Buscar este blog

jueves, 12 de noviembre de 2015

Nuevo reporte 2015 sobre el uso de gobiernos de FinFisher para espiar

Hace algunos días, CitizenLab presentó su tercer reporte sobre uso del software de espionaje FinFisher, el cual revela que 32 países en el mundo estarían usando FinFisher para espiar a su población, incluyendo algunos que no habían aparecido en reportes anteriores, entre ellos España, Paraguay y Venezuela.
 
20151103 Spyware
 
 ¿Qué es FinFisher?
 
FinFisher es una suite de spyware, creada y comercializada por la empresa Gamma International, cuyo cliente exclusivo son los gobiernos. FinFisher es comercializado como un software con fines de inteligencia y seguridad nacional. El programa se instala inadvertidamente en las computadoras, teléfonos celulares y otros dispositivos de las víctimas, a través de un software que se hace pasar por otro -por ejemplo, una extensión del navegador.
 
A pesar de que el software se presenta a sí mismo como una herramienta para la lucha contra el crimen, existe amplia evidencia de que es usado principalmente para investigar y atacar a disidentes. Por ejemplo, el gobierno de Bahréin usó FinFisher para vigilar a algunos de los bufetes, activistas, periodistas y líderes de la oposición más destacados. En México, investigaciones revelaron que ha sido usado por la Secretaría de Seguridad Pública, la Procuraduría General de la República, el Centro de Investigación y Seguridad Nacional y el Estado Mayor Presidencial.
 
Si sientes que estás en una película de Hollywood, agárrate del teclado: el software tiene la capacidad de capturar imágenes de las pantallas de los dispositivos, encender cámaras y micrófonos, almacenar las pulsaciones del teclado y grabar las llamadas de teléfono y de Skype. También puede descargar fotos, contactos, archivos, correos electrónicos y mensajes de texto.
 
¿Cómo funciona?
 
Cuando un gobierno compra FinFisher, recibe un servidor de control llamado FinSpy Master, que es instalado en la sede de la propia entidad. Luego de esto, pueden configurar proxis anonimizadores (conocidos como “FinSpy Relays”) con la finalidad de ocultar la ubicación del servidor de control. Las computadoras infectadas se comunican con los proxis anonimizadores, que usualmente están localizados en un Servidor Privado Virtual en otro país, y que reenvía entonces las comunicaciones entre los dispositivos de la víctima y el servidor de control.
 
Los investigadores de CitizenLab, a través de una serie sistemática de consultas a los servidores de anonimización, encontraron que éstos podían revelar la ubicación del servidor maestro, cuando las páginas devueltas por estas solicitudes contenían datos de localización (por ejemplo, algunas páginas de Google que incluyen pronósticos del clima localizados geográficamente).
 
En 2013, Gamma fue señalada como uno de los “enemigos de Internet” en el reporte periódico de Periodistas Sin Fronteras. El mismo año, Firefox denunció que Gamma estaba haciendo pasar su software por un producto de Mozilla para evitar ser detectado, táctica que describieron como abusiva.
A pesar del hackeo sufrido en 2014, el reporte de CitizenLab ha encontrado que existen en la actualidad más servidores de FinFisher en más países que en cualquier ronda previa de investigación. Aunado a este crecimiento, han encontrado nuevos clientes, que no aparecían anteriormente ni en los informes de CitizenLab ni en ninguna de las revelaciones de Wikileaks: Angola, Egipto, Gabón, Jordania, Kazajstán, Kenia, Líbano, Marruecos, Omán, Paraguay, Arabia Saudita, Eslovenia, Taiwán, Turquía y Venezuela.
 
Intercepción de tráfico de Venezuela vía Lituania
 
Un número significativo de servidores de FinFisher que CitizenLab pudo detectar, usaron www.Yahoo.com como página de señuelo. Si bien, CitizenLab no pudo encontrar manera de detectar la dirección IP exacta de los servidores de FinFisher que falsifican el tráfico de www.Yahoo.com, sí pudo recuperar la información personalizada que Yahoo manda al navegador del usuario dependiendo de su ubicación geográfica, al examinar el contenido del objeto “userLocation” en la data que de allí proviene. Yahoo utiliza la ubicación del usuario para mostrarle contenido personalizado como información del clima y noticias locales.
Basado en esto, CitizenLab pudo determinar que el objeto “userLocation” enviado desde la dirección 185.8.106.xxx (en Lithuania) es:

“userLocation”:
{“woeid”:395269,
“zip”:”Caracas”,
“city”:”Caracas”,
“state”:”Distrito Federal”,
“country”:”Venezuela”,
“countryCode”:”VE”,
…}

De forma que un servidor ubicado en Lituania, sirve como “intermediario” o “proxy” para cierto servidor maestro ubicado en Venezuela. Ello significa que conexiones de usuarios en Venezuela hacia Yahoo.com, podrían ser reenviadas hacia Lituania, antes de ir a los servidores de Yahoo, con lo cual, la data (incluyendo contraseñas) puede ser interceptada y analizada sin que el usuario tenga conocimiento de ello.

Si bien CitizenLab señala que probablemente no estén detectando todas las instalaciones existentes de FinFisher, el nuevo reporte ha mejorado su capacidad de detectar instalaciones y de atribuir algunos de los servidores a instituciones específicas de ciertos gobiernos. Esto debería facilitar a los activistas que trabajan en el área de políticas públicas en estos países, exigir responsabilidad y rendición de cuentas a sus instituciones, presentar solicitudes de información e investigar qué agencias están usando este software, cuánto dinero se invirtió en él y con qué fines.
 
FinFisher no es detectable por los antivirus tradicionales. Si piensas que podrías estar siendo rastreado, existe una herramienta llamada Detekt que, aunque no es infalible, puede ayudar a averiguar si en tu ordenador existe software espía como el desarrollado por Gamma o por Hacking Team. Sea como sea, si estás en uno de los países que aparecen en la lista de CitizenLab, no está de más tomar medidas adicionales de seguridad, como usar cifrado PGP en tus comunicaciones.