Altra Ràdio - No cal donar sempre les dades bones

Guió de la intervenció al programa l'altra Ràdio (Ràdio4)

Potser recordeu que fa uns anys, el 2015, es va fer pública la base de dades dels usuaris d’una web de trobades anomenada Ashley Madison. Una pífia de seguretat i una base de dades mal protegida.

O els tres de LinkedIn, el 2012, el 2017 i el 2019, amb 6, 117 i 770 milions de comptes, petits davant el cas de Marriott de 2018; allí van poder accedir, i també publicar a Internet, la base de dades d’aquesta cadena d’hotels, amb més de 500 milions de clients. Sí, 500 milions, equivalent a tota la població europea sense comptar l’ex Unió Soviètica.

I altres com l’atac a Yahoo, primer minimitzat i dissimulat per la companyia que després, el 2017, va admetre la captura de 3 mil milions de comptes, sí, 3 mil milions.

Aquests fitxers podien estar xifrats, però segons com s'haguessin protegit les dades amb el hash o el xifrat, podrien ser susceptibles a atacs per a recuperar part de la informació personal.

Com la festa no para, la setmana passada un cercador de “Love hotels”, del Japó, va anunciar que uns desconeguts havien accedit a la seva base de dades d’usuaris. Com aquest servei també permetia la reserva i pagament de les habitacions, sembla que han accedit a les dades personals dels usuaris, com noms, adreces i telèfons, que van fer servir el servei.

S’obre aquí, com en el cas Ashley Madison, un fantàstic panorama propici a extorsions, sorpreses, bronques i malentesos. En aquesta web atacada diuen; “Demanem sinceres disculpes pels inconvenients i ansietat que haguem pogut causar als nostres clients i altres persones”

Doncs res, comencem l’any disminuint l’ “ansietat” i com a propòsits d’any nou recomanar:

• No donem mai les vostres dades de debò si no és estrictament necessari (per exemple, per què donar l’adreça postal si no us han d’enviar res?)
• Donem-nos de baixa dels serveis d’Internet que ja no fem servir.
• No repetim mai les paraules de pas; una de diferent per a cada lloc. Sempre.
• I si cal, creeu personalitats diferents per a llocs, diguem-ne, "compromesos”.

No us desanimeu, i Bon Any!

AltraRàdio - Les portes del darrera faran inútil el xifrat

Guió per a la intervenció al programa l'Altra Ràdio (Ràdio4). 

Estats i policies estan pressionant per a aconseguir trencar els xifrats, trobar-hi vulnerabilitats, o mirar com aconseguir accés privilegiat a les comunicacions xifrades. El que en diuen “backdoors” o portes del darrera.

Com tos hem vist en mil sèries i pel·lícules, les trucades telefòniques són interceptables (les famoses punxades telefòniques); també les dels dispositius mòbils, amb el debat obert ara sobre el grau de xifrat de la telefonia 5G.

El correu electrònic, si no va xifrat, circula en obert i si s’intercepta en qualsevol punt del camí entre emissor i destinatari, és llegible i fins i tot modificable. És com si enviéssim una postal. Des de 1991, amb les a vegades anomenades Crypto Wars o “guerres criptogràfiques”, en referència a la prohibició d’exportar codi de xifrat PGP, ja es va obrir el meló.

Posteriorment amb sistemes com Carnivore, Echelon, el SITEL espanyol, o més modernament els revelats per e n’Edward Snowden com Prism, qui més qui menys estava al cas de que tot era interceptable.

Però des que el xifrat a passat a ser part integrant de les aplicacions de missatgeria i hem anat abandonant les trucades i els sms, aquestes facilitats que tenien policies, espies estatals o de secrets empresarials, investigadors privats o xafarders, han perdut pistonada.

Whatsapp, Telegram o Signal incorporen algun tipus de xifrat, tot i que a voltes cal forçar-lo en les configuracions de l’aplicació. Per a poder travessar aquest mur de protecció de les comunicacions, cal poder trobar alguna vulnerabilitat en els algoritmes de xifrat o colar un malware en el dispositiu a fi de que llegeixi els missatges abans de que es xifrin per a ser enviats. I donada la feinada que exigeixen aquestes opcions, i fins que no arribi la computació quàntica i permeti rebentar els xifrats en poc temps, és un tema recurrent que les policies i estats insisteixin en demanar “portes del darrera” (backdoors) al xifrat o les aplicacions de missatgeria.

