Altra Ràdio - Què podem fer contra el ciber-assetjament

Guió de la intervenció al programa l'Altra Ràdio (Ràdio4).

El 8 de març ja ha passat però no per això hem d’oblidar el que hi reivindiquem. Així que avui voldria recomanar una xerrada TED de n’Eva Galperin (twitter @evacide) – investigadora en seguretat informàtica i cap de ciberseguretat de la Electronic Frontier Fundation, entitat estatunidenca reconeguda arreu del món per la defensa de les llibertats individuals en l’àmbit digital.

Parla sobre el “stalkerware”, és a dir, el programari que es fa servir per a seguir les activitats en línia d’altres, d’amagat, normalment per a assetjar-les o extorsionar-les. D’una banda, la nostra vida digital va deixant rastres per tot arreu. Ens etiqueten en fotografies o anem dient què fem i on som. Aquí cadascú sap el que fa però sovint no pot controlar a 3rs, per propers que aquests siguin.

D’altra, en algunes parelles hi ha el risc de compartir paraules de pas o de que l’altra persona sàpiga les respostes a les típiques preguntes per a recuperar les paraules de pas (eg. “la teva primera mascota”, etc) i pugui segrestar el compte.

Per a evitar-ho, canviar sempre els codis, paraules de pas i respostes de recuperació de tots els teus comptes després (o millor just abans) d’un trencament. A les típiques preguntes de recuperació podem respondre sempre una poca-soltada com “a mi no m’agrada el pebrot” que, evidentment, no és ni el nom de la teva mascota ni del lloc on vas néixer, però és una resposta vàlida i difícil d’encertar.

Però els assetjadors poden preparar programari maliciós (malware) que es descarregui de webs trampejades, o en el cas de possibles assetjadors propers, aprofitar el fet de conèixer les paraules o codis d’accés als dispositius per a instal·lar-hi aquest malware que, d’amagat, els donarà accés a fotografies, geolocalització, accés a la càmera i el micròfon, trucades, missatges, etc. de la víctima.

Malauradament, no tots els antivirus reconeixen el programari assetjador (stalkerware) com a maliciós, sigui per acció o per omissió. Una empresa d’antivirus que s’hi fixa n’ha detectat uns 2500, d’aquests programes.

N’Eva impulsa la “Coalition Against Stalkerware” per a educar als usuaris i convèncer a les empreses d’antivirus per a detectar aquests programes, i poc a poc va aconseguint resultats. Esperem i ajudem-la per a que ho aconsegueixi. El seu èxit és el nostre.

Podeu trobar el vídeo a TED o via l’escurçador: https://ja.cat/evated o, per si mai desapareix: https://www.ted.com/talks/eva_galperin_what_you_need_to_know_about_stalkerware/transcript#t-759625

Més informació:

https://www.wired.com/story/eva-galperin-stalkerware-kaspersky-antivirus/

https://stopstalkerware.org/

Altra Ràdio - No cal donar sempre les dades bones

Guió de la intervenció al programa l'altra Ràdio (Ràdio4)

Potser recordeu que fa uns anys, el 2015, es va fer pública la base de dades dels usuaris d’una web de trobades anomenada Ashley Madison. Una pífia de seguretat i una base de dades mal protegida.

O els tres de LinkedIn, el 2012, el 2017 i el 2019, amb 6, 117 i 770 milions de comptes, petits davant el cas de Marriott de 2018; allí van poder accedir, i també publicar a Internet, la base de dades d’aquesta cadena d’hotels, amb més de 500 milions de clients. Sí, 500 milions, equivalent a tota la població europea sense comptar l’ex Unió Soviètica.

I altres com l’atac a Yahoo, primer minimitzat i dissimulat per la companyia que després, el 2017, va admetre la captura de 3 mil milions de comptes, sí, 3 mil milions.

Aquests fitxers podien estar xifrats, però segons com s'haguessin protegit les dades amb el hash o el xifrat, podrien ser susceptibles a atacs per a recuperar part de la informació personal.

