corta y hay que aprovecharla'... Pero nos engañamos, porque siempre 'nos acordamos de Santa Bárbara cuando truena' (proverbio cubano); y en la discoteca, mientras nos divertíamos, un ciberdelincuente irrumpió en nuestro flamante iphone y nos dejó pelada nuestra cuenta bancaria. Y es en ese momento cuando "truena" y le reclamamos a todo el mundo menos a nosotros mismos, ya que durante años derivamos nuestra seguridad a terceros (la nube, el banco, en el técnico que vive en el barrio, el amante de mi mujer, en lo que dijo fulanito, experto en ciberseguridad con más de 200 años de experiencia en el sector, en el supercongreso internacional de pentesters "bla bla", cuando afirmó que había que instalar la aplicación XYZ en el smarthphone y que estaríamos "a salvo", pero resulta que 3 meses después, un niño de 12 años en China, violó la seguridad de la app "recomendada" y nos enteramos que el patrocinador le había pagado al "experto" para decir esa babosada, y por esta razón no pudimos pagar la cuenta de la discoteca (ni la hipoteca) y llegamos a las 4 a.m, después de haber lavado las copas, el retrete, recoger los desperdicios, condones usados y muchas otras cosas, que por vergüenza prefiero no citarlas.
Me recuerda el escándalo de Awesome Screenshot 
Hay miles de casos peores, como el del experto en ciberseguridad que vendía datos de 3000 personas y trabajaba para el CNI y la Unión Europea… Como dice el Corolario de Finagle: ' Algo que pueda ir mal, irá mal, en el peor momento posible' .
Este dilema (y el "polvero" levantado por Snowden) nos está llevando a tomar medidas tan extremas que rayan en la locura. Tal es el caso del reciente anuncio de Alemania, de resucitar las máquinas de escribir para proteger del espionaje documentos sensibles. Parece que a los alemanes se les olvidó que en la WW2 estos sistemas también fueron vulnerados y a los nazis les patearon el trasero... Pero si vamos a ir a los extremos, mejor acabemos con todo lo electrónico y listo...
Tomamos decisiones con lo que tenemos disponible a partir del análisis de una situación pre-existente; y a no ser que seas Nostradamus o un chamán del Amazonas, nadie en su sano juicio se atrevería a hacer un análisis de riesgo a partir de una situación inexistente, sin antecedentes; y si lo hace, pone su reputación en la guillotina. Es por eso que se necesita un nuevo marco para analizar los riesgos de las organizaciones. Una especie de bola de cristal que prediga el futuro, con poca o nula información de referencia.
Te pregunto... ¿Tienes una respuesta correcta para cada una de las situaciones que enfrentas diariamente?  
Sí... No... En realidad no lo sé
Esto sucede porque la mayoría no tiene la más mínima idea de su situación real y lo que sucede a su alrededor; y es lo primero que deberíamos definir; dónde estamos parados. Eso es lo que aborda el framework Cynefin.
Una vez tengamos claridad sobre este punto, sabremos con exactitud qué medidas adoptar, así no poseamos suficiente información.
¿Y cómo funciona?
Básicamente propone cinco áreas o dominios: Simple, Complicado, Complejo, Caótico o Desordenado. Luego compara las características de cada uno y establece una relación Causa-Efecto por dominio o situación dentro del dominio. Si quieres ahondar en el tema, puedes consultar el post Sistemas complejos adaptativos
La cosa es más o menos así. Tomemos el caso de mi prima, que lleva una "alegre vida callejera"... La idea Cynefin es que, para cada caso, se presentan situaciones, (como que alguien se exite cuanlo la vea con esa ropa que se pone y se propase con ella), con información disponible en mayor o menor grado (ella no sabe quién es el viejo verde, pero puede, o no, que el sujeto sepa que ella es una bandida); que requieren de decisiones y procedimientos específicos (le da una patada por las huevas, le pega con el tacón de su zapato en la cabeza, llama a la policía, sale corriendo, o... le gusta el sujeto o este le da algo de su medicina -$$$- y hacen el amor; en fin).
