Sobrevivir a los ataques de Denegación de Servicio Distribuido

El pasado mes de marzo, Jamie McClelland, conocido ingeniero que trabaja en la operación de la infraestructura de MayFirst People Link1, comenzó una charla explicando que se pueden identificar dos tipos de ataques informáticos: los enfocados a comprometer la seguridad y tomar control de la infraestructura y los dirigidos a saturarla, para que los servidores queden no disponibles para su funcionamiento. Estas categorías también pueden operar mixtamente, pero las mencionadas anteriormente son un buen punto de partida.

Entre agosto y septiembre del 2015, MayFirst People Link recibió ataques enfocados en saturar la infraestructura con el fin de volverla inoperable para sus usuarios, se trataba pues de una Denegación de servicio.

Esta Denegación de Servicio Distribuida (DDoS por sus siglas en inglés), es considerada entre los ataques más grandes por su volumen en la historia de MayFirst; en este caso se monitorearon las velocidades de los ataques, las que oscilaron entre los 20Gbps con una duración de casi tres semanas.

El ataque comenzó contra el servidor que alojaba el sitio de la organización The national network of abortion funds. Por medio del envío de tráfico a través de peticiones al servidor desde computadoras comprometidas, mismas que lograron saturarlo y dejarlo no disponible para su consulta y acceso. Más tarde, las técnicas implicadas en el ataque se hicieron más complejas, lo que ocasionó que por momentos todo MayFirst quedara intermitente para sus miembros.

Para hacer frente a estos ataques sistemáticos, MayFirst realizó tareas alrededor de la investigación, técnica y el fondeo colectivo. En ese camino se encontró con el proyecto Deflect, parte de la organización eQualit.ie. Ellos desarrollan tecnología que tiene tres principios tecnológicos fundamentales: Cacheo, Banning y Monitoreo. Pero más allá de eso, Deflect se ha logrado convertir en los últimos dos años en una comunidad de aprendizaje que estudia y hace frente creativamente al negocio de los ataques que se venden al mejor postor, y que pueden ir desde los 5 dólares hasta otro tipo de servicios a mayores costos.

En ese sentido, los aprendizajes que documenta MayFirst son, en sus propias palabras:

  • Los ataques de este tipo serán más frecuentes y más graves. Es un reflejo de la agudización de la lucha política en este país como a nivel internacional.
  • En lugar de depender de lo que ya está disponible en las formas típicas, nuestra organización tiene que llevar a nuestro movimiento en la búsqueda de formas innovadoras para combatir y derrotar a los tipos de ataques que acabamos enfrentar, los cuales están determinados a aumentar en el futuro.
  • Las comunicaciones entre nuestros técnicos y nuestros miembros es uno de los factores más críticos en sobrevivir a este tipo de ataques. Lo hicimos mejor en este tiempo y nuestros miembros respondieron, pero hay que mejorar la velocidad de nuestras respuestas y las comunicaciones y asegurar que lleguen a todos y cada uno de nosotros.

  1. Organización sin ánimo de lucro fundada en el 2005 que se dedicada a proveer servicios cooperativos de internet como web hosting a personas y organizaciones. 

Publicado en El Cosmógrafo, 10 de agosto de 2016

En defensa del software libre: mi demanda contra Lenovo en México

Este artículo aborda la historia de la compra de un equipo de cómputo personal. Compré el equipo Yoga 2 de Lenovo, por sus funciones operativas, capacidad y precio en noviembre de 2014. Tenía la intención de instalar un sistema operativo de software libre GNU/Linux que está construido de una forma que permite la ejecución, copia, distribución, estudio, modificación y mejora por parte del usuario.

Fue así que descubrí una característica oculta en mi computadora llamada Secure Boot, cuya función en la práctica resultó restringir el derecho de instalar sistemas operativos diferentes al de fábrica. Nunca fui informado de esta característica al momento de la compra.

Al principio intenté resolverlo de forma técnica y con la ayuda de colegas, pero los varios intentos que hicimos no fueron exitosos. Después, elegí seguir el asunto por el camino legal, con el soporte de la organización Enjambre Digital. A partir de una serie de encuentros con los abogados de Lenovo y la Procuraduría Federal del Consumidor, la autoridad mexicana declaró a Lenovo infractor de la Ley Federal de Protección al Consumidor.

La Fundación de Software Libre (Free Software Foundation) en 2011 manifestó en una carta, firmada por más de 48 mil personas, el potencial restrictivo de Secure Boot. Por ello instaron a que los fabricantes “permitan a los propietarios de los ordenadores deshabilitar las restricciones del arranque, o proporcionarle una alternativa segura para instalar y ejecutar sistemas operativos libres de su elección”. Con mi caso, y seguramente otros parecidos, queda en evidencia que todavía falta para llegar al ideal propuesto por la carta de la FSF.

Por otro lado, mi caso comprueba que a pesar de que Lenovo aceptó la función Secure Boot establece una restricción, no logró deshabilitarla durante el litigio. Y la infracción a la ley mexicana, declarada por la autoridad encargada de la defensa de los derechos del consumidor, no logro revertir la falta de información.

El caso

Me entregaron el equipo portátil Lenovo modelo Yoga 2 que compré por medio del distribuidor Intelcompras el día 19 de noviembre de 2014.

Cuando me dispuse a instalar el sistema operativo de mi elección, descubrí que no era posible ya que la computadora tenía la llamada opción de carga Secure Boot. Esta característica obliga a que los sistemas operativos a instalar deban estar autorizados a través de firmas digitales otorgadas por Microsoft. Por esta razón, intenté desactivar Secure Boot, puesto que en la práctica impedía la instalación del sistema operativo que deseaba. Los intentos que realicé no tuvieron éxito.

Busqué apoyo de Enjambre Digital, organización de defensa de las libertades en internet, y del Rancho Electrónico, un hackerspace en la Ciudad de México.

Luego, asistí al Hackmitin, conocido por ser el encuentro de la cultura hacker en México. Allí, en conjunto con varios amigos, intentamos resolver el problema pero tampoco logramos la instalación del nuevo sistema operativo gracias a Secure Boot.

El diagnóstico técnico de los hackers confirmó que con dicha característica activada solamente es posible utilizar software que tenga la firma de Microsoft. Por lo tanto, para lograr la instalación de otro sistema operativo, como por ejemplo Debian GNU/Linux, necesitaba deshabilitar esta opción de carga o conseguir una versión autorizada por Microsoft.

El siguiente paso fue comunicarme con el proveedor y solicitar soporte técnico. El 26 de noviembre le pregunté a la cuenta verificada de Lenovo de México vía Twitter:

Me remitieron al número 01 800 de soporte. Lo llamé, y me negaron el servicio tras explicar el problema, argumentando que no podían indicarme cómo deshabilitar Secure Boot porque la política de la empresa se los prohibía.

El camino legal

Tras agotar las alternativas técnicas a mi alcance y el soporte del fabricante, finalmente el 15 de enero de 2015 decidí interponer una queja ante la Procuraduría Federal del Consumidor de México (Profeco) en la que narré mi caso.

En la audiencia de conciliación del 17 de abril de 2015, volví a explicar el problema que tenía con el equipo de cómputo al proveedor, al árbitro de la Profeco y al abogado de Enjambre Digital. Solicité información sobre cómo podría deshabilitar el Secure Boot al abogado de Lenovo, quien respondió que no conocía sobre el problema pero que lo revisaría con el área correspondiente para buscar una solución, y me solicitó el número de serie y modelo. Profeco programó la segunda audiencia de conciliación para el 10 de junio de 2015.

El diagnostico de Lenovo

Diez días después, se comunicó telefónicamente conmigo Miguel Díaz, quien se acreditó como Customer Support Analyst de Lenovo. Me dijo que era muy sencillo desactivar el Secure Boot y me brindó una serie de opciones para que pudiera hacerlo. Para dicho propósito me hizo llegar por correo electrónico:

Buenas tarde estimado Jacobo:
En acuerdo a nuestra llamada telefónica las opciones para la correcta instalación del su sistema operativo y configuración del “secure boot” son:
Ingresar el equipo a un centro de servicio autorizado por Lenovo, ahí realizarán la configuración correcta, además a manera de excepción instalarán el sistema operativo de su preferencia mismo que debe ser proporcionado por usted junto con la licencia del software.
Envío por esta vía de un paso a paso (manual) de como activa y desactivar el “secure boot”.
Quedo atento a sus comentarios.
Saludos
Nota: Una vez el centro de servicio haya realizado las pruebas suficientes de funcionamiento será entregado el equipo, incluso podría verificar le enseñaran como activar y desactivar la opción.

Le pedí me hiciera llegar el referido manual para hacerlo por mí mismo, pero no logré desactivarlo. Entonces, decidí ingresar el equipo al servicio autorizado de Lenovo. Ahí me indicaron que lo revisarían para hacer un diagnóstico. El diagnóstico concluyó que era imposible instalar el sistema operativo de mi elección “por la tecnología que tiene de fábrica el equipo”. Se hizo constancia de dicho diagnóstico en el documento que entregó el representante legal de Lenovo a la Profeco en la segunda reunión de conciliación, que resultó fue infructuosa.

El representante legal de Lenovo declaró:

Solicito se envíe el expediente al archivo general toda vez que mi representada ingresó el equipo materia de queja al centro de servicio y este fue revisado y no muestra algún problema en su funcionamiento solamente la limitante que el consumidor manifiesta y ya le fue notificado que eso se deriva de la fabricación del equipo y sus características aclarando que mi representada no omitió información en la venta toda vez que esta fue hecha por otro proveedor denominada Intelcompras.

El abogado de Enjambre Digital y yo decidimos no aceptar la propuesta de conciliación debido a que el problema planeado por mí desde un inicio (la deshabilitación de Secure Boot) no fue resuelto.

La queja contra Lenovo

Al no lograrse la conciliación, la Profeco inició formalmente el procedimiento por infracciones a la ley en contra de Lenovo, otorgándole un término de diez días hábiles para que ofreciera las pruebas y manifestara por escrito lo que a su derecho conviniera como parte de su defensa.

Por nuestra parte, el abogado de Enjambre Digital y yo entregamos un escrito en los días siguientes en el que reiteramos los puntos expresados en la queja, y señalamos adicionalmente que no procedía sostener que la obligación de informar sobre el llamado Secure Boot corría a cargo del distribuidor (Intelcompras), como argumentaba el representante de Lenovo, por dos razones de fondo: la primera, es que Lenovo es el fabricante del bien que consiste en un equipo de cómputo, por lo que las características intrínsecas del producto son responsabilidad del mismo; y la segunda, que legalmente no pueden trasladar la responsabilidad de dichas características al vendedor/distribuidor Intelcompras.

Con los anteriores elementos expresados por mi parte y por Lenovo, la Procuraduría Federal del Consumidor resolvió que “Lenovo de México S DE RL DE CV infringió lo dispuesto en el artículo 7 de la Ley Federal de Protección al Consumidor, tal y como quedó debidamente demostrado en la presente resolución”.

El artículo 7 de la Ley Federal de Protección al Consumidor indica que:

Todo proveedor está obligado a informar y respetar los precios, tarifas, garantías, cantidades, calidades, medidas, intereses, cargos, términos, plazos, fechas, modalidades, reservaciones y demás condiciones conforme a las cuales se hubiera ofrecido, obligado o convenido con el consumidor la entrega del bien o prestación del servicio, y bajo ninguna circunstancia serán negados estos bienes o servicios a persona alguna”.