Com la festa no para, la setmana passada un cercador de “Love hotels”, del Japó, va anunciar que uns desconeguts havien accedit a la seva base de dades d’usuaris. Com aquest servei també permetia la reserva i pagament de les habitacions, sembla que han accedit a les dades personals dels usuaris, com noms, adreces i telèfons, que van fer servir el servei.

S’obre aquí, com en el cas Ashley Madison, un fantàstic panorama propici a extorsions, sorpreses, bronques i malentesos. En aquesta web atacada diuen; “Demanem sinceres disculpes pels inconvenients i ansietat que haguem pogut causar als nostres clients i altres persones”

Doncs res, comencem l’any disminuint l’ “ansietat” i com a propòsits d’any nou recomanar:

• No donem mai les vostres dades de debò si no és estrictament necessari (per exemple, per què donar l’adreça postal si no us han d’enviar res?)
• Donem-nos de baixa dels serveis d’Internet que ja no fem servir.
• No repetim mai les paraules de pas; una de diferent per a cada lloc. Sempre.
• I si cal, creeu personalitats diferents per a llocs, diguem-ne, "compromesos”.

No us desanimeu, i Bon Any!

AltraRàdio - Les portes del darrera faran inútil el xifrat

Guió per a la intervenció al programa l'Altra Ràdio (Ràdio4). 

Estats i policies estan pressionant per a aconseguir trencar els xifrats, trobar-hi vulnerabilitats, o mirar com aconseguir accés privilegiat a les comunicacions xifrades. El que en diuen “backdoors” o portes del darrera.

Com tos hem vist en mil sèries i pel·lícules, les trucades telefòniques són interceptables (les famoses punxades telefòniques); també les dels dispositius mòbils, amb el debat obert ara sobre el grau de xifrat de la telefonia 5G.

El correu electrònic, si no va xifrat, circula en obert i si s’intercepta en qualsevol punt del camí entre emissor i destinatari, és llegible i fins i tot modificable. És com si enviéssim una postal. Des de 1991, amb les a vegades anomenades Crypto Wars o “guerres criptogràfiques”, en referència a la prohibició d’exportar codi de xifrat PGP, ja es va obrir el meló.

Posteriorment amb sistemes com Carnivore, Echelon, el SITEL espanyol, o més modernament els revelats per e n’Edward Snowden com Prism, qui més qui menys estava al cas de que tot era interceptable.

Però des que el xifrat a passat a ser part integrant de les aplicacions de missatgeria i hem anat abandonant les trucades i els sms, aquestes facilitats que tenien policies, espies estatals o de secrets empresarials, investigadors privats o xafarders, han perdut pistonada.

Whatsapp, Telegram o Signal incorporen algun tipus de xifrat, tot i que a voltes cal forçar-lo en les configuracions de l’aplicació. Per a poder travessar aquest mur de protecció de les comunicacions, cal poder trobar alguna vulnerabilitat en els algoritmes de xifrat o colar un malware en el dispositiu a fi de que llegeixi els missatges abans de que es xifrin per a ser enviats. I donada la feinada que exigeixen aquestes opcions, i fins que no arribi la computació quàntica i permeti rebentar els xifrats en poc temps, és un tema recurrent que les policies i estats insisteixin en demanar “portes del darrera” (backdoors) al xifrat o les aplicacions de missatgeria.

El punt és que el xifrat, tal com el coneixem avui en dia, no ho permet. Obrir una porta del darrera de la que només la policia en tindria la clau no és possible doncs obriria en els algoritmes vulnerabilitats que més d’hora que tard serien aprofitades per tercers. A banda dels riscos de “perdre les claus” i que passessin a ser públiques, com les claus de maletes aprovades per el Homeland Security nord americà a fi de que els seus inspectors poguessin obrir qualsevol maleta; algú en va fer una foto i la va publicar a les xarxes socials.

Demanar portes del darrera o dreceres per a poder desxifrar dades o comunicacions xifrades és impossible sense debilitar, fins a fer inútil, el xifrat.

