Black Hat USA 2024: cómo las aplicaciones más descargadas ocultan su falta de privacidad
Segunda charla de la conferencia de ciberseguridad, desde Las Vegas. Esta vez, un "fireside chat" entre Jeff Moss y Moxie Marlinspike, fundador de Signal.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
Edición especial - Cobertura Black Hat USA 2024 y DEF CON 32 desde Las Vegas, Nevada.
9 ago
⚡ TL;DR
“Moxie es uno de los pocos criptógrafos que entiendo cuando hablan”. Así presentó Jeff Moss (The Dark Tangent) a Moxie Marlinspike, fundador de la app de mensajería Signal, durante la segunda charla principal de la edición 2024 de Black Hat USA.
Luego de la charla sobre elecciones de ayer, Moss y Marlinspike hicieron un fireside chat luego de una presentación del creador de Signal que se vio interrumpida de manera permanente por un “black screen” que aparecía en su presentación. Siempre que falla algo en una conferencia tech, el guión de los presentadores se termina escribiendo solo.
Moxie es un personaje bastante particular, con una vida pública muy activa y actividades excéntricas, recorridas por diversos puntos del globo y alguna que otra conferencia sobre privacidad. Su presencia le agregó valor a esta edición 2024 de Black Hat en Las Vegas.
El highlight del día fue que Mikko Hyppönen, eminencia de la ciberseguridad, estuvo por la feria firmando libros y hasta trajo punch cards de los 80 para regalar, también con su firma. Me guardé dos para regalar a dos fuentes que consulto de manera regular, a modo de agradecimiento (aunque no sea suficiente) pero, lo más importante, le pregunté a Mikko si podía hacerle una entrevista on-the-go. “Absolutely, let’s talk”, dijo en su inglés-finlandés. Más tarde dio una charla en el Mob Museum, a la cual me acredité y pude ir. Y fue una buena excusa para conocer este particular museo.
Por una cuestión de tiempos, me estoy llevando material a Buenos Aires para trabajar un poco más tranquilo: nadie ni nada apura una entrevista con Mikko, como tampoco hay apuro para escribir sobre otros temas que pude charlar con researchers puntuales que presentaron excelentes trabajos. Ya iré publicando las semanas siguientes.
Además, recorrí un poco más de la feria, dejo un slideshow con algunos detalles para tener un poco más del feel de los stands y las distintas presentaciones que se hacen en el hall principal.
Hoy empieza DEF CON, así que migramos de la temática corpo a la comunidad.
Dark News #95
Leer este correo te va a llevar 12 minutos.
Con años de experiencia en diagnóstico y solución de problemas IT, Buanzo Consulting trabaja en la detección temprana de vulnerabilidades y fallos en redes. Con experiencia en el mundo del código abierto y la innovación, ofrece consultoría orientada a soluciones precisas y personalizadas, asegurando que los proyectos no sólo sobrevivan, sino que prosperen.
📲 “Muchas aplicaciones no buscan tener esa consistencia entre cómo se ven y cómo funcionan”
“La privacidad de una aplicación significa que lo que se ve en la pantalla sea transparente con el usuario. Si enviás un mensaje a una persona, sólo esa persona tiene que ver el mensaje. Y creo que muchas aplicaciones no buscan tener esa consistencia entre cómo se ven y cómo funcionan”, dijo Moxie Marlinspike, fundador de la aplicación de mensajería Signal y uno de los creadores de los mensajes encriptados en aplicaciones de chat. Fue en el segundo día de la edición 2024 de la conferencia de ciberseguridad Black Hat USA.
Marlinspike dio una charla en la que repasó distintas maneras de pensar a la tecnología y las aplicaciones junto a Jeff Moss, fundador de Black Hat y DEF CON, dos de las conferencias de hackers más importantes del mundo. Ambos investigadores debatieron sobre las dificultades del equilibrio entre seguridad y privacidad, además de por qué el cuidado de la información personal debe ser tan importante para grandes empresas como Google, Meta, Amazon y Microsoft.
“Moxie es uno de los pocos criptógrafos que entiendo cuando hablan”, dijo Moss, que tiene una amplia trayectoria en ciberseguridad, durante la presentación de Marlinspike. Signal está considerada como una de las aplicaciones de chat más seguras y privadas, además de tener una política de privacidad que asegura no guardar los mensajes en sus servidores si el usuario los elimina (algo que es discutible en Telegram y WhatsApp).
“El objetivo de un proyecto de privacidad es hacer que el software se vea de la misma forma en la que funciona. Si tenés una aplicación de mensajería, ¿cómo opera? Tipeás un mensaje, lo enviás y ese mensaje lo ve la persona que lo recibe. El problema es que en el pasado esto no funcionaba así: muchas personas podían acceder a ese mensaje”, explicó el especialista.
Su referencia tuvo que ver con que WhatsApp adoptó el cifrado de mensajes de punta a punta (es decir, que sólo los interlocutores puedan ver los mensajes) en 2016, más de 15 años después de que la aplicación ya fuera usada de manera masiva.
“Si la experiencia de usuario hubiese estado diseñada para representar que cada mensaje que vos enviabas iba a ser una suerte de chat grupal entre tu interlocutor, Mark Zuckerberg y todos los que trabajan en Facebook, eso hubiera sido una interfaz de usuario [UI] más honesta”, ironizó. Esto es una referencia a que, hasta la implementación del encriptado de mensajes, cualquiera dentro de la compañía tenía acceso a leer lo que escribían los usuarios.
“Creo que es exactamente esa la oportunidad que las tecnologías tienen por delante en relación a la privacidad: encontrar esos puntos donde lo que ve el usuario no coincide con cómo funcionan las aplicaciones y servicios, para tratar de hacerlos coincidir”, agregó.
Software y ciberseguridad: diseñar para las masas
Matthew Rosenfeld (verdadero nombre de Moxie Marlinspike), es un criptógrafo e investigador en ciberseguridad que realizó junto a un colega, Trevor Perrin, el Signal Protocol. Se trata de un protocolo criptográfico que encripta mensajes enviados y que adoptaron empresas como WhatsApp, Facebook y Google en sus sistemas de mensajería.
En 2018 creó Signal Technology Foundation, de la cual fue CEO hasta 2022, y que logró establecer como una de las aplicaciones para chatear de las más seguras del mundo. “No podemos leer tus mensajes ni escuchar tus llamadas y nadie más puede hacerlo tampoco. La privacidad no es una opción: es la forma en que funciona Signal. Cada mensaje, cada llamada, todo el tiempo”, expresa la página de descarga de la app.
Jeff Moss, fundador de Black Hat y DEF CON, es uno de los hackers más reconocidos de la comunidad. Conocido como The Dark Tangent, desde 2021 forma parte de un consejo asesor de ciberseguridad para el gobierno de los Estados Unidos. Como dato de color, asesoró en la parte técnica de la serie sobre hackers Mr. Robot. Su historia y la de DEF CON se pueden ver en este documental online, de manera gratuita.
Ambos, con un fuerte foco en la seguridad de las aplicaciones y la privacidad, llevaron a cabo un “fireside chat”, un tipo de charla muy común en conferencias que se inspira en una serie de conversaciones que el expresidente de los Estados Unidos Franklin D. Roosevelt realizaba por la radio entre 1933 y 1944.
“Las nuevas tecnologías son el resultado impredecible de tecnologías ya existentes”, disparó Marlinspike en su charla de apertura, antes de la conversación con Moss. Entre los tópicos que tocaron, más allá de los relacionados a ciberseguridad, hablaron también del desarrollo de software y cómo está operando en la actualidad el mundo tech. Y, sobre todo, en qué lugar queda la privacidad de los usuarios cada vez que descargan y usan una aplicación como WhatsApp, Instagram o Facebook.
