SIRIA

Siria, ya cualifica como “Enemigo de Intern- te”, por Reporteros Sin Fronteras, ha ido refor- zando la censura y la vigilancia en Internet a medida que se ha ido acentuando el conflicto. Desde el inicio de la sublevación popular, el 15 de marzo de 2011, el régimen ha utilizado to- dos los medios necesarios para tratar de impe- dir la difusión de imágenes e información sobre la represión. Gracias a una arquitectura cen- tralizada, el gobierno sirio tiene la capacidad de aislar al país del resto del mundo, como lo hizo el 29 de noviembre de 2012.

Vigilancia en la red

La red siria de Internet está controlada por dos entidades: La Syrian Computer Society (SCS) y la Syrian Telecommunications Stablishment (STE). La primera, fundada por Bachar Al-As- sad, aporta una infraestructura 3G a todo el territorio sirio.

Situada bajo la tutela del Ministerio de las Te- lecomunicaciones y de las Tecnologías, la se- gunda, la STE, controla la mayoría de las co- nexiones fijas. Pone su cableado a disposición de los otros operadores, por ADSL o por línea fija de módem 56kb. Gestiona también todos

los puntos de conexión del país con el sistema mundial de Internet. Cuando las autoridades ordenan el bloqueo de una palabra clave, de una URL, o de una web, la STE es la que trans- mite las instrucciones a los operadores.

Reporteros Sin Fronteras ha encontrado un do- cumento inédito, una oferta publicada en 1999 por la STE para la puesta en marcha de la red nacional de Internet en Siria. Leyendo este documento aparece claramente que la red de Intenet siria está concebida en origen para in- tegrar herramientas de filtrado y vigilancia de contenidos.

La descripción general del proyecto precisa que la STE será la única estructura que asegu- relaconexiónconInternet. Estedocumento contempla que el futuro proveedor implante mecanismos de filtrado y vigilancia de conte- nidos de Interntet en el corazón de la red. El capítulo “Monitoring System”, detalla los me- canismos de vigilancia que la STE pondría en marcha, donde la totalidad de los contenidos de los buscadores deberían estar almacenados al menos durante un mes.

 

En la misma sección figura el conjunto de acti- vidades a vigilar:

• Elsistemadebepoderregistrarlasactivida- des en Internet y fuera de la red VOIP, chat, surf y email, de 60 individuos localizados.

• Debe proporcionar una copia del con- junto de correos electrónicos intercam- biados en Siria.

• Debe registrar todas las URLs de las páginas web visitadas.

• Y debe poder vigilar de manera aleato- ria el contenido de mensajes de fórums, que a su vez deben estar asociados al verdadero nombre de sus usuarios.

• Los Grupos de Noticias, poco utiliza- dos hoy en día, pero muy corrientes en 1999, estaban también dentro del perí- metro de vigilancia del régimen.

Sobre las conexiones cifradas el docu- mento contempla también la descripción en detalle de las posibilidades de inter- ceptación de y bloqueo de todo dato ci- frado.

Si es imposible saber si el sistema utili-

zado en Siria desde el principio del año 2000 responde punto por punto al documento anteriormente citado, en todo caso dicho do- cumento demuestra una voluntad feroz de las autoridades sirias de vigilar Internet.

Perfeccionamiento de los medios de filtrado y vigilancia

En 2011 las autoridades añadieron nuevas tec- nologías a su dispositivo de vigilancia. La web Reflets.info, en colaboración con el grupo de activistas Telecomix y el portal tunecino Fhi- mt.com, revelaron la presencia de servidores (proxy) Blue Coat en Siria, y publicaron las pruebas de ello en sus páginas web.

En un primer momento Blue Coat negó haber vendió proxys al gobierno sirio. Pero, después de la publicación de las pruebas, admitió la presencia de al menos 13 de sus servidores en Siria, al parecer vendidos por una sociedad ca- pacitada para vender e instalar productos Bloe Coat desde Dubai. En diciembre de 2011, la empresa Blue Coat declaró finalmente no dis- tribuir ni soportes ni actualizaciones para los servidores instalados en Siria y no disponer de medios para desactivar sus servidores a dis- tancia. Según pruebas llevadas a cabo en julio de 2012, por el Citizen Lab, los servidores Blue Coat sirios no se comunican con la casa madre, lo que acredita la versión de la empresa.

Ataques “Man in the Middle”

En febrero de 2011, coincidiendo con el co- mienzo de la Primavera Árabe, el gobierno si- rio hizo accesible Youtube, Facebook y Twitter, que, habiendo estado bloqueados desde hacía años, permitieron movilizarse a los tunecinos y egipcios.

En mayo de 2011, la ONG Electronic Frontier Foundation, informó de un primer ataque “Man in the Middle” contra los usuarios sirios que se conectaban en la versión segura de Facebook.

Los internautas que se conectaban a Facebook vieron aparecer en su navegador una alerta de seguridad que les indicaba que el certificado (el documento que identifica la identidad de un sitio) no era válido. Los que se conectaron a su cuenta sin hacer caso a esta adverten- cia, permitieron a los atacantes hacerse con su nombre de usuario y contraseña.