Tot i això, aquest és l’objectiu d’alguns, fer desaparèixer el xifrat de les comunicacions amb la vella però fal·laç cantarella de que si no tens res a amagar no has de tenir por de res. Però com sembla que va dir el cardenal Richelieu (potser no el millor exemple de bona persona però sí mestre en la tergiversació de les lleis), “doneu-me sis línies escrites per la persona més honesta i hi trobaré un motiu per a penjar-lo”.

No ens deixem prendre drets amb la il·lusió de més seguretat, o perdrem els tots dos.

.cat i RGPD, un cop més, pioners

El passat 25 de maig va entrar ja en total aplicabilitat la GDPR o RGPD (General Data Protection Regulation, Reglament General de Protecció de Dades). De ben segur heu rebut una bona pila de correus electrònics d’entitats i empreses demanant-vos que accepteu certs canvis en la normativa d’ús i doneu consentiment explícit a seguir en la seva base de dades. Entre d’altres coses, el RGPD implica que el conegut servei “whois” a través del qual qualsevol persona pot saber qui és el titular d’un domini Internet, la seva bústia electrònica, adreça postal i telèfon, canvia i haurà de protegir aquestes dades de l’escrutini públic.

A .cat vàrem fer la feina molt abans.

Quan vam posar en marxa el .cat (2006) vam haver d’acceptar les condicions que imposava ICANN a tots els gTLD (dominis genèrics de primer nivell). Entre d’altres un Whois amb totes les dades públiques i obert a tothom. Era això o res. ICANN no entenia ni volia sentir parlar de canvis en el whois, i menys de part d’un nou gTLD que no sabien molt bé com podria funcionar. Però un mes després de començar, en una reunió de treball de gTLDs que ICANN va organitzar a Barcelona (Hotel 1898), ja vam tornar a treure el tema; el whois, tal com el volia ICANN, mostrant totes les dades aportades pel titular del domini (registrant), no s’ajustava a les nostres expectatives de privadesa ni al que l’agència de protecció de dades podia demanar.

Així doncs vam començar un llarg però incansable procés de negociació amb ICANN qui finalment va obrir un procés de discussió (gener 2012) que va culminar amb l'aprovació de la nostra demanda i la signatura del canvi (PDF) a finals de l’any 2012, signat a ICANN45 (Toronto).

Els registrants d’un domini .cat que es declaraven persones físiques al registrar el domini tindrien les seves dades personals amagades al whois, i si volien, les podien mostrar. Per contra, els dominis .cat de persones jurídiques no podien escollir i mostraven, com sempre s’havia fet, totes les dades de contacte a fi de facilitar una comprovació de titularitat i oferir més seguretat als usuaris Internet i consumidors en general. Donat que el registre seguia rebent totes les dades de contacte i només amagava les de les persones físiques titulars que així ho volien, sempre hi havia la possibilitat de que qui realment tingués dret a saber qui era el titular d’un domini .cat, ho pogués demanar al registre.

Tot i aquest antecedent, sembla que ICANN no en va aprendre i que la GDPR li ha vingut de nou; ara tot són corre-cuites i no s’ha pogut acordar cap estàndard.

Val a dir però, que a ICANN s’enfronten dues percepcions radicalment diferents de la percepció de la privadesa. Per una banda les “constituencies” o grups d’interès amb veu i vot que representen els usuaris (NCUC, NPOC i ALAC – de la que ISOC-CAT, patró de la Fundació puntCAT, n’és membre) que volen una bona protecció de la privadesa dels registrants. Per l’altra, les “constituencies” que agrupen a certes empreses, les de les forces de seguretat i les de protecció de marques, que volen poder saber en tot moment i en obert qui és el titular d’un domini genèric (els de 3 o més lletres).

La indefinició d’ICANN, junt amb les diferents interpretacions que alguns registradors fan de l’aplicació del RGPD, està començat a generar tensions que segurament portaran cua. De moment sembla que la legislació europea s’ha decantat aquest cop a favor dels usuaris, de protegir el dret a la privadesa i a no ser seguits constantment. Què pensaríem si es reproduís en el món no digital el seguiment que patim, sense consentiment i sovint ni tan sols saber-ho, en el món digital? En qualsevol cas, en tenim el dret, exercim-lo.