Mostrando las entradas con la etiqueta Código Procesal Penal. Mostrar todas las entradas
Mostrando las entradas con la etiqueta Código Procesal Penal. Mostrar todas las entradas

domingo, 7 de abril de 2019

Aunque no lo creas, en este momento Larreta te está espiando… @dealgunamanera...

Aunque no lo creas, en este momento Larreta te está espiando…


Descubren que una aplicación para celulares desarrollada por el Gobierno de la Ciudad filtra importante información sobre quien la utiliza. Ocurre en medio del escándalo de espionaje que involucra a Stornelli y D'Alessio, y pone en jaque a la cúpula de la AFI.

© Publicado el domingo 07/04/2019 por el Sitio periodístico La Resistencia Noticias de la Ciudad Autónoma de Buenos Aires.

El reconocido blog civilsphereproject.org realizó un completo informe sobre la aplicación creada por el Gobierno de la Ciudad llamada "BA Cómo Llego". La aplicación es de descarga gratuita y está disponible para sistemas Apple y Android y ya cuenta con más de un millón de descargas.

Según lo denunciado por civilsphereproject.org la información que el usuario brinda no está encriptada adecuadamente y cualquier persona con acceso a la base de datos puede acceder a la ubicación en tiempo real del usuario.

Esta denuncia se da luego de que, a fines del año pasado, Horacio Rodríguez Larreta intentará aprobar una reforma del Código Procesal Penal que autorizaba escuchas en forma indiscriminada. Así lo denunciaba Amnistía Internacional: "El proyecto impulsado por el poder ejecutivo, expediente 1790-J-2018, introduce “medidas especiales de investigación” que, de aprobarse, implicarían afectaciones muy negativas a la privacidad y la intimidad.

Una de las técnicas propuestas busca autorizar el ingreso remoto a dispositivos como celulares y computadoras. El acceso remoto es una amenaza grave a la intimidad, ya que puede conducir a la vigilancia en tiempo real a través de la cámara, el micrófono o el GPS, de manera encubierta.

Estas tecnologías permiten registrar: capturas de pantalla de lo que la persona está viendo, pulsaciones sobre el teclado y lo que escribe (nombres de usuario, contraseñas, historial de navegación) y acceder a todas las comunicaciones (mensajes, correos electrónicos, llamadas). El acceso remoto también permite manipular los datos almacenados, adulterarlos o borrarlos. Todas estas actividades pueden realizarse y al mismo tiempo eliminar el rastro de esa intrusión. Este acceso del poder punitivo a la esfera de la intimidad personal se realizaría, además, sin límites adecuados para su aprobación y ejecución".

Si bien, finalmente, el artículo que establecía medidas de vigilancia fue eliminado del dictamen de mayoría, Rodríguez Larreta se las rebusca para espiar a los porteños.

Compartimos el artículo completo del blog civilsphereproject.org

Resumen:

En esta publicación informamos sobre problemas importantes encontrados en la aplicación de transporte público “BA Cómo Llego” desarrollada por el Gobierno de la Ciudad Autónoma de Buenos Aires. En resumen, los problemas encontrados son:

. La aplicación envía la ubicación exacta de los usuarios en texto sin cifrar a través de la red. Cualquier persona con acceso al tráfico puede saber dónde se encuentra el usuario.

. Todas las búsquedas realizadas por el usuario en la aplicación se envían en texto plano sin cifrar. Cualquier persona con acceso al tráfico puede saber lo que el usuario escribe en tiempo real.

- Cada letra escrita genera una nueva solicitud en la red, enviando no solo lo que se escribe sino también cómo se lo escribe. Cualquier persona con acceso al tráfico puede analizar quién eres.

- Estos problemas afectan a la versión 5.6.0 de la aplicación para iOS, y a la aplicación actual de Android.


Acerca de la Aplicación

“BA Cómo Llego” es una aplicación desarrollada por el Gobierno de la Ciudad Autónoma de Buenos Aires que cuenta con más de 1.000.000 instalaciones reportadas hasta el momento. Esta aplicación ayuda a las personas a moverse por la ciudad de Buenos Aires mediante la búsqueda de transporte público. La aplicación proporciona direcciones y opciones de transporte que incluyen autobús, metro, tren, automóvil, bicicleta o pie.

