Kriptópolis

Mucho se ha hablado -particularmente aquí, en Kriptópolis- sobre el espionaje (léase retención de comunicaciones, para no ser tan alarmistas) al que los gobiernos pueden someter a los ciudadanos.

Es bastante claro que ya hay iniciativas para evitarlo: desde las redes "cebolla" como Tor a protocolos con cifrado punto a punto como HTTPS.

La ventaja de los primeros es que nadie sabe con quién comunicas. La ventaja (o desventaja) de los segundos es que una autoridad central te garantiza que comunicas con quien realmente quieres.

Y digo "comunicar" y no "navegar" porque ambos esquemas se pueden utilizar para multitud de cosas distintas: se puede navegar por Tor, descargar archivos por Tor, estar en redes de iguales por Tor y enviar correo electrónico por Tor. Igualmente se puede navegar por HTTPS, descargar ficheros por FTPS, etc.

La desventaja de todos estos sistemas es la misma: lenta implantación. Y ello se debe a que están en la capa de transporte.

Hasta aquí, el análisis. Ahora mi (quizá no tan) loca idea...

Pocas semanas después de que el Parlamento Europeo aprobara la retención de datos de nuestras telecomunicaciones, ya trascendió el interés de Estados Unidos por acceder a los mismos.

Si bien entonces se dijo que habría que llegar a acuerdos en ese sentido con cada estado miembro, la presidencia austríaca parece haber decidido allanar el camino al FBI, al afirmar que los datos disponibles "lo estarán, como cualquier otro dato, a tenor de los que establecen los acuerdos ya existentes..."

La Electronic Frontier Foundation acaba de presentar ante las autoridades judiciales de Estados Unidos alegaciones y pruebas contra AT&T, a la que acusa de desviar tráfico de Internet hacia la NSA, violando así presuntamente las leyes federales sobre escuchas y la Cuarta Enmienda constitucional.

Entre las pruebas se incluyen declaraciones de un ex-técnico de AT&T y varios documentos internos de esta empresa.

-¿Es cierto que Microsoft nos espía a través de Windows?

-Sí. Hay dos formas conocidas de vigilancia. Cuando el usuario busca una palabra en sus propios archivos, el ordenador envía un mensaje diciendo qué palabras se han buscado, y cuando Windows pide una actualización, envía un mensaje a Microsoft con la lista de todos los programas instalados en la máquina.

-Es terrible.

-Es la consecuencia de haberles concedido el poder. Una empresa, una vez que tiene el poder, siempre abusa.

[Fuente: Entrevista a Richard Stallman en La Opinión- A Coruña Digital]

A la actual administración de la presunta patria del libre mercado no parece gustarle nada la posibilidad de que el detector de intrusiones Snort pase a manos de una empresa israelí. Y está haciendo todo lo posible por impedirlo.

La venta de Sourcefire Inc. (la empresa norteamericana que comercializa Snort) a la israelí Check Point está ahora pendiente de una extraña y larga investigación, motivada por las objeciones del FBI y el Pentágono a que una empresa extranjera se haga con el control del detector de intrusiones utilizado por los ordenadores del gobierno norteamericano (que es también el mismo -por cierto- que utilizan muchos de nuestros lectores en su propio cortafuegos...)

Cualquiera que conozca un poco los Estados Unidos sabe que hay algunas cosas que los norteamericanos no perdonan; por ejemplo, que sus derechos sean violados por su propio gobierno.

Por eso, cuando el presidente Bush admitió en diciembre pasado que su gobierno había espiado a miles de sus ciudadanos sin la preceptiva orden judicial, resultó fácil anticipar que el asunto traería algunas consecuencias.

Primero fueron dos organizaciones de derechos civiles las que demandaron al gobierno estadounidense; ahora es The New York Times quien acaba de presentar otra demanda contra el Departamento de Defensa, para que sean los jueces quienes ordenen la entrega de los documentos sobre espionaje doméstico que el diario ya había solicitado cuando destapó el escándalo...

Actualización: Acaba de conocerse que senadores estadounidenses (tanto demócratas como republicanos) presionan también para que el gobierno facilite la plena investigación del caso.

Soy el responsable de seguridad de una empresa de desarrollo de software. Supuestamente el IT Manager, es decir, si las copias de seguridad fallan, yo soy el culpable. Si entran en nuestros ordenadores, o si copian todo el contenido de nuestro CVS, yo soy también el culpable. Pero si creéis que soy yo quien puede decidir sobre las medidas a tomar para que estas cosas no ocurran, estáis muy equivocados. En esta empresa, como en la mayoría de las empresas aquí en España, quien manda es, cómo no, el JEFE.

Y no es que me parezca mal. Oye, la empresa es suya. Lo que me parece mal es que luego vengan a mi cubo a llorar. Y es que siempre hay presupuesto para que cambien de móvil 5 o 6 veces al año, pero nunca para un robot de cintas para las copias de seguridad.

La empresa para la que trabajo no se dedica a hacer páginas webs, ni un software demasiado tradicional. Creédme cuando os digo que puede haber empresas muy muy grandes interesadas en saber qué es lo que hacemos, cuáles son nuestros últimos algoritmos de optimización, y a qué clientes estamos tanteando, pero -como dice mi jefe- ¿quién se va a poner a mirar lo que hacemos?...

Hace tiempo ya hablé de los riesgos de algunas tecnologías propietarias y el oscurantismo que las rodea, algo que bien se puede aplicar a la reciente discusión sobre el e-dni y sus aplicaciones anejas. Por ello, quiero desempolvar uno de mis artículos "Ejemplo de los riesgos de las tecnologías propietarias", que trata sobre la escandalosa poca seguridad del GSM. Un artículo que aunque afecta millones de usuarios de esta tecnología, se encontraba casi enterrado en la memoria de Internet.

Muchos pueden pensar que este tema de la retención de datos y el acceso a las comunicaciones no les afecta, puesto que no tienen nada que ocultar, pero se equivocan y mucho. De hecho, casi nadie es consciente de lo que puede interpretar otra persona, que no nos conoce, de lo que hablamos y no puede situar en ningún contexto...