Si eres administrador IT de una organización con millones de terminales, en locaciones diferentes, con puntos abiertos al público, manejando proyectos reservados y comunitarios, requieres de un sistema flexible (lo cual es blanco de ciberataques), y como el tamaño de la organización es directamente proporcional a la cagada en seguridad, entonces debes saber exactamente cuál tu dominio y así evitar un mal rato.
Según coevolucion, "en el dominio Complicado es necesaria la investigación o la ayuda de personal experto. En las situaciones Complejas, la relación Causa-Efecto solo puede ser percibida en retrospectiva y en las situaciones Caóticas, no existe relación Causa-Efecto. Un ejemplo de Simple es la elaboración de una torta; como Complicado: el envío de un cohete a la Luna; y como Complejo: la crianza de un niño".  
Hay que aclarar que una situación determinada no siempre se ajusta a una sola categoría. Lo más frecuente es que una misma situación se presente en diferentes dominios. Esto no tiene tanta relevancia. Aquí lo determinante es evitar a toda costa que una situación simple o complicada se convierta en caótica.
¿Y si no tengo claridad sobre mi dominio?
Entonces estás en la zona del caos, también conocida como 'dominio desordenado', y puede presentarse una situación y no vas a poder medirla ni establecer la manera correcta de proceder. Esto es algo frecuente en gestión de redes. Por ejemplo, un administrador IT que no tenga idea cuál es el dominio de su organización, si se presenta un ataque de denegación de servicios, responderá en base a sus conocimientos y no de acuerdo al nivel de riesgos, lo cual conduce inevitablemente a la catastrofe, con las consecuencias que ya conocemos y que salen en la prensa diariamente (se robaron millones de tarjetas de crédito, irrumpieron en la base de datos de la empresa 'tal' y alteraron los registros, etc)
Aquí lo más acertado es hacerle caso a Martin Alaimo: "Si nos encontráramos en el espacio desordenado, todo lo que hagamos debe estar enfocado netamente a salirnos de ese espacio hacia uno mejor identificado, para luego actuar de la manera en que dicho dominio lo requiera".
Es por esto que a las organizaciones y gobiernos les resulta tan difícil combatir el cibercrimen sin violar la privacidad y el anonimato de los usuarios. Sus planes de contingencia y análisis de riesgos se basan en las experiencias personales y el nivel de conocimientos de sus creadores, que toman como base modelos estadísticos que predicen los escenarios futuros a partir de información del pasado y del presente. Y como este modelo dista mucho de poder comprobar realmente un evento inmediato o futuro, del cual no sabemos nada, no hay un dominio claro y ningún administrador IT es brujo, la solución más expedita es vigilar a todo el mundo y santo remedio.
Pero tranquilo. Parece que el mundo aún no está listo para abandonar sus viejas prácticas. Al contrario; estos sistemas están evolucionando hacia algo mucho más maligno.
No me asustes... ¿Hacia qué?
Al cumplimiento de la profecía Maya del fin del mundo
Pero eso fue en el 2012 y estamos en el 2014
Mmm… Tengo que actualizar mi calendario de profecías extremas... Bueno, en cualquier caso, esta guerra ya tiene un nuevo frente de batalla. Una de las afirmaciones más perturbadoras que he escuchado sobre la evolución de estos sistemas, son las declaraciones del periodista de RTVE, Pepe Cervera, cuando sostuvo: 'diversas empresas de tecnología están desarrollando una capacidad llamada Deep Packet Inspection (DPI, inspección profunda de paquetes), mediante la que el contenido de las comunicaciones de Internet puede ser leído y filtrado en tiempo real. Esto permitiría una censura basada en el contenido que haría inútiles los actuales métodos para esquivar los bloqueos y si llegara a ser una realidad ampliamente extendida, las repercusiones irían mucho más allá de su impacto en la neutralidad de Internet; podría transformarse en una muy potente herramienta censora casi insalvable' .