El punt és que el xifrat, tal com el coneixem avui en dia, no ho permet. Obrir una porta del darrera de la que només la policia en tindria la clau no és possible doncs obriria en els algoritmes vulnerabilitats que més d’hora que tard serien aprofitades per tercers. A banda dels riscos de “perdre les claus” i que passessin a ser públiques, com les claus de maletes aprovades per el Homeland Security nord americà a fi de que els seus inspectors poguessin obrir qualsevol maleta; algú en va fer una foto i la va publicar a les xarxes socials.

Demanar portes del darrera o dreceres per a poder desxifrar dades o comunicacions xifrades és impossible sense debilitar, fins a fer inútil, el xifrat.

Tot i això, aquest és l’objectiu d’alguns, fer desaparèixer el xifrat de les comunicacions amb la vella però fal·laç cantarella de que si no tens res a amagar no has de tenir por de res. Però com sembla que va dir el cardenal Richelieu (potser no el millor exemple de bona persona però sí mestre en la tergiversació de les lleis), “doneu-me sis línies escrites per la persona més honesta i hi trobaré un motiu per a penjar-lo”.

No ens deixem prendre drets amb la il·lusió de més seguretat, o perdrem els tots dos.

Un desig anomenat tramvia

Sí, ho sento, el títol és massa obvi, però és el que hi ha, n'aprenc de la "premsa" esportiva.

No sóc gens expert en trànsit ni obres públiques, però com a ciutadà tinc unes preguntes per als promotors del tramvia per l'avinguda Diagonal de Barcelona.

Diuen que és una inversió de 200 milions d'euros (estudis, desviacions de pressupost i imprevistos a banda).

Diuen que experts de tots colors no ho veuen gens clar (Bel, Acebillo, ...), tot i que n'hi ha d'altres (Puig, Colau, ...) que sembla que sí.

No seré jo qui els vulgui desmentir uns o altres, però com a simple ciutadà, em demano:

• Un tramvia exigeix vies i catenària, i per tant obra pública.
• Un tramvia, si s'espatlla o té un accident bloqueja el camí i interromp la circulació, anul·lant tota mobilitat fins que s'arregla el problema.
• Un tramvia funciona amb electricitat (que pot ser d'origen renovable o no), però avui en dia també hi ha autobusos elèctrics, cosa que no teníem quan es va començar a parlar del tramvia ja fa una bona colla d'anys.
• Els autobusos no necessiten obra pública per a circular, potser al límit pintar un carril Bus, però la Diagonal ja en té un en cada sentit.
• Els autobusos, si n'hi ha un d'espatllat, poden sortir del seu carril, superar l'obstacle i seguir fent la seva feina sense interrompre el servei. O poden reforçar altres línies si cal.
• Quants autobusos elèctrics es poden comprar amb el pressupostat en obra pública per a les vies i catenària (tramvies a banda)?
  
• Si els tramvies tenen més capacitat que els autobusos, amb l'estalvi de no fer l'obra pública es poden comprar més autobusos i augmentar les freqüències.
  

Amb les dades que tenim a l'abast la majoria dels ciutadans no sembla gens clar que es justifiqui un tramvia, ni a la Diagonal ni enlloc. Sincerament no li veig cap lògica.

Què porta doncs a desitjar tan fortament fer aquesta inversió?

Algú pot respondre aquestes preguntes, il·luminar-nos i ajudar-nos a entendre perquè és millor un tramvia que autobusos elèctrics?

Gràcies

No passareu!

Coincidint amb l'aniversari de l'acabament de la Primera Guerra Mundial, recullo aquí alguns enllaços sobre la història del famós crit "No passaran!". L'origen de la seva popularitat actual sembla seguir aquesta cronologia.

1915: Poema d'Apel·les Mestres en protesta contra la invasió de Bèlgica de 1914 i amb el que Mestres va guanyar l'englantina d'Or dels Jocs Florals de Barcelona, entre d'altes, amb el poema "La cançó dels invàlids" que repeteix "No passareu!". Posteriorment (1920) Mestres va ser distingit per França com a cavaller de la Legió d’Honor. El poema es va popularitzar entre els voluntaris catalans allistats amb França. (Referència 1)

1916: El general francès Robert Nivelle durant l'ofensiva alemanya sobre Verdun "Ils ne passeront pas!". Posteriorment hi hagué una adaptació feta per soldats romanesos a la batalla de Mărășești. (Referència 2)

1936: Resistència republicana a Madrid, a través d'un discurs de Dolores Ibàrruri, que és potser la versió que ha quedat en l'imaginari popular i és repetida arreu. (Referència 3)

1954: Llibre de J.R.R. Tolkien publicat el 1954, "The Fellowship of the Ring", on Gandalf diu al Bàrlog, "You cannot pass, flame of Udûn!". Per casualitat o per haver-ho escoltat Tolkien a la batalla de la Somme en la que va participar. En la traducció de Francesc Parcerisas, diu "No pots passar".

