Germà Major digital
Al llarg del primer semestre d'enguany hem escrit tres articles sobre la seguretat de les comunicacions en Internet, aclarint com podem garantir la confidencialitat, autenticació i anonimat. La majoria de les persones no utilitza els mètodes avançats exposats en ells per a navegar per Internet de forma totalment anònima, signar digitalment correus electrònics o encriptar. No obstant això, sabem que els serveis web que requereixen contrasenyes o números de compte corrent, els serveis web que permeten l'enviament de correus electrònics o els programes de teleconferència utilitzen criptografia per a garantir la privacitat de les nostres comunicacions. En concret, s'utilitza habitualment criptografia asimètrica o criptografia amb clau pública, considerada com molt segura, la qual cosa assegura que tercers no podran detectar aquestes comunicacions i accedir a la nostra informació.
Snowden: PRISM, XKeyscore, Tempora...
Qualsevol tercer no, però els governs no són qualsevol. Tenen més recursos i no sols informàtics. En lloc d'intentar trencar aquests mètodes criptogràfics, és més fàcil sol·licitar-los directament a aquests serveis. L'ex emprat de les agències d'informació i seguretat CIA i NSA dels EUA, Edward Snowden, va donar a conèixer el programa PRISM al maig d'enguany als diaris The Guardian i The Washington Post, demostrats amb algunes transparències internes de NSA, que es van publicar al juny. Aquest programa permet a NSA accedir des de 2007 a totes les dades de clients de 9 grans empreses d'internet. I aquestes empreses no són qualsevol: Microsoft, Yahoo!, Google, Facebook, Paltalk, Youtube, AOL, Skype i Apple (i estava a punt d'entrar en el programa Dropbox).
Totes aquestes empreses han rebutjat que lliurin les dades dels seus clients a NSA. Però el govern dels EUA ha assegurat l'existència del programa: d'una banda, ha portat als tribunals de Snowd acusant-lo dels càrrecs d'espionatge i robatori de la propietat governamental (Rússia li ha donat asil polític i viu en l'actualitat) i, per un altre, ha volgut tranquil·litzar a la ciutadania dient que només s'utilitza per a llegir les comunicacions dels estrangers.
Al juny, Snowden va donar a conèixer el programa Tempora a través de The Guardian. Aquest programa és un programa de l'agència de seguretat britànica GCHQ (equivalent a la NSA), similar al programa PRISM, que agrupa les comunicacions i informació ciutadana. A més, informen a NSA. I durant els mesos de juliol i agost, Snowden va donar a conèixer el sistema XKeyscore a través de sengles articles publicats en els diaris The Sydney Morning Herald i O Globo. Aquest programari de NSA permet la cerca i anàlisi de dades i informacions d'origen estranger en Internet. I també participen els governs d'Austràlia i Nova Zelanda.
Moltes especulacions
Les filtracions de Snowden han portat una llarga corda. Des del mes de maig, el propi Snowden ha publicat mensualment un nou escàndol, però una vegada pólvores, sembla que el paranón s'ha estès i els mitjans de comunicació han llançat moltes altres especulacions sobre aquest tema.
A la vista que NSA té accés a les dades de totes aquestes grans empreses del programa PRISM i que aquestes neguen que informen, al setembre es van obrir rumors que, tal vegada, la NSA va trobar un error en la criptografia amb claus públiques i aprofitava per a desencriptar el trànsit via HTTPS. Si això fos cert, és a dir, si realment existís un error en la criptografia per clau pública, i aquest error es fes conegut, i els recursos necessaris per a la prova fossin accessibles per a qualsevol persona o gairebé qualsevol (i no sols per a NSA), seria increïble: no es podria garantir la confidencialitat de les comunicacions en la web, qualsevol podria veure contrasenyes, nombres de comptes corrents i missatges... La web que coneixem desapareixeria.
Afortunadament, sembla que no és així. Hi ha diverses raons per a pensar que la criptografia amb claus públiques és segura i que NSA obté informació a través de determinades implementacions o de males pràctiques d'algunes companyies (per exemple, l'ús de versions antigues de programari reparades després de la detecció d'errors, l'ús de claus massa curtes o l'emmagatzematge insegur de claus privades); si les coses es fan bé, el mètode continua sent segur. A més, el lliurament voluntari d'informació per part de les empreses i el falsejament sembla una opció molt més probable que la ruptura de la criptografia asimètrica. Si no fos així, no estarien sol·licitant dades a moltes altres empreses.
Un altre rumor obert al setembre apuntava que la NSA va poder obrir una certa porta de darrere en el mètode de creació de números aleatoris del sistema operatiu Linux, el més utilitzat en els servidors d'Internet. En la criptografia amb claus públiques, la clau privada està formada per dos nombres primers obtinguts aleatòriament. L'aleatorietat informàtica total és impossible, però en general existeixen maneres d'aconseguir una aleatorietat relativament alta que s'utilitzen en la criptografia. No obstant això, si aquesta aleatorietat es reduís o aquesta aleatorietat respongués a uns patrons coneguts, seria més fàcil imaginar una clau privada.
