073-076_Adeona50

download 073-076_Adeona50

of 4

Transcript of 073-076_Adeona50

  • 7/25/2019 073-076_Adeona50

    1/4

    Adeona L IN U X U S E R

    73Nmero 50W W W . L I NUX-M A GA Z I NE . E S

    Si buscamos el trmino laptop en el

    sitio DATALOSS db [1], encontrare-

    mos noticias como 160.000 perso-

    nas notificaron que su informacin personal

    se encuentra en los porttiles robados o los

    nmeros y nombres de la Seguridad Social

    de unos 60.000 ciudadanos en porttiles

    robados.

    Esta misma bsqueda en The Data BreachBlog [2] nos deparar otra desagradable sor-

    presa con titulares como Porttiles robados

    de una subcontrata de la TSA contienen

    informacin personal de 3.930 viajeros o

    Porttiles robados contienen datos persona-

    les de 800.000 candidatos a Gap.

    Otros titulares recientes han incluido la

    prdida de PII (Personally Identificable Infor-

    mation) de 190.000 empleados registrados

    en porttiles Anheuser-Busch sustrados, o

    el robo de un porttil de Stanford conte-

    niendo datos de 27.000 de sus empleados

    actuales.Ponemon Institute realiz un estudio

    encargado por Dell en Julio de 2008 que

    determin que 800.000 porttiles se extra-

    van cada ao al pasar por los controles de

    los aeropuertos [3]. Este nmero sola descri-

    bir todos los porttiles robados globalmente.

    Incluso ms significativo es el hecho de que

    aproximadamente la mitad de los profesiona-

    les encuestados para el estudio de Ponemon

    admitieran que llevaban en sus mquinas

    informacin confidencial de sus empresas.

    Este estudio indicaba a su vez que se ven-dieron unos 63 millones de porttiles en todo

    el mundo. Si usamos el clculo estimado de

    que uno de cada diez porttiles es robado

    cada ao, y de

    que el veinte por

    ciento se pierde o se

    extrava, entonces no menos de

    6.300.000 porttiles acabaron

    en manos equivocadas elpasado ao.

    Considerando estas esta-

    dsticas y pensando acerca

    de ello puede concluirse

    que: Si usamos un port-

    til, es muy posible que lo

    perdamos o de que nos

    lo roben. Adems, las

    estadsticas del FBI indi-

    can que, como poco, el

    dos por ciento de los

    porttiles robados o

    perdidos nunca serecuperan.

    AdeonaAdeona [4] es el sistema de cdigo abierto

    privado y de confianza para seguimiento de

    porttiles perdidos o robados. Sin depender

    de ningn servicio central propietario, slo

    es necesario instalar Adeona en nuestra

    mquina para ayudar a incrementar nuestro

    sentido de la custodia sobre el dispositivo

    mvil. Adems nos asegura la privacidad

    mediante metodologas de cifrado avanza-das, permitiendo slo al propietario, o a su

    agente, usar el sistema para seguir al port-

    til.

    ADEONA

    Adiona [5], ladiosa romana de

    los regresos segu-

    ros, presta su nom-

    bre a esta sobresa-

    liente aplicacin de

    software libre. Si

    tratamos nuestro

    porttil como a

    nuestro hijo, apre-

    ciaremos saber

    que Adiona est

    considerada

    como una cuida-dora de los nios,

    la que los lleva a casa de forma segura, y la

    que tambin protege a los viajeros.

    Adeona utiliza el servicio de almacena-

    miento distribuido de cdigo abierto

    OpenDHT [6] (distributed hash table) para

    almacenar actualizaciones de localizaciones

    enviadas desde el cliente Adeona instalado

    en nuestro porttil y reunir datos como direc-

    ciones IP y topologa de red local que se usan

    para identificar su situacin actual. De

    nuevo, debemos recordar que el cliente Ade-ona usa una metodologa de cifrado fuerte

    para encriptar los datos de los sitios y asegu-

    rarse de que los textos en clave almacenados

    Si usas un porttil, hay bastantes

    probabilidades de que lo pierdas

    o te lo roben. Examinamos

    Adeona, un sistema de cdigo

    abierto y de confianza que puede

    ayudarte a localizarlo en caso de

    prdida o robo.