I posteriorment repetida en molts més llocs i moments.

.cat i RGPD, un cop més, pioners

El passat 25 de maig va entrar ja en total aplicabilitat la GDPR o RGPD (General Data Protection Regulation, Reglament General de Protecció de Dades). De ben segur heu rebut una bona pila de correus electrònics d’entitats i empreses demanant-vos que accepteu certs canvis en la normativa d’ús i doneu consentiment explícit a seguir en la seva base de dades. Entre d’altres coses, el RGPD implica que el conegut servei “whois” a través del qual qualsevol persona pot saber qui és el titular d’un domini Internet, la seva bústia electrònica, adreça postal i telèfon, canvia i haurà de protegir aquestes dades de l’escrutini públic.

A .cat vàrem fer la feina molt abans.

Quan vam posar en marxa el .cat (2006) vam haver d’acceptar les condicions que imposava ICANN a tots els gTLD (dominis genèrics de primer nivell). Entre d’altres un Whois amb totes les dades públiques i obert a tothom. Era això o res. ICANN no entenia ni volia sentir parlar de canvis en el whois, i menys de part d’un nou gTLD que no sabien molt bé com podria funcionar. Però un mes després de començar, en una reunió de treball de gTLDs que ICANN va organitzar a Barcelona (Hotel 1898), ja vam tornar a treure el tema; el whois, tal com el volia ICANN, mostrant totes les dades aportades pel titular del domini (registrant), no s’ajustava a les nostres expectatives de privadesa ni al que l’agència de protecció de dades podia demanar.

Així doncs vam començar un llarg però incansable procés de negociació amb ICANN qui finalment va obrir un procés de discussió (gener 2012) que va culminar amb l'aprovació de la nostra demanda i la signatura del canvi (PDF) a finals de l’any 2012, signat a ICANN45 (Toronto).

Els registrants d’un domini .cat que es declaraven persones físiques al registrar el domini tindrien les seves dades personals amagades al whois, i si volien, les podien mostrar. Per contra, els dominis .cat de persones jurídiques no podien escollir i mostraven, com sempre s’havia fet, totes les dades de contacte a fi de facilitar una comprovació de titularitat i oferir més seguretat als usuaris Internet i consumidors en general. Donat que el registre seguia rebent totes les dades de contacte i només amagava les de les persones físiques titulars que així ho volien, sempre hi havia la possibilitat de que qui realment tingués dret a saber qui era el titular d’un domini .cat, ho pogués demanar al registre.

Tot i aquest antecedent, sembla que ICANN no en va aprendre i que la GDPR li ha vingut de nou; ara tot són corre-cuites i no s’ha pogut acordar cap estàndard.

Val a dir però, que a ICANN s’enfronten dues percepcions radicalment diferents de la percepció de la privadesa. Per una banda les “constituencies” o grups d’interès amb veu i vot que representen els usuaris (NCUC, NPOC i ALAC – de la que ISOC-CAT, patró de la Fundació puntCAT, n’és membre) que volen una bona protecció de la privadesa dels registrants. Per l’altra, les “constituencies” que agrupen a certes empreses, les de les forces de seguretat i les de protecció de marques, que volen poder saber en tot moment i en obert qui és el titular d’un domini genèric (els de 3 o més lletres).

La indefinició d’ICANN, junt amb les diferents interpretacions que alguns registradors fan de l’aplicació del RGPD, està començat a generar tensions que segurament portaran cua. De moment sembla que la legislació europea s’ha decantat aquest cop a favor dels usuaris, de protegir el dret a la privadesa i a no ser seguits constantment. Què pensaríem si es reproduís en el món no digital el seguiment que patim, sense consentiment i sovint ni tan sols saber-ho, en el món digital? En qualsevol cas, en tenim el dret, exercim-lo.