surveillance states: colombian chapter
TRANSCRIPT
Surveillance States
Colombian Chapter
DragonJar Security Conference 2014
Andrés Gómez@kuronosec
whoami
● Ingeniero de Sistemas UdeA.● Estudiante de doctorado Frankfurt.● Miembro ALICE collaboration, CERN.● Investigador en seguridad.● Chaos Computer Club.● Colaborador Tails Live System.
Agenda
● Panorama mundial espionaje masivo.● Relación con Colombia.● Interceptaciones judiciales.● Inteligencia.● Contramedidas.● Conclusiones.
Panorama Mundial
Surveillance States - Vigilancia Masiva
Estados enemigos de Internet
● Bahrain.● China.● Iran.● Syria.● Vietnam.
El gran firewall Chino
PRISM
SSL added and removed here! :)
Merkel se enoja con Obama...
Colombia – Interceptaciones judiciales
● Ley de protección de datos.
● Decreto de backdoor en ISP.
PUMAPlataforma única de monitoreo y análisis
PUMA● Adquisición de un módulo de monitoreo de voz y datos móviles.●Adquisición de un módulo de datos de ISP.●Adquisición de un módulo de localización de objetivos.●Esta plataforma tendrá la capacidad de analizar cerca de 20000 objetivos de telecomunicaciones con una escalabilidad de 100000 objetivos.
PUMA
● Compañía comercial curacao de Colombia S.A.● Verint systems ltd (Israel).● Software RELIANT Versión 10.1.● IP-Probe Passive Interception.● Servidor de interfaz WEB AGS.
PUMA - Legislación●La policía nacional ejerce funciones permanentes de policía judicial, por lo tanto es una de las autoridades competentes, para la operación técnica de las interceptaciones.● La fiscalía puede ordenar la realización arbitraria de interceptaciones. El control por parte del juez se hace “después” de que se recolectan la pruebas.● Comúnmente el juez debería ordenar las interceptaciones.
INTELIGENCIA
● Ley de Inteligencia 2013.● Las ISP no pueden proveer servicios de voz cifrados.●El monitoreo no constituye interceptación de comunicaciones.●No hay límites judiciales para actividades de inteligencia. Información de operaciones totalmente confidencial.
Esperanza - DAS
● Diseño e instalación de un plan de inteligencia policial. (2006)● Adquisición del módulo de monitoreo activo de Internet por ISP acoplado al sistema integrado de grabación digital.● Adquisición de un equipo de monitoreo de GSM. ● Switch Esperanza. ● Mínimo un millón de sesiones.● Reliant para ISPs, Verint Systems Ltd.
Esperanza – VERINT SYSTEMS LTD
Esperanza – Vantage
● Monitoreo pasivo en todo tipo de redes.● Interceptación masiva.● Recopilación e indexación de aproximadamente
dos millones de mensajes de correo electrónico por día.
● Interceptación de hasta 100 millones de registros CDR en la red por día, los que se almacenan durante un año.
● Recopilación e indexación de 20 millones de mensajes SMS por día.
● VANTAGE analiza TODO el tráfico de red a medida que las comunicaciones atraviesan la sonda.
Esperanza – Vantage
● Monitoreo centrado en objetivos – para capturar selectivamente las comunicaciones específicas de un objetivo o usuario conocido (número de interés).
● Monitoreo centrado en datos – filtrado y análisis de cantidades masivas de datos interceptados, como por ejemplo: Definición de filtros complejos para detectar actividad sospechosa en la red e identificar objetivos desconocidos.
Deep Packet Inspection – CLARO, Movistar, UNE.
NSA X-KEYSCORE Server Sites
The Wikileaks Spy Files
Mapping HackingTeam’s “Untraceable” Spyware
HackingTeam Spyware
Servidor en Colombia: 190.242.96.49
Andrómeda - Buggly
CONTRAMEDIDAS
CONTRAMEDIDAS
CONTRAMEDIDAS
Telefonía: whispersystems.
Navegación: TOR project.
TAILS - Privacy for anyone anywhere
The amnesic incognito live system
TAILS - Privacy for anyone anywhere
The amnesic incognito live system
TAILS - Privacy for anyone anywhere
TAILS - Privacy for anyone anywhere
SECUREDROP – Protección de informantes periodísticos
El futuro – Organizaciones autónomas distribuidas
Maidsafe
Ethereum
Bitcloud
Conclusiones:● Debemos asumir que todas nuestras comunicaciones son interceptadas y procesadas.● Supuesta lucha entre seguridad y derechos humanos, perdida en favor de la seguridad.¿En realidad mejora la seguridad?● Aun así la privacidad sigue siendo un derecho fundamental constitucional y universal.● Podemos protegernos con tecnología.● Podemos protegernos con leyes.
