Irmán Maior dixital
2013/10/01 Leturia Azkarate, Igor - Informatikaria eta ikertzaileaElhuyar Hizkuntza eta Teknologia Iturria: Elhuyar aldizkaria
Ao longo do primeiro semestre deste ano escribimos tres artigos sobre a seguridade das comunicacións en Internet, aclarando como podemos garantir a confidencialidade, autenticación e anonimato. A maioría das persoas non utiliza os métodos avanzados expostos neles paira navegar por Internet de forma totalmente anónima, asinar dixitalmente correos electrónicos ou encriptar. Con todo, sabemos que os servizos web que requiren contrasinais ou números de conta corrente, os servizos web que permiten o envío de correos electrónicos ou os programas de teleconferencia utilizan criptografía paira garantir a privacidade das nosas comunicacións. En concreto, utilízase habitualmente criptografía asimétrica ou criptografía con clave pública, considerada como moi segura, o que asegura que terceiros non poderán detectar ditas comunicacións e acceder á nosa información.
Snowden: PRISM, XKeyscore, Tempora...
Calquera terceiro non, pero os gobernos non son calquera. Teñen máis recursos e non só informáticos. En lugar de tentar romper estes métodos criptográficos, é máis fácil solicitalos directamente a estes servizos. O ex empregado das axencias de información e seguridade CIA e NSA de EE.UU., Edward Snowden, deu a coñecer o programa PRISM en maio deste ano aos diarios The Guardian e The Washington Post, demostrados con algunhas transparencias internas de NSA, que se publicaron en xuño. Este programa permite a NSA acceder desde 2007 a todos os datos de clientes de 9 grandes empresas de internet. E estas empresas non son calquera: Microsoft, Yahoo!, Google, Facebook, Paltalk, Youtube, AOL, Skype e Apple (e estaba a piques de entrar no programa Dropbox).
Todas estas empresas rexeitaron que entreguen os datos dos seus clientes a NSA. Pero o goberno de EE.UU. asegurou a existencia do programa: por unha banda, levou aos tribunais de Snowd acusándolle dos cargos de espionaxe e roubo da propiedade gobernamental (Rusia deulle asilo político e vive na actualidade) e, por outro, quixo tranquilizar á cidadanía dicindo que só se utiliza paira ler as comunicacións dos estranxeiros.
En xuño, Snowden deu a coñecer o programa Tempora a través de The Guardian. Este programa é un programa da axencia de seguridade británica GCHQ (equivalente á NSA), similar ao programa PRISM, que agrupa as comunicacións e información cidadá. Ademais, informan a NSA. E durante os meses de xullo e agosto, Snowden deu a coñecer o sistema XKeyscore a través de senllos artigos publicados nos diarios The Sydney Morning Herald e Ou Globo. Este software de NSA permite a procura e análise de datos e informacións de orixe estranxeira en Internet. E tamén participan os gobernos de Australia e Nova Zelandia.
Moitas especulacións
As filtracións de Snowden trouxeron una longa corda. Desde o mes de maio, o propio Snowden publicou mensualmente un novo escándalo, pero una vez pos, parece que o paranón estendeuse e os medios de comunicación lanzaron outras moitas especulacións respecto diso.
Á vista de que NSA ten acceso aos datos de todas estas grandes empresas do programa PRISM e que estas negan que informan, en setembro abríronse rumores que, talvez, a NSA atopou un erro na criptografía con claves públicas e aproveitaba paira desencriptar o tráfico vía HTTPS. Se iso fose certo, é dicir, se realmente existise un erro na criptografía por clave pública, e ese erro fixésese coñecido, e os recursos necesarios paira a proba fosen accesibles paira calquera persoa ou case calquera (e non só paira NSA), sería incrible: non se podería garantir a confidencialidade das comunicacións na web, calquera podería ver contrasinais, números de contas correntes e mensaxes... A web que coñecemos desaparecería.
Afortunadamente, parece que non é así. Hai varias razóns paira pensar que a criptografía con claves públicas é segura e que NSA obtén información a través de determinadas implementaciones ou de malas prácticas dalgunhas compañías (por exemplo, o uso de versións antigas de software reparadas tras a detección de erros, o uso de claves demasiado curtas ou o almacenamento inseguro de claves privadas); se as cousas fanse ben, o método segue sendo seguro. Ademais, a entrega voluntaria de información por parte das empresas e o falseamiento parece una opción moito máis probable que a ruptura da criptografía asimétrica. Se non fóra así, non estarían a solicitar datos a outras moitas empresas.
Outro rumor aberto en setembro apuntaba que a NSA puido abrir una certa porta de atrás no método de creación de números aleatorios do sistema operativo Linux, o máis utilizado nos servidores de Internet. Na criptografía con claves públicas, a clave privada está formada por dous números primos obtidos aleatoriamente. A aleatoriedad informática total é imposible, pero en xeral existen formas de conseguir una aleatoriedad relativamente alta que se utilizan na criptografía. Con todo, se esa aleatoriedad reducísese ou esa aleatoriedad respondese a uns patróns coñecidos, sería máis fácil imaxinar una clave privada.