    POR RUSS MCREE

    Recuperacin y seguimiento de porttiles robados con cdigo abierto

    ioanniskounadeas,Fotolia

  • 7/25/2019 073-076_Adeona50

    2/4

    L I N U X U S E R Adeona

    74 Nmero 50 W W W . L I NUX-M A GA Z I NE . E S

    $ ./configure

    $ sudo make install

    Por defecto, el script de instalacin ubicar elprograma en/usr/local/adeona. Para cercio-

    rarse de que se ejecutar durante el arranque

    del sistema, el programa cliente de Adeona

    hace uso de cron:

    $ sudo crontab -e

    Este comando abrir el fichero crontab de

    root de manera que podemos aadir la

    entrada para el cliente Adeona. Ntese que el

    script de instalacin imprimir la entrada

    crontab necesaria para que podamos

    copiarla y pegarla. Debemos asegurarnos deaadir esta entrada crontab para Adeona, de

    lo contrario el cliente no se ejecutar la pr-

    xima vez que reiniciemos.

    La entrada crontab para Adeona consta de:

    @reboot $INSTALLDIR/U

    adeona-client.exe -sU

    $INSTALLDIR/adeona-U

    clientstate.cst -r $INSTALLDIR/U

    resources/ -lU

    $INSTALLDIR/logs/ &

    El ampersand (&) del final es imprescindible

    para evitar que el padre /bin/sh persista

    mientras el cliente est ejecutndose. Aun-

    que no comprobamos la instalacin en siste-

    mas de 64 bits, existen algunos problemas de

    incompatibilidad que se han resuelto compi-

    lando con el parmetro -m32, el cual se

    obtiene fcilmente localizando la variable

    CFLAGS en elMakefile y aadindole el par-metro -m32.

    En algunos sistemas basados en Debian

    puede que necesitemos las versiones de 32

    bits de las libreras requeridas mediante

    getlibs (por ejemplo, getlibs -l libcrypto.a).

    Los posibles errores que podemos encontrar

    se derivaran de la ausencia de libreras C o

    de rutinas y ficheros de cabecera de

    OpenSSL. Esto puede resolverse con:

    $ sudo apt-get U

    install build-essential

    o

    $ sudo apt-get U

    install libssl-dev

    Despus de aceptar los trminos de la GPL (y

    suponiendo que se han satisfecho todas las

    dependencias), se nos solicitar una contra-

    sea. Para proteger nuestras credenciales de

    localizacin, debemos elegir una contrasea

    para Adeona; no tiene que ser la misma que

    nuestra contrasea de login. Recurdese aa-dir la entrada crontab de Adeona despus de

    asignarla.

    Es importante no olvidarnos de hacer una

    copia de seguridad de nuestras credenciales:

    adeona-retrievecredentials.ost

    El instalador presenta una copia de adeona-

    retrievecredentials.osten nuestro escritorio. A

    continuacin nos enviamos un email a noso-

    tros mismos, o mejor an, lo colocamos en

    un dispositivo porttil (USB, SD, etc). Si es

    con el servicio OpenDHT son annimos y no

    vinculantes, mientras que a la vez facilita al

    propietario del porttil la recuperacin de

    informacin sobre el sitio.En este artculo comenzaremos con la ins-

    talacin y recuperacin de Adeona y despus

    veremos la ciencia que hay tras el sistema.

