}

Cap a una web encriptada?

2015/01/01 Leturia Azkarate, Igor - Informatikaria eta ikertzaileaElhuyar Hizkuntza eta Teknologia Iturria: Elhuyar aldizkaria

Des que Edward Snowden, antic empleat de les agències CIA i NSA dels EUA, descobrís i espiava les comunicacions i dades de la nostra xarxa, la preocupació per la privacitat en la xarxa ha anat creixent. I no sols als usuaris, sinó també als responsables i enginyers de la xarxa, que a poc a poc han anat evolucionant cap a una web més segura.
Ed. psdesing1/Dollarphotoclub

Edward Snowden, ex emprat de les agències d'informació i seguretat estatunidenques CIA i NSA, va ser l'encarregat de donar a conèixer els programes PRISM i Tempora i el sistema XKeyscore, tots ells realitzats per a detectar comunicacions i dades en la nostra xarxa en nom de la seguretat.

Davant això, existeixen una sèrie de mesures que l'usuari pot adoptar i que us comptem en l'article sobre seguretat web. Per exemple, assegurar l'ús del protocol HTTPS quan hem de proporcionar informació confidencial en alguna web (contrasenyes, comptes bancaris…). Hi ha extres per a navegadors com a HTTPS Everywhere, que s'encarregaran d'això. I per al correu podem utilitzar el programa PGP (Pretty Good Privacy) o la seva versió lliure GPG (GNU Privacy Guard), que xifraran els nostres missatges de manera que només els destinataris es desxifrin.

Aquestes alternatives, no obstant això, sempre requereixen d'un treball addicional per a la seva instal·lació i ús, que en alguns casos no és tan senzill...

Fent més segura la base web

Una web més segura no hauria de ser responsabilitat dels usuaris, què demontres! Els responsables de la web haurien de fer-ho, no? Perquè ho estan fent fins a cert punt.

El IETF (Internet Engineering Task Force), entitat consultora per al desenvolupament de protocols d'Internet, compta amb un grup de treball denominat HTTPB is, responsable del protocol HTTP. Aquest grup de treball va treballar la següent versió del protocol HTTP/2 i la va presentar al desembre com a proposta per a la nova versió de l'estàndard. Aquesta nova versió es va proposar utilitzar sempre l'encriptació TLS (utilitzada per HTTPS) al novembre de l'any passat, però va sorgir la polèmica i, en nom del consens, finalment no proposaran l'obligatorietat. No obstant això, alguns navegadors han dit que només usaran HTTP/2 juntament amb TLS, sinó que usaran la versió antiga. Així, sempre que sigui possible, s'utilitzarà una connexió segura.

Una altra iniciativa en 2015 serà l'EFF o Electronic Frontier Foundation, la Fundació Mozilla (autora del navegador Firefox) i unes altres: Let’s Encrypt. Es tracta d'un nou emissor de certificats que, de manera gratuïta i en pocs segons, ens proporcionarà un certificat per a poder oferir el servei HTTPS (en concret el que us expliquem en l'article d'autenticació en Internet d'abril de 2013). Amb aquesta mena de facilitats és de suposar que en el futur moltes més webs oferiran una connexió HTTPS segura i xifrada.

A més, existeix la intenció de fer més segur i confidencial el servei DNS (Domain Name System). El servei DNS és l'encarregat de convertir un nom de domini que nosaltres posem en la web (boletaria.elhuyar.org, google.com…) en el número IP que utilitza Internet per a designar servidors i ordinadors (54.235.134.181, 212.142.160.208...). Però com aquesta informació no va encriptada, qualsevol pot veure-la o manipular-la. Ara han creat el protocol DNSC rypt perquè les comunicacions entre el nostre ordinador i el servidor DNS vagin xifrades. Hi ha diversos servidors DNS ja implementats i és lògic que els navegadors vagin implementant-se.

D'altra banda, encara que nosaltres utilitzem sempre protocols segurs HTTPS, SMTPS o IMAPS per a les comunicacions amb el nostre proveïdor de correu electrònic, els missatges es poden detectar d'un proveïdor a un altre. Per a evitar-ho, cada vegada més proveïdors de correu utilitzen el xifrat TLS en les seves transferències de missatges.

Al final, encara que lentament, els seus responsables intenten fer la web cada vegada més segura. De fet, l'esperit de la web sempre ha estat obert i en benefici de l'usuari, i l'organització que dirigeix la web, W3Ck, i el seu director i inventor, Tim Berners Lee, sempre han mostrat una actitud favorable als estàndards oberts, la seguretat de les comunicacions i el benestar de la societat.

Però això no servirà de res si els usuaris continuem utilitzant cada vegada més les aplicacions dels dispositius mòbils en lloc d'utilitzar la web. Aquestes aplicacions les realitzen les empreses, les empreses amb interessos i utilitzen els seus propis protocols de comunicacions; ningú sap com funcionen aquests protocols, si són segurs o no... Sabem quin és el programa de missatgeria més utilitzat en mòbils, encara que els seus problemes de seguretat siguin coneguts…

La solució seria anar encriptant totes les comunicacions entre tots els ordinadors i nodes que componen Internet. D'aquesta manera, tant el protocol com l'aplicació que estem utilitzant, tot anirà encriptat de manera que cap tercer pugui detectar-lo. També ha proposat IAB o Internet Architecture Board

L'organització, organisme responsable del desenvolupament tècnic i enginyeria d'Internet: Xifrar totes les comunicacions d'Internet a nivell inferior.

En qualsevol cas, encara que en algun moment s'aconseguís la màxima seguretat i confidencialitat en totes les comunicacions que circulin per la web, amb això aconseguiríem que tercers no tinguessin l'oportunitat d'accedir a les nostres comunicacions. Però podem estar segurs del destinatari? Snowden informa que en el programa PRISM diversos proveïdors de la web subministren tota la informació a NSA: Google, Yahoo, Skype, Dropbox… Si els usem, no podem estar segurs que les nostres dades continuaran sent privats. Per a aconseguir-ho, no hi ha més remei que utilitzar els sistemes d'encriptació i protecció més complicats esmentats...