En julio de 2011, la sociedad editora del cer- tificado, Diginotar, detecta una intrusión en su red.

Entre julio y agosto de 2011, el grupo hackers activistas Telecomix lanza la operación OPSyria

y recupera más de 54Go de informaciones so- bre el funcionamiento de los servidores Blue Coat.

En agosto de 2011, las versiones https de Fa- cebook y de Yahoo, fueron bloqueadas en Siria y automáticamente redirigidas hacia versiones no seguras http (forzando así a los internautas a dar sus contraseñas). En este tipo de ma- niobras el único índice que permite verificar que las contraseñas están cifradas cuando se envían en Internet es la letra “s” en url, y el símbolo de una cadena al lado. Los internautas menos atentos caen en la trampa.

A finales de agosto de 2011, Google detecta la utilización de un certificado DigiNotar fraudu- lento en Irán.

Los ficheros recuperdos por la operación OP- Syria permiten suponer que las autoridades si- rias utilizan ataques “Man in the Middle” muy evolucionados. Los periodos de conexión de los servidores Blue Coat no deberían normalmen- te registrar informaciones cuando un internuta accede a un sitio seguro (https), sin embargo, cuando se accede a los sitios más consultados en Siria, estos periodos de conexión revelan

que los servidores Blue Coat han registrado un número anormalmente elevado de informacio- nes no accesibles en tiempo normal ya que es- tám cifradas. Esto está probablemente unido al robo de certificados de la sociedad DigiNotar.

Tiro al blanco

Las armas infromáticas del régimen sirio no se limitan al mero análisis del tráfico en Internet. Bloomberg y Citizen Lab han informado de los métodos de vigilancia apurados de las autori- dades sirias.

Un caso emblemático: Karim Taymour

En su artúculo “Hackers in Damascus”, el pe- riodista de Bloomberg, Stefan Faris, detalla el caso de Karim Taymour, un activista sirio de- tenido y torturado por el régimen. El 26 de diciembre de 2011, mientras se dirigía a una cita con uno de sus contactos, Katim Taymour fue detenido por las fuerzas de policía sirias. La cita la había concertado esa misma mañana por Skype, pero las autoridades estaban al co- rriente. Karim pasó 71 días detenido. Durante su interrogatorio se negó a desvelar sus acti-

vidades y contactos, pero le presentaron más de 1000 páginas detallando conversaciones y ficherosintercambiadosporSkype.Apesarde laresistenciaqueopusoasuscarceleros,lo cierto que es éstos ya tenían suficiente infor- mación por su ordenador.

En enero de 2012, un mes después de la pues- ta en libertad de Karim Taymour, Morgan Mar- quis Boire, un experto en seguridad de Google, recuperóelordenadordeunmiembrodeuna ONG en Siria que desconfiaba que su material estaba infectado. Tras un exhaustivo análisis, Marquis descubrió que el ordenador había sido intervenido una primera vez, el 26 de diciem- bre, horas después de la detención de Karim. El software espía fue transmitido a este miem- bro de la ONG por un mensaje de Skype en- viadoporKarimTaymour.Elsoftwareestaba camuflado en un documento que Karim había terminado la víspera de su detención.

“Phishing” e ingenieria social

El caso de Karim Taymour es representativo de los métodos utilizados por el régimen sirio para vigilarydeteneralosinternautas.Esesquema de ataque es siempre el mismo: durante una

conversación, un contacto propone a su inter- locutor que cargue un video, un documento o unaimagen.Ellinkpropuestoesunsoftware espíaque,encuantosepincha,seinstalaen el ordenador. Las cuentas Skype utilizadas son las de ciudadanos detenidos o cuyo ordenador ha sido infectado y se crean cuentas especiales para cazar a los internautas.

La campaña de infección “Blackshade”, lleva- daacaboapartirdejuniode2012,enSiria, fue descubierta gracias a un mensaje enviado desde una cuenta de Skype a un miembro de la oposición siria.

La traducción del mensaje decía: “Hay alguien que te detesta y que no deja de hablar de ti. Tengo un registro de la conversación, debe- rías desconfiar de esta persona porque te co- nocepersonalmente.Heaquíelregistrodela conversación”. Cuando el internauta pincha el “malware” se instala sobre el ordenador de la víctima.

El régimen utiliza también ataques de tipo “phishing”. Un tipo de ataque que consiste en colocar una copia de un sitio conocido, como Youtube o Facebook, que pide al internauta aportarinformacionespersonalespormotivos aparentemente creíbles. Se le propone poner

aldíasuperfiloaceptarunanuevapolíticade confidencialidad.

En marzo, una falsa página de Youtube, que supuestamente tenía vídeos de la oposición, pedía a los internautas entregar su contrase- ñaparaañadircomentarios.Además,permitía instalar un software espía solicitando a los vi- sitantes cargar una puesta apunto del Adobe Flash.