Alguns dels col·laboradors de Linux van mostrar la seva preocupació perquè una de les fonts d'aleatorietat de Linux podria ser el RdRand, una funció que genera números aleatoris en el microprocessador Intel mitjançant maquinari. Segons ells, a l'ésser la creació de números aleatoris via maquinari, no es podia inspeccionar i realment feia el que deien. Quan van conèixer el PRISM, etc., molts van unir dos i dos i van pensar que tal vegada els xips d'Intel no feien el que deien, sinó implementar un algorisme que coneixia NSA. D'aquesta manera, Inteli i la porta posterior de Linux van permetre a NSA obtenir les claus privades de la major part dels serveis web. Sembla massa conspiratorio, no? No obstant això, alguns dels col·laboradors de Linux van deixar de col·laborar i va haver-hi una sol·licitud de retirada del RdRand Linux de Change.org. Però Linus Torvalds, inventor de Linux i coordinador general de l'actualitat, va respondre amb duresa afirmant que això no era més que una font d'aleatorietat i acusant d'estendre pors injustificades.
Per part seva, el setmanari Der Spiegel també va publicar al setembre que, basant-se en els papers de Snowden, NSA tenia accés a totes les transaccions realitzades a través de Visa i altres targetes de crèdit. No es pot saber si això és cert. Però gairebé totes les setmanes sorgeixen noves sospites i teories.
Com protegir la nostra privacitat?
Per descomptat, aquesta intercepció de les comunicacions digitals es realitza en nom de la seguretat. Però, normalment, el que està en mal camí pren mesures i sap mantenir els missatges i l'activitat en secret. I al final els que espien els governs som nosaltres, som simples ciutadans. Molts dirà que li és igual, que no està fent gens dolent. Però l'accés a les nostres comunicacions digitals és una violació greu de la privacitat; en el món analògic, equival a obrir i llegir cartes o punxar i escoltar trucades telefòniques. No ho acceptaríem?
Per això, des que es va donar a conèixer el PRISM, les associacions i organitzacions a favor dels drets civils, les llibertats i la privacitat s'estan oposant a ell, conscienciant i mobilitzant a la societat i ensenyant vies per a evitar el PRISM i protegir la privacitat a la gent. Per exemple, la web Prism-break.org mostra algunes vies per a evitar que NSA pugui accedir a les nostres comunicacions i dades. Es tracta bàsicament de seguir les pautes que donàvem en els articles d'aquesta sèrie que s'esmentaven al principi (ús d'HTTPS, encriptació de correu via GPG o PGP, ús de signatura digital i navegació anònima via Tor), així com de substituir els serveis o programari de les empreses incloses en el programa PRISM per altres alternatives. En el cas del programari, sempre recomanen el programari lliure, ja que el codi font és l'únic mitjà per a estar segur del que fa el programari.
Quant als sistemes operatius dels ordinadors, Linux és l'únic que és fiable. I quant als telèfons, variants d'Android que Google no controla o Firefox US que us comentàvem el mes anterior. iOS i Windows Phone no tenen alternativa, recomanen no comprar Iphone i Telèfon intel·ligent amb Windows. Per a navegar hi ha Firefox, Tor browser i uns altres (però no Explorer, Chrome, Safari o Opera). Com a programa de correu tenim Thunderbird i si volem correu web MyKolab i altres serveis com Gmail, Outlook o Yahoo! En cas afirmatiu, es recomana utilitzar l'additiu per a Mailvelope Firefox que implementa GPG. Entre els cercadors es recomana l'ús de Duck Duck i altres serveis en lloc dels més habituals i en el cas dels mapes OpenStreetMap. I en la web podem trobar recomanacions per a una altra mena de serveis.
Però al mateix temps, NSA vol evitar que nosaltres ens escapem de les seves arpes. Han aconseguit tancar alguns serveis web que guarden els nostres correus directament encriptats, per exemple. Lavabit, el servei que usava Snowden, va ser clausurat pels seus amos perquè el govern estatunidenc volia obligar-los a facilitar les dades dels seus clients. Un altre servei similar, Silent Circle, ha tancat perquè en estar als EUA no es fiava que pogués oferir un servei totalment segur. Aquest tipus de serveis queden fora dels EUA, Suïssa, etc.
Sembla que en certa manera el tema de Snowd ha servit per a cridar l'atenció sobre la importància de la privacitat, i l'ús dels serveis alternatius, anònims i criptogràfics anteriorment esmentats ha experimentat un notable augment en els últims mesos. Que el coneixement d'aquest espionatge digital de la ciutadania serveixi, almenys, per a agitar les nostres consciències i, més enllà de buscar alternatives, per a començar a obligar a les administracions que haurien d'estar al nostre servei a abandonar aquestes pràctiques.
Zu idazle
Zientzia aldizkaria