Aplicación"BA Cómo Llego" como se anuncia en Google Play Store.

Fuente: Google Play Store. Fecha: 2019-04-02.

La aplicación en Android solicita los siguientes permisos según Google Play Store:

. Ubicación (por ubicación de redes WiFi y ubicación precisa mediante tecnología GPS)

. Fotos/Medios/Archivos

. Almacenamiento

. Información sobre Wi-Fi

Otros permisos:

. Recibir datos de internet

. Ver las conexiones de red

. Acceso completo a la red

. Prevenir que el dispositivo entre en modo

. Prevenir que el dispositivo entre en modo sleep

. Leer la configuración del servicio de Google

. Los permisos de ubicación también se solicitan explícitamente al instalar la aplicación tanto en Android como en iOS.
Información filtrada por “BA CÓMO LLEGO”

Después de instalar con éxito la aplicación, esta ofrece dos campos de búsqueda:

"Desde" y "Hasta", donde el usuario debe escribir origen y destino para encontrar posibles rutas. Cuando el usuario comienza a escribir, la aplicación genera una solicitud HTTP que envía la búsqueda parcial a los servidores.

Es importante tener en cuenta que debe escribirse un mínimo de 3 caracteres para que se realice la solicitud HTTP. A medida que el usuario continúa escribiendo, se realizan más solicitudes, casi letra por letra. Todos los datos se transfieren en texto plano a través de la red. La primera solicitud se puede observar en detalle en la Figura 1.

La serie de solicitudes completas realizadas por el usuario mientras escribe puede verse en la Figura 2.


Figura 1 - Toda la información se envía en texto plano. A medida que el usuario escribe en la aplicación, el texto parcial escrito se envía al servidor para recuperar posibles ubicaciones coincidentes. Esta figura muestra el texto parcial "Thi" que se está enviando. También muestra que la solicitud HTTP completa no está encriptada y, por lo tanto, cualquier persona con acceso al tráfico puede ver lo que escribe.

La Figura 1 muestra ademas cómo los desarrolladores usan un encabezado HTTP especial para informar que aplicación específica generó la solicitud. En este caso es ar.gob.buenosaires.comollego. En la respuesta es posible observar los resultados de la búsqueda parcial en formato JSON. Este campo se completará con los resultados cuando la dirección escrita coincida con algo en la base de datos.


Figura 2 - A medida que el usuario de "BA Cómo Llego" escribe, la información se envía en texto sin cifrar a través de la red y letra por letra. Esto filtra no solo lo que el usuario busca, sino que abre la posibilidad de utilizar las técnicas dinámicas de pulsación de teclas para saber quién es la persona.

Como se muestra en la Figura 2, cada solicitud envía el texto escrito por el usuario en tiempo real. Más importante aún, cada letra escrita se envía en una nueva solicitud que permite analizar el comportamiento del usuario y su perfil. El análisis de los patrones de escritura se conoce como dinámica de pulsación de tecla, o keystroke dynamics, y es posible utilizar esta técnica para determinar quién es el usuario. Debido a que el contenido no está encriptado, esta información está disponible para cualquier persona con acceso a este tráfico.

También parece haber un error en la aplicación, ya que está generando solicitudes para "buscar?" y "/ buscar /?", causando mucha más filtración de datos. La figura 3 ilustra este problema. Este error también implica que la aplicación está utilizando más del doble del ancho de banda de datos de su teléfono en comparación con lo que podría usar si este problema no estuviera.


Figura 3: Un error en la aplicación hace que genere dos solicitudes con el mismo texto. Esto significa que la aplicación utiliza más del doble del ancho de banda de datos que debería de tu teléfono.

Envío de tú ubicación desde la aplicación para Android

Se encontraron dos tipos de envío de la ubicación en la aplicación “BA Cómo Llego”.

La primera es sobre las ubicaciones en las que el usuario está interesado y busca usando la aplicación. Estas ubicaciones se obtienen al saber qué se escribe en el destino y el origen de los campos de búsqueda.