Esta tecnología fue aprobada por la ITU en el 2012, mediante el estándar Y.2770 y es la nueva arma contra los anonimizadores (y contra todo el que utilice internet). Un conjunto de técnicas que se dedican a "clasificar" o más bien, decidir por nosotros, lo que es bueno o malo de ver en la red. La censura en su máxima expresión. Ya te imaginarás las cosas horribles que se pueden hacer con esta tecnología. Y a pesar de ser incipiente y de presentar algunos inconvenientes, es lo que nos depara el futuro inmediato... El nuevo juguete para combatir el terrorismo, la cibercriminalidad y llevarse por delante a todo el mundo en el proceso.
Entonces, nos jodimos
Sí, pero hay una contra-parte. El que inventó la ley inventó la trampa, y la ley de la compensación existe, pero para mal... La próxima generación de herramientas para el anonimato serán mucho más sofisticadas y portables, capaces de engañar al firmware de los terminales, routers y demás dispositivos de comunicaciones, gracias a la ingeniería inversa, para utilizarlos como pasarela y así poder establecer comunicaciones con el exterior; pero desgraciadamente los cibercriminales aprovecharán esta vulnerabilidad para crear una nueva raza de malware que alterará el funcionamiento de estos equipos, y las futuras oleadas de ciberataques, ya no serán de denegación de servicios, sino contra el firmware de cualquier dispositivo electrónico.
¿Quién cree que ganará esta guerra?
Te pongo un ejemplo: Sí mañana los gobiernos decidieran presionar a los creadores de la red  Tor para que acabara con el nido de ratas y los expulsara de su "cebolla", exponiéndolos ante las autoridades, los cibercriminales se las ingeniarían para crear otra deepweb, mucho más profunda e impenetrable (si no es que ya existe y no nos hemos enterado), porque tienen recursos económicos ilimitados y pueden contratar las mentes más brillantes para crearla... 
Si la ley no ha podido acabar con la criminalidad en las calles, que te hace pensar que lo puede hacer en Internet.
La naturaleza humana es tomar ventaja de la posición en la que nos encontramos para obtener un beneficio, sin importar cuál sea; y como cada vez estamos más arraigados a este sistema diabólico, y la corrupción e impunidad aumentan a pasos agigantados, todo se resume al nivel de adaptación que tengamos en las decisiones que tomamos diariamente que involucran riesgo; un nivel determinado por la teoría prospectiva... Administradores TI versus cibercriminales, donde prevalecerá el que más habilidades tenga.
Entonces, como mencionas, siempre ganarán los criminales, porque llevan la delantera
Más bien perdemos los usuarios de bien, que pagamos impuestos y llevamos una vida apartada del bajo mundo, porque constantemente nos esculcan nuestra vida privada, con el pretexto de asegurarse que no seamos parientes de Bin Laden o tengamos un primo talibán.
Nuestra vida digital es redefinida cada día por una manada de malnacidos, fuera de nuestro alcance y no podemos hacer nada al respecto, salvo ser espectadores y ver los aviones caer como moscas y sus equipos satelitales comprometidos, mientras en  BlackHat un joven explica cómo hacerlo con un WiFi casero. O ser blanco de  robo de información y malware a través de nuestras memorias usb, ya que las metemos "sin condón" en cualquier PC; o ser “capados”, como los marranos, por nuestras organizaciones y gobiernos, al restringir nuestra vida en la red.
Es algo muy frustrante
'Powerless' (impotente) diría yo... Vivimos en la era de la posverdad, dominada por políticos y empresarios vendehúmos, que delegan la administración en una caterva de malparidos chupasangre. Y no intentes suicidarte después de esta entrevista, porque después de muerto seguirán usando tus datos para cometer delitos.
Pero como le dijo  Neo al Arquitecto: ' el problema es la elección'... No existen tecnologías buenas o malas, sino gente buena o mala; y todo se reduce al uso que le demos y las decisiones que tomemos, ya que ' el sol sale cada día para justos y pecadores ' (Mt 5:45)

Lea la nueva entrevista del DrX  A man's gotta do...
Con la tecnología de Blogger.