El primer punto que señaló Marlinspike es el estado actual de la industria del software, donde hay que construir “al menos tres versiones de cada cosa” (una para Android, otra para iOS -Apple- y una versión de escritorio).
“Construir software es caro. Admiro a los escritores, cineastas, músicos que pueden crear algo y terminar. Podés grabar un disco y ya está, no hay un trabajo que tenés que hacer para "mantener" ese álbum. Simplemente existe, la gente puede escucharlo durante 20 años, más y ya está. El software no funciona así: nunca termina su desarrollo”, reflexionó el fundador de Signal.
“El software requiere que por lo menos una persona, o grupo de personas, estén sentados frente a una computadora, para siempre. Eso hace que la industria sea cara, hay un costo permanente que no termina nunca. Si queremos vivir en un mundo donde sigan existiendo programas que sirvan a nuestros intereses, necesitamos convertir al desarrollo del software en algo más barato”, agregó.
A todo esto hay que sumarle el desarrollo en seguridad, pero sobre todo en relación a la privacidad: ¿cuán resguardados están los derechos de los usuarios cuando descargan y usan de manera cotidiana una aplicación?
El viejo paradigma vs. el actual: complejidad detrás, simplicidad para el usuario
Para Marlinspike hubo un cambio de paradigma en relación al concepto de seguridad en las aplicaciones y programas que usamos todos los días. “Creo que un problema que tenían los primeros desarrollos de tecnología focalizada en la privacidad es que se hacían en una era en la que las computadoras eran para ‘gente de computadoras’. Había ‘gente normal’ y ‘gente de computadoras’”.
“Era una división muy clara: la gente normal no usaba computadoras. Cuando los visionarios de la computación empezaron a darse cuenta de lo importantes que iban a ser las computadoras para todos, imaginaron que iban a desarrollar herramientas muy poderosas para ellos mismos y luego enseñarle al resto a ser como ellos. Y eso no funcionó”, siguió.
“Creo que lo que pasó fue que la gente que entendía cómo hacer esas cuestiones técnicas empezó a construir una identidad alrededor de ellas. A veces pienso en Napster: ¿por qué la idea de compartir archivos tardó tanto en llegar a un público masivo? La difusión de MP3s tardó bastante en aparecer en relación a la historia de internet. Y creo que la respuesta tiene que ver con que la gente que entendía el poder de una tecnología para compartir archivos había desarrollado una identidad alrededor del conocimiento arcaico del compartir archivos. Pero eso se hizo masivo cuando llegó un grupo de gente que dijo ‘vamos a crear Napster’”, complementó.
En este sentido, contó su camino en el desarrollo de Signal y lo puso como ejemplo de una forma de trabajo complejo que intentó, en el camino, simplificar. “Lo que es difícil es tener la intuición para desarrollar un producto que mucha gente va a usar. Uno de los problemas es que yo vengo de un mundo de herramientas arcaicas. Cuando empecé a trabajar en Signal tenía un interruptor físico para desactivar el micrófono del teléfono, tenía mi propio servidor de mail encriptado con una llave PGP [un tipo de cifrado] y más”, dijo, mientras enumeraba una enorme serie de cuestiones técnicas que aplicaba durante la creación de Signal.
“El objetivo de todo el desarrollo del software es administrar la complejidad: el gran problema de los desarrolladores históricos dentro de la seguridad es que querían tomar la complejidad y transmitírsela al usuario, cuando en realidad el objetivo es no trasladar eso a la persona de a pie que va a terminar usando el software”, cerró.
Algunas fotos más de la exposición:
🔗 Más info
El Departamento de Estado de EE.UU. ofrece 10 millones de dólares por el grupo iraní CyberAv3ngers
Cozy Bear (Midnight Blizzard) habría atacado al gobierno de Reino Unido a principios de año
Rusia bloquea YouTube por completo
El grupo de ransomware Royal se rebrandeó a BlackSuit
Una vulnerabilidad en Windows Update permite downgradear componentes del OS
1Password arregló un zero day