La segunda es mucho más importante y es la aplicación la que envía la ubicación actual exacta del usuario al enviar las coordenadas del GPS en texto plano en la red. La ubicación exacta se envía incluso cuando el texto escrito en los campos "Para:" y "De:" no es su ubicación actual. La figura 4 muestra este problema. Estas solicitudes se activaron cuando el usuario consultó el mapa interactivo de la aplicación.


Figura 4: La aplicación envía la ubicación GPS exacta del usuario mediante solicitudes no cifradas. Incluso cuando el usuario no buscó Desde o Hasta esta ubicación. 
En la Figura 4 hay varios aspectos a los que hay que prestar atención:

. La aplicación utiliza la API de Google Maps para recuperar datos según la ubicación actual.

. El protocolo usado es HTTP 1.0.

. Las API de Google generalmente usan HTTPS de forma predeterminada, pero estas solicitudes no usan cifrado.

Si observamos la respuesta de una de estas solicitudes en la Figura 5, podemos ver cómo Google las ha bloqueado y, de hecho, está prohibiendo que la aplicación realice más solicitudes. Esto significa que los propietarios de la aplicación no la están probando y no son conscientes de que Google los está bloqueando.

Además, ya no es necesario enviar la ubicación del GPS.

Nota: el envío de la ubicación GPS solo se ha observado en la versión de Android de la aplicación “BA Cómo Llego”. Este envío no ocurre en la versión de iOS probada en este momento.

Figura 5 - Google prohibió que la aplicación realice más solicitudes.


Conclusión:

Si usted es un individuo en riesgo debido al tipo de trabajo que realiza o a las personas a las que ayuda, es importante comprender que cualquier dato pequeño que se envíe puede ponerlo en riesgo. Hoy en día llevamos teléfonos móviles dondequiera que vamos, y es importante entender que estos pueden ponernos en riesgo. Recomendamos desinstalar "BA Cómo Llego" y usar aplicaciones de transporte más convencionales como Google Maps que garanticen un nivel mínimo de seguridad.

SI USTED ES UNA PERSONA QUE PUEDE ESTAR EN RIESGO DE UN ATAQUE DIRIGIDO, CONTÁCTENOS.

Todos los datos aquí:





  

lunes, 30 de septiembre de 2013

Encubrimiento... De Alguna Manera...

Encubrimiento...


Ya casi nadie la escuchaba. La platea casi vacía bostezaba cuando promediaba su discurso. Antepenúltima de la tarde, la presidenta de la Argentina se diferenciaría. Pese a que el protocolo estipula 15 minutos por país (tienen derecho a hablar los 193 integrantes de las Naciones Unidas), ella habló 50, entre Joyce Hilda Mtila Banda, de Malawi, y Yoweri Kaguta Museveni, de Uganda. Todo estéril e inservible, pero carísimo. Cristina fue y volvió de Nueva York para estampar su figura una vez más en el somnífero torneo anual de vanidad oratoria mundial de las asambleas generales de la ONU.

En sus 96 horas en Nueva York, visitó a Dilma Rousseff, recibió a Eduardo Eurnekian y al banquero y hombre de negocios colombiano Luis Moreno, apenas módicos pasos de una magra agenda. Permaneció encerrada casi todo el tiempo en su suite del Mandarin Hotel, junto al Central Park. Nada cambió mucho desde fines de los 70. Ya entonces, las radios de Buenos Aires me llamaban para preguntarme qué decían de “nosotros”, o qué “repercusiones” había tenido la visita de algún jerarca argentino. Desde la ventana de mi departamento sobre la calle 43, frente a las Naciones Unidas, yo reiteraba una y otra vez: “¿La verdad? No dicen nada”. Hace décadas que los figurones del mundo se congregan en el sensual septiembre neoyorquino para fingir política internacional y poner en escena simulacros de estrategias planetarias, espectáculo deprimente que suscita juvenil fervor, como desfilar por los costosos saraos del G20, convencida Cristina de ser una de las veinte líderes del mundo.