Conclusiones

Actualmente el modelo Yoga 2 de Lenovo sigue en el mercado con el Secure Boot instalado y sin la opción para deshabilitarlo. Tampoco se advierte en la documentación oficial sobre esta característica.

Las comunidades de desarrollo de software libre buscan conseguir con estrategias técnicas que los sistemas operativos que desarrollan sean autorizados por Microsoft y funcionen con Secure Boot. Sin embargo, esto no deja de ser una medida unidireccional, ya que depende de un tercero, además del fabricante, la decisión sobre las condiciones del software que hacen funcionar las computadoras, dejando al propietario de un equipo sin opciones.

Frente a un violación a la ley que tiene el potencial de impactar nuestros derechos masivamente no se espera una respuesta con acciones mínimas, por el contrario, un papel activo. Ya que la sanción económica de Profeco no solucionó la falta de información relevante para la compra, en conjunto con Enjambre Digital estamos estudiando las vías que tenemos para que este reconocimiento que hace Profeco y que califica de muy grave tenga efectos concretos.

Teclado. Imagen de Pixabay. Usada bajo licencia CC0.

Publicado en Global Voices, 5 de mayo de 2016

La lucha por la libertad en Internet en México

Texto escrito por Alberto R. León y Jacobo Nájera

Los ciudadanos de México luchan contra la propuesta de ley en materia de telecomunicaciones que el presidente Enrique Peña Nieto ha otorgado al senado de la República. La causa de esta lucha es debido a que esta propuesta viola los derechos humanos en Internet: vulnera la neutralidad de la red, permite censura y bloqueo de contenidos así como la retención de datos personales mandatoria.

El Colectivo Libre Internet Para Todos indica que actualmente la iniciativa de ley se encuentra en un periodo de “pausa” hasta el mes de julio, como efecto de que las comisiones encargadas de su dictamen no han llegado a un acuerdo en sesiones ordinarias, esto desde abril del 2014.

Ante esta propuesta y la posibilidad de que sea incorporada a la constitución mexicana, la ciudadanía mexicana ha llevado a cabo diversos actos tanto en redes sociales como en las calles. Entre estas acciones se destacaron una cadena humana simbólica en abril que ocupó gran parte del primer cuadro de la capital en el Distrito Federal, desde la residencia presidencial hasta las instalaciones de Televisa Chapultepec, la televisora más grande de México. La marcha denominada en redes #NoMásPoderAlPoder partió desde Televisa Chapultec al senado.

Recientemente se llevó a cabo la #CascaritaXlaPatria, acto simbólico que tuvo como objetivo protestar por la decisión del senado de votar en sesiones extraordinarias, y en fechas coincidentes con el Mundial de Brasil 2014, la ley de telecomunicaciones.

Grupos de activistas han presentado propuestas técnicas — además se realizó una carta de apoyo internacional que manifiesta reprobación de organizaciones y expertos entre los que se encuentran Vía Libre, EFF, Richard Stallman, Cory Doctorow, Nighat Dad y Richard Sennett.

ContingenteMX presentó una propuesta técnica alternativa de escritura a este ley, poniendo énfasis en la defensa de derechos humanos, donde los derechos de las personas estén al centro y existan garantías para la neutralidad de la red, la privacidad y no retención de datos personales, las cuales son exigencias a las que se han unido organizaciones internacionales como la Electronic Frontier Foundation, así como la Red en Defensa de los Derechos Digitales emitió comentarios de modificación a la iniciativa de ley.

La fecha para que esta ley de telecomunicaciones sea dictaminada es aun incierta y con el peligro de que pueda ser en Fastrack. La población, ciudadanía y organizaciones civiles que se encuentran atentas y exigiendo que las iniciativas ciudadanas propuestas para este fin sean también dictaminadas y tengan prioridad legislativa, como la de Libre Internet Para Todos que cuenta con el soporte de 127 mil personas.

Se puede seguir las discusiones y las acciones en Libre Internet Para Todos, ContingentenMX, Libre Internet mx, Defenderinternet.