}

Cara a unha web encriptada?

2015/01/01 Leturia Azkarate, Igor - Informatikaria eta ikertzaileaElhuyar Hizkuntza eta Teknologia Iturria: Elhuyar aldizkaria

Desde que Edward Snowden, antigo empregado das axencias CIA e NSA de EEUU, descubrise e espiaba as comunicacións e datos da nosa rede, a preocupación pola privacidade na rede foi crecendo. E non só aos usuarios, senón tamén aos responsables e enxeñeiros da rede, que aos poucos foron evolucionando cara a unha web máis segura.
Ed. psdesing1/Dollarphotoclub

Edward Snowden, ex empregado das axencias de información e seguridade estadounidenses CIA e NSA, foi o encargado de dar a coñecer os programas PRISM e Tempora e o sistema XKeyscore, todos eles realizados paira detectar comunicacións e datos na nosa rede en nome da seguridade.

Ante iso, existen una serie de medidas que o usuario pode adoptar e que vos contamos no artigo sobre seguridade web. Por exemplo, asegurar o uso do protocolo HTTPS cando debemos proporcionar información confidencial nalgunha web (contrasinais, contas bancarias…). Hai extras paira navegadores como HTTPS Everywhere, que se encargarán diso. E paira o correo podemos utilizar o programa PGP (Pretty Good Privacy) ou a súa versión libre GPG (GNU Privacy Guard), que cifrarán as nosas mensaxes de forma que só os destinatarios descífrense.

Estas alternativas, con todo, sempre requiren dun traballo adicional paira a súa instalación e uso, que nalgúns casos non é tan sinxelo...

Facendo máis segura baséea web

Una web máis segura non debería ser responsabilidade dos usuarios, que demontres! Os responsables da web deberían facelo, non? Pois o están facendo até certo punto.

O IETF (Internet Engineering Task Force), entidade consultora paira o desenvolvemento de protocolos de Internet, conta cun grupo de traballo denominado HTTPB is, responsable do protocolo HTTP. Este grupo de traballo traballou a seguinte versión do protocolo HTTP/2 e presentouna en decembro como proposta paira a nova versión do estándar. Esta nova versión propúxose utilizar sempre a encriptación TLS (utilizada por HTTPS) en novembro do ano pasado, pero xurdiu a polémica e, en aras do consenso, finalmente non proporán a obrigatoriedade. Con todo, algúns navegadores dixeron que só usarán HTTP/2 xunto con TLS, senón que usarán a versión antiga. Así, sempre que sexa posible, utilizarase una conexión segura.

Outra iniciativa en 2015 será a EFF ou Electronic Frontier Foundation, a Fundación Mozilla (autora do navegador Firefox) e outras: Let’s Encrypt. Trátase dun novo emisor de certificados que, de forma gratuíta e en poucos segundos, proporcionaranos un certificado paira poder ofrecer o servizo HTTPS (en concreto o que vos explicamos no artigo de autenticación en Internet de abril de 2013). Con este tipo de facilidades é de supor que no futuro moitas máis webs ofrecerán una conexión HTTPS segura e cifrada.

Ademais, existe a intención de facer máis seguro e confidencial o servizo DNS (Domain Name System). O servizo DNS é o encargado de converter un nome de dominio que nós pomos na web (boletaria.elhuyar.org, google.com…) no número IP que utiliza Internet paira designar servidores e computadores (54.235.134.181, 212.142.160.208...). Pero como esta información non vai encriptada, calquera pode vela ou manipulala. Agora crearon o protocolo DNSC rypt para que as comunicacións entre o noso computador e o servidor DNS vaian cifradas. Hai varios servidores DNS xa implementados e é lóxico que os navegadores vaian implementándose.

Doutra banda, aínda que nós utilizamos sempre protocolos seguros HTTPS, SMTPS ou IMAPS paira as comunicacións co noso provedor de correo electrónico, as mensaxes pódense detectar dun provedor a outro. Paira evitalo, cada vez máis provedores de correo utilizan o cifrado TLS nas súas transferencias de mensaxes.

Ao final, aínda que lentamente, os seus responsables tentan facer a web cada vez máis segura. De feito, o espírito da web sempre foi aberto e en beneficio do usuario, e a organización que dirixe a web, W3Ck, e o seu director e inventor, Tim Berners Le, sempre mostraron una actitude favorable aos estándares abertos, a seguridade das comunicacións e o benestar da sociedade.

Pero isto non servirá de nada se os usuarios seguimos utilizando cada vez máis as aplicacións dos dispositivos móbiles en lugar de utilizar a web. Estas aplicacións realízanas as empresas, as empresas con intereses e utilizan os seus propios protocolos de comunicacións; ninguén sabe como funcionan eses protocolos, si son seguros ou non... Sabemos cal é o programa de mensaxería máis utilizado en móbiles, aínda que os seus problemas de seguridade sexan coñecidos…

A solución sería ir encriptando todas as comunicacións entre todos os computadores e nodos que compoñen Internet. Deste xeito, tanto o protocolo como a aplicación que estamos a utilizar, todo irá encriptado de forma que ningún terceiro poida detectalo. Tamén propuxo IAB ou Internet Architecture Board

A organización, organismo responsable do desenvolvemento técnico e enxeñaría de Internet: Cifrar todas as comunicacións de Internet a nivel inferior.

En calquera caso, aínda que nalgún momento lográsese a máxima seguridade e confidencialidade en todas as comunicacións que circulen pola web, con iso conseguiriamos que terceiros non tivesen a oportunidade de acceder ás nosas comunicacións. Pero podemos estar seguros do destinatario? Snowden informa que no programa PRISM varios provedores da web fornecen toda a información a NSA: Google, Yahoo, Skype, Dropbox… Si usámolos, non podemos estar seguros de que os nosos datos seguirán sendo privados. Paira conseguilo, non hai máis remedio que utilizar os sistemas de encriptación e protección máis complicados mencionados...