En abril de 2012, el EFF registró al menos cin- co intentos de “phishing” hacia usuarios de Facebook. Uno de ellos consistía en mensajes publicados en las cuentas de Facebook de lí- deres de la oposición siria, entre ellos Burhan Ghalioun. Pinchar sobre los links dejados en estas páginas enviaba hacia una falsa página de Facebook que proponía instalar una aplica- ción, FacebookWebBrowser.exe, supuestamen- te destinada a la mejora de la seguridad de las cuentas de Facebook. FacebookWebBrow- ser.exe es un software espía que permite re- cuperartodosloscaracteresmarcadosenun teclado y robar los nombres de usuario y con- traseñas de cuentas, email, Youybe, Facebook y Skype.

Enagostode2012,elEFFidentificóunanueva ola de difusión del software espía bajo la forma de un programa llamado Antihacker, que su- puestamente protegía al ordenador donde se instalaba. Antihacker no es software espía en sí mismo, sino que, una vez instalado, insta- laenelordenadordelavíctimaunaversión de DarkComet, un software capaz de registrar imágenes de la webcam del ordenador, des- activar las notificaciones de ciertos antivirus, registrar los golpes de teclado y recuperar las contraseñas.

La mayor parte de los ataques han sido rea- lizados con al ayuda de los mismos softwares espías: DarkComet o BlackShade. Una vez ins- talados sobre un ordenador o un teléfono, per- miten tener acceso a la webcam, contraseñas de las cuentas, correos electrónicos, Youtube, Facebook, conversaciones de Skype o golpes de teclado. Las informaciones recuperadas son enviadas hacia servidores cuya dirección está situada en Siria, lo que hace suponer que estos ataquesprovienendelmismo“ciberejército” sirio.

Este grupo progubernamental estaría igual- mente en el origen de la falsa página Youtube

que ha servido para el ataque “phishing” des- critoanteriormente.Enjuliode2012,difundió 11.000 nombres y contraseñas de “apoyantes de la ONU”. Según algunos expertos, este gru- po paramilitar trabaja en estrecha colabora- ción con los servicios secretos sirios.

Posibles soluciones técnicas

La primera medida a tomar en Siria es pro- teger los ordenadores de softwares malignos. Para hacerlo hay que respetar algunos conse- jos de base:

• No instalar ningún software recibido por co- rreo electrónico.

• No instalar ningún software, excepto aque- llos de un sitio “https”, donde el riesgo de usur- pación de identidad está muy reducido

• No instalar ningún software que provenga de una fuente que no sea familiar, incluso si la instalación está recomendada por una ventana emergente.

• Hacer sistemáticamente actualizaciones del sistema y de los softwares instalados.

•NoutilizarInternetexplorerparanavegar en Internet. Siendo este navegador uno de los más utilizados, es también el más atacado. Es preferible el uso de Firefox o Chrome.

• Erradicar softwares malignos: Siendo DarkComet uno de los peores hay softwares que permiten destruirle. El EFF ha publicado una guía que permite suprimir softwares es- pías muy utilizados: Xterm Rat.

• Proteger la navegación en Internet y prevenir Mitim: Existen soluciones que permiten prote- gerse contra los ataques Mitim. La más sim- ple es ignorar las advertencias de seguridad del navegador de Internet cuando se conec- ta a un sitio “https”. Existen extensiones para los navegadores Chrome y Firefox que permi- ten detectar los ataques Mitim como “https everuwhere”.

Esta extensión comprueba si existe una ver- sión https (cifrada) para cada sitio y en su caso le redirige hacia ella. Pueden darse entonces varios escenarios:

-Si hay un intento de “phishing”, los que hayan instalado esta extensión serán redirigidos ha- cia la versión https del sitio.

-Si el ataque es básico, el internauta es redi- rigido hacia la verdadera versión https de Fa- cebook. -Si el ataque es elaborado, los internautas re- cibenunaalertadeseguridadquelesindica que el sitio en cuestión no es el que dice ser. -Si el ataque es muy elaborado, y los atacan- teshanconseguidocomprometerelcertificado de Facebook, entonces es necesario verificar manualmente la autenticidad del certificado. “https everuwhere” es útil en el uso cotidiano. Cada vez que se envían datos en Internet uti- lizando un formulario es indispensable utilizar protocolos https. Si no se hace, todos sus da- tos se transmiten sin cifrar con el riesgo que ellos comporta.

• Certificate Patrol: Esta extensión verifica los certificados. Advierte al usuario si detecta un cambio de certificado y es indispensable contra ataques “Man in the Middle”.

VPN y Tor

La utilización de VPNs y de Tor, si es posible, es un medio eficaz de prevenir ataques “phishing” o “mitin”. Utilizando Tor o VPNs el internauta no navega sobre la res Siria, sino sobre su punto de partida en Suecia o en Estados Unidos, li-

brándose así de los ataques llevados a cabo en la red siria. El uso de VPNs y Tor es un buen medios de librarse de la vigilancia de la red, ya que ocultan la dirección IP de los usuarios. Finalmente,lasoluciónVPNtieneunaventaja suplementaria, puesto que el tráfico enviado, cuando se utiliza, está cifrado, contrariamente alaredTor,queloúnicoquehacees“anoni- mizar” al internauta.