Estos ejercicios de vanidad serían sólo nuevos capítulos de una proverbial frivolidad, si no fuera porque en este caso se aderezaron con un episodio tétrico. Siete meses después de arrodillarse ante el entonces gobierno de Majmud Ahmadinejad, Cristina le imploró a Teherán que responda a la rendición argentina. El pacto con Irán, que Héctor Timerman le vendió a su jefa como desenlace mágico y feliz de una odisea de veinte años, ha sido hasta hoy una penosa derrota.

La matanza de la AMIA en 1994, con sus 85 asesinatos impunes, sigue siendo un agujero negro, agravado por el cinismo y la chapucería del actual gobierno. Tramado en enero de 2011, cuando Timerman lo abrochó clandestinamente en Alepo al aceptar la mediación del régimen sirio con sus patrones iraníes, la Argentina convirtió al pacto en tratado internacional en febrero de 2013. Cuando el pacto fue revelado aquí, 26 de marzo de 2011: http://www.pepeeliaschev.com/exclusivo-web/argentina-negocia-con-iran-dejar-de-lado-la-invest-15140 y 23 de julio de 2011: http://www.pepeeliaschev.com/exclusivo-web/las-condiciones-que-pone-iran-para-dialogar-15155, el Gobierno me estigmatizó (seudoperiodista, agente del Mossad, títere de los servicios iraníes fueron algunas de las lindezas con que me agasajaron). Pero lo expuesto aquí era y es la pura verdad. La Argentina había resuelto dar vuelta la página, seducida por una supuesta apertura al diálogo de la teocracia iraní, renunciando de hecho a la prueba acumulada, creando una comisión “de la verdad” ilegal, que convalidaba la genuflexión argentina. Ahora sería la “verdad”, antes había sido la “mentira”.

Anticonstitucional, este pacto con Irán debe abortar. Los iraníes, magistrales en el ajedrez y abroquelados en tres milenios de sagacidad diplomática persa, trataron de ganar tiempo con los pintorescos argentinos, pero sólo para sacarse de encima las molestas cédulas rojas de Interpol que agravian a un puñado de sus jerarcas. Eso no pasó. Dolida, Cristina dijo tener límites y no querer ser tomada por tonta. Tras su desasosegado reclamo, a la noche de este jueves 26 hubo otro simulacro. Afanoso como siempre, Timerman pudo finalmente exhibir en Nueva York un “logro”. Lo había convocado su par iraní, Jauad Zarif, para que este sábado conversen sobre la marcha del pacto. Es poco probable que ocurra algo sustancial.

En su angustioso pedido en Nueva York, Cristina borró con su boca lo firmado con la mano. El “memorándum” con Irán estipulaba que, tras la aprobación de ambas partes, una comisión “de la verdad” (sic) revisaría toda la prueba acumulada (unos 400 mil folios y centenares de horas de grabaciones), la que debería ser traducida antes al inglés. Pero si no se cumplen las leyes argentinas, todo el proceso es inválido. Como el Código Procesal Penal argentino prohíbe indagatorias hechas en presencia de los querellantes (sólo pueden estar el juez, el fiscal de la causa y el defensor de los indagados, que debe conocer perfectamente la ley argentina), tampoco podría participar la comisión “de la verdad”. Un disparate. ¿Cuándo podría un juez argentino indagar a los iraníes a este ritmo? En no menos de cinco años, con suerte. Además, ¿qué “diálogo” tenía la Argentina con Irán para que Cristina haya debido reclamarle novedades en público a Teherán?

¿Para qué ha servido todo esto y para qué se desgració la Argentina tan estúpidamente? Hipótesis aceptable: en ciertas fracciones oficiales la expectativa de negocios gobierno a gobierno con Irán hace salivar las glándulas del apetito. Además, un poco de simpatía ideológica, ¿por qué no? Setentistas irredentos, piensan al mundo en clave de esos años, con empatía reblandecida por regímenes y retóricas que irriten a Occidente. Por eso la camaradería con Assad, Kadafi, Correa y Chávez, y la pertinaz voluntad de aligerarle la mochila a la teocracia iraní. Todo este ruido amenaza con convertirse, al final del día, en mero encubrimiento.

© Escrito por Pepe Eliaschev el domingo 29/09/2013 y publicado por el Diario Perfil de la Ciudad Autónoma de Buenos Aires.