    InstalacinIndistintamente del sistema operativo que

    utilicemos, la instalacin de este programa es

    sencilla. Segn las notas de instalacin en

    lnea, Adeona se ha compilado y verificado

    en distintas distros Linux, incluidas Ubuntu,

    Fedora, Gentoo e incluso en el porttil XO

    (One Laptop per Child). En nuestro laborato-

    rio llevamos a cabo la instalacin en un sis-tema Ubuntu. Hemos de asegurarnos de

    comprobar las dependencias: OpenSSL, tra-

    ceroute, cron e iwconfig(ste ltimo es opcio-

    nal). Para instalar Adeona ejecutamos:

    $ tar xzf adeona-0.2.1.tar.gz

    $ cd adeona/

    Figura 2: Ladrones de Macs pillados por Adeona (imgenes de la pgina de inicio del proyecto

    Adeona).

    Figura 1: Recuperacin de datos del servidor de almacenamiento remoto.

    Nunca intentes recuperar tu porttil

    robado por tus propios medios. Si pien-

    sas que ha sido sustrado, ponte en con-tacto con las fuerzas de seguridad del

    estado o el organismo correspondiente

    para la denuncia.

    Advertencia

    01 info: ======== start location

    data

    02 =========

    03 update time: 01/03/2009,23:48

    (PST)

    04 internal ip: 192.168.248.101

    05 external ip: 67.40.1.228

    06 access point:

    07 Nearby routers:

    08 no routers found

    09 info: ========= end location

    data

    10 ==========

    Listado 1: Ejemplo deRecuperacin

  • 7/25/2019 073-076_Adeona50

    3/4

  • 7/25/2019 073-076_Adeona50

    4/4

    una direccin IP que puede ser geo-locali-

    zada mediante accin legal adems de los

    datos de un router.

    Adeona ofrece una funcionalidad aadida

    para usuarios Mac que saca ventaja de la

    cmara iSight [7] incorporada. Con el sis-

    tema de captura iSight, la versin Mac OS X

    de Adeona nos da la opcin de capturar im-

    genes del usuario del porttil o del ladrn.

    Las imgenes tambin se encuentran protegi-

    das por privacidad: slo el dueo del porttil

    (o su agente) puede tener acceso a ellas

    (Figura 2).

    La Ciencia tras AdeonaDe acuerdo con la ponencia gua del pro-

    yecto mostrado en el 17 Usenix Security

    Symposium [8], el cliente consta de dosmdulos: Un mdulo de bsqueda de locali-

    zacin y un ncleo de cifrado.

    El documento dice que con una pequea

    cantidad de estado, el ncleo utiliza un gene-

    rador pseudoaleatorio seguro de envo

    (FSPRG) para encapsular las actualizaciones

    de un modo ms eficiente y determinante.

    El ncleo garantiza la privacidad con

    carcter retroactivo: el ladrn no podr utili-

    zar Adeona para revelar las anteriores ubica-

    ciones del dispositivo, ni siquiera despus de

    determinar todos los estados de un cliente, o

    incluso de conseguir todos los datos deacceso al almacenamiento remoto. Sin

    embargo, el dueo, con una copia del estado

    inicial del cliente, s que puede buscar efi-

    cientemente entre todas las actualizaciones

    disponibles en el almacenamiento remoto.

    El ncleo de cifrados emplea un nmero

    limitado de llamadas a AES en cada actuali-

    zacin. La Figura 3 detalla la metodologa

    FSPRG.

    Desarrollo FuturoNo creemos que haya ni una sola razn por

    la que no se deba instalar Adeona en un por-

    ttil. En realidad, tendramos que instalarlo

    hasta en nuestros PCs de escritorio y nues-

    tros servidores. Aunque, evidentemente, sea

    menos probable que, al no movernos con

    stos, puedan robrnoslos. Debemos asegu-

    rarnos de guardar el fichero .ost nico de

    cada dispositivo de manera segura en cual-

    quier otro sitio distinto al del dispositivo. Eldesarrollo futuro podra incluso llevar a los

    clientes Adeona hasta dispositivos mviles

    como iPhones.

    En el proyecto principal tambin se indic

    la posibilidad de aadir la funcionalidad de

    enviar comandos autentificados al porttil

    (por ejemplo, para eliminar datos sensibles).

    OpenDHT, el servicio de almacenamiento

    remoto, actuara como un intermediario an-

    nimo privado para transmitir comunicacio-

    nes entre el porttil y su propietario. Otro

    avance sera incluir endurecimiento del

    cliente Adeona con soporte a nivel del kernel

    o incluso de hardware, para hacerlo ms

    resistente a un intento de desativacin por

    parte de los ladrones.

    ConclusinHay que seguirle la pista a este proyecto:

    los beneficios para mejorar la seguridad de

    los porttiles son obvios y la hoja de ruta

    hacia el soporte para otros servicios parece

    prometedora. Probablemente tengamos

    nuestro porttil con nosotros todo el tiempo,

    pero si algo falla, puede que Adeona le d subendicin para que vuelva sano y salvo.

    necesario escribimos el contenido, dado que

    est protegido por la contrasea que estable-

    cimos durante el proceso de instalacin.

    Para ayudar a prevenir ataques de sincro-

    nizacin, Adeona utiliza actualizaciones pro-

    gramadas pseudo-aleatoriamente. De este

    modo, no deberamos poder recuperar nin-

    guna informacin cuando est almacenada

    en OpenDHT hasta al menos una hora des-

    pus de la instalacin.

    RecuperacinComo los binarios necesarios se encuentran

    incluidos en los paquetes de instalacin, la

    recuperacin es muy simple en todos los sis-

    temas. La lgica impone, sin embargo, que

    llevemos a cabo recuperaciones desde un sis-

    tema diferente de aquel en el que instalamosnuestro cliente original.

    Tras la instalacin y para hacer ms fcil la

    recuperacin, definimos la siguiente variable:

    ADEONADIR=/usr/local/Adeona

    El comando

    $ADEONADIR/U

    adeona-retrieve.exe U

    -r $ADEONADIR/resources/ U

    -l /ruta/a/resultados/ U

    -s /ruta/a/tu/U

    adeona-retrievecredentials.ostU

    -n 1

    recupera el lugar ms reciente dado el fichero

    cifrado de credenciales de bsqueda de loca-

    lizaciones. La Figura 1 muestra la recupera-

    cin en un sistema de prueba. De no haber

    intentado una recuperacin tan pronto tras

    haber instalado este sistema en particular,

    habramos obtenido resultados como los que

    se muestran en el Listado 1.

    Si se tratase de un ladrn usando este por-

    ttil en una cafetera o en una librera, el pro-

    pietario del porttil podra recuperar proba-

    blemente un punto de acceso especfico

    L I N U X U S E R Adeona

    76 Nmero 50 W W W . L I NUX-M A GA Z I NE . E S

    [1] DATALOSS db: http://datalossdb.org/

    [2] Data Breach Blog: http://breach.

    scmagazineblogs.com/?s=laptop

    [3] Estudio: 800.000 porttiles perdidos

    anualmente en aeropuertos por Ste-

    vie Smith: http://www.thetechherald.

    com/article.php/200831/1604/

    Study-800-000-laptops-lost-each-year

    -in-airports

    [4] Adeona: http://adeona.cs.washington.

    edu/index.html

    [5] Adiona: http://www.thaliatook.com/

    OGOD/adiona.html

    [6] OpenDHT: http://www.opendht.org/

    [7] Captura de imagen CLI iSight: http://

    www.intergalactic.de/pages/iSight.

    html

    [8] Seguimiento de localizacin de dis-

    positivos perdidos o sustrados con

    proteccin de privacidad: Tcnicas de

    cifrado y reemplazo de terceras par-

    tes con DHTs: http://adeona.cs.

    washington.edu/papers/

    adeona-usenixsecurity08.pdf

    RECURSOS

    Figura 3: (Izquierda) El ncleo de Adeona, donde Ees un bloque de cifrado (por ejemplo, AES)

    que instancia el FSPRG, y Ences un esquema de cifrado estndar. (Derecha) Primer plano del

    ncleo de almacenamiento temporal de la localizacin privada.