Algúns dos colaboradores de Linux mostraron a súa preocupación por que una das fontes de aleatoriedad de Linux podería ser o RdRand, una función que xera números aleatorios no microprocesador Intel mediante hardware. Segundo eles, ao ser a creación de números aleatorios vía hardware, non se podía inspeccionar e realmente facía o que dicían. Cando coñeceron o PRISM, etc., moitos uniron dous e dous e pensaron que talvez os chips de Intel non facían o que dicían, senón implementar un algoritmo que coñecía NSA. Deste xeito, Inteli e a porta traseira de Linux permitiron a NSA obter as claves privadas da maior parte dos servizos web. Parece demasiado conspiratorio, non? Con todo, algúns dos colaboradores de Linux deixaron de colaborar e houbo una solicitude de retirada do RdRand Linux de Change.org. Pero Linus Torvalds, inventor de Linux e coordinador xeral da actualidade, respondeu con dureza afirmando que isto non era máis que una fonte de aleatoriedad e acusando de estender medos inxustificados.
Pola súa banda, o semanario Der Spiegel tamén publicou en setembro que, baseándose nos papeis de Snowden, NSA tiña acceso a todas as transaccións realizadas a través de Visa e outros cartóns de crédito. Non se pode saber se iso é certo. Pero case todas as semanas xorden novas sospeitas e teorías.
Como protexer a nosa privacidade?
Por suposto, esta interceptación das comunicacións dixitais realízase en nome da seguridade. Pero, normalmente, o que está en mal camiño toma medidas e sabe manter as mensaxes e a actividade en segredo. E ao final os que espían os gobernos somos nós, somos simples cidadáns. Moitos dirá que lle dá igual, que non está a facer nada malo. Pero o acceso ás nosas comunicacións dixitais é una violación grave da privacidade; no mundo analóxico, equivale a abrir e ler cartas ou picar e escoitar chamadas telefónicas. Non o aceptariamos?
Por iso, desde que se deu a coñecer o PRISM, as asociacións e organizacións a favor dos dereitos civís, as liberdades e a privacidade están a oporse a el, concienciando e mobilizando á sociedade e ensinando vías paira evitar o PRISM e protexer a privacidade á xente. Por exemplo, a web Prism-break.org mostra algunhas vías paira evitar que NSA poida acceder ás nosas comunicacións e datos. Trátase basicamente de seguir as pautas que dabamos nos artigos desta serie que se mencionaban ao principio (uso de HTTPS, encriptación de correo vía GPG ou PGP, uso de firma dixital e navegación anónima vía Tor), así como de substituír os servizos ou software das empresas incluídas no programa PRISM por outras alternativas. No caso do software, sempre recomendan o software libre, xa que o código fonte é o único medio paira estar seguro do que fai o software.
En canto aos sistemas operativos dos computadores, Linux é o único que é fiable. E en canto aos teléfonos, variantes de Android que Google non controla ou Firefox VOS que vos comentabamos o mes anterior. iOS e Windows Phone non teñen alternativa, recomendan non comprar Iphone e Smartphone con Windows. Paira navegar hai Firefox, Tor browser e outros (pero non Explorer, Chrome, Safari ou Opera). Como programa de correo temos Thunderbird e si queremos correo web MyKolab e outros servizos como Gmail, Outlook ou Yahoo! En caso afirmativo, recoméndase utilizar o aditivo paira Mailvelope Firefox que implementa GPG. Entre os buscadores recoméndase o uso de Duck Duck e outros servizos en lugar dos máis habituais e no caso dos mapas OpenStreetMap. E na web podemos atopar recomendacións paira outro tipo de servizos.
Pero ao mesmo tempo, NSA quere evitar que nós nos escapemos das súas garras. Conseguiron pechar algúns servizos web que gardan os nosos correos directamente encriptados, por exemplo. Lavabit, o servizo que usaba Snowden, foi clausurado polos seus donos porque o goberno estadounidense quería obrigarlles a facilitar os datos dos seus clientes. Outro servizo similar, Silent Circle, pechou porque ao estar en EE.UU. non se fiaba que puidese ofrecer un servizo totalmente seguro. Este tipo de servizos quedan fóra de EEUU, Suíza, etc.
Parece que en certa medida o tema de Snowd serviu paira chamar a atención sobre a importancia da privacidade, e o uso dos servizos alternativos, anónimos e criptográficos anteriormente mencionados experimentou un notable aumento nos últimos meses. Que o coñecemento desta espionaxe dixital da cidadanía sirva, polo menos, paira axitar as nosas conciencias e, máis aló de buscar alternativas, paira empezar a obrigar ás administracións que deberían estar ao noso servizo a abandonar estas prácticas.
Gai honi buruzko eduki gehiago
Elhuyarrek garatutako teknologia