Derrapades neuronals

diumenge, 14 de juny del 2020

DNSSEC - el .cat un cop més pioner (II)

A puntCAT vam voler ser pioners en molts aspectes a fi d'oferir el millor servei als registrants i als qui visitaven dominis .cat. Era també un punt de diplomàcia pública a través del que representava el domini .cat en el món digital i els espais de la governança d'Internet.

Un dels punts que després de ICANN-32 (París, juny 2008, dos anys i pocs mesos després d'arrencar el .cat) vam tenir clarissim va ser que haviem d'implementar DNSSEC i ser el primer gTLD a oferir-lo. En breu, DNSSEC xifra les comunicacions entre el vostre dispositiu i els servidors de resolució de dominis a fi d'evitar el segrest de la comunicació i que us retornin una adreça IP d'un sevirdor maliciós. A l'època, només uns pocs ccTLDs oferien DNSSEC, i cap gTLD.

Ens vam posar a treballar i planificar els cavis en el backend per a tenir-ho llest ben ràpidament. Però no era només un tema tècnic. Haviem de tenir el vist i plau d'ICANN a fi de modificar el contracte pel qual atorga a la Fundació puntCAT la gestió del domini .cat.

Aquí el document (PDF) del 17 de febrer de 2010 que CORE, el proveïdor d'infraestructura del registre .cat va presentar a ICANN en nom de puntCAT.

Missatges amunt i avall, vam haver d'esperar fins a ICANN-38, del 20 al 25 de juny a Brussel·les, per a que ICANN signés l'acord (modificació del contracte) pel qual ens deixaven oferir aquesta tecnologia. Però ens ho van fer signar, sense dir-nos res, una estona després de que el .org ho presentés en públic.

No en tenim més proves que la sospita d'una tan llarga espera i el fet d'una signatura minuts després de la presentació e la implementació de DNSSEC feta pel .org. Però tot indica que no volien que un petit i nou TLD passes la mà per la cara als grans, i menys al .org, delegat a la Internet Society.

dimarts, 10 de març del 2020

Altra Ràdio - Què podem fer contra el ciber-assetjament

Guió de la intervenció al programa l'Altra Ràdio (Ràdio4).

El 8 de març ja ha passat però no per això hem d’oblidar el que hi reivindiquem. Així que avui voldria recomanar una xerrada TED de n’Eva Galperin (twitter @evacide) – investigadora en seguretat informàtica i cap de ciberseguretat de la Electronic Frontier Fundation, entitat estatunidenca reconeguda arreu del món per la defensa de les llibertats individuals en l’àmbit digital.

Parla sobre el “stalkerware”, és a dir, el programari que es fa servir per a seguir les activitats en línia d’altres, d’amagat, normalment per a assetjar-les o extorsionar-les. D’una banda, la nostra vida digital va deixant rastres per tot arreu. Ens etiqueten en fotografies o anem dient què fem i on som. Aquí cadascú sap el que fa però sovint no pot controlar a 3rs, per propers que aquests siguin.

D’altra, en algunes parelles hi ha el risc de compartir paraules de pas o de que l’altra persona sàpiga les respostes a les típiques preguntes per a recuperar les paraules de pas (eg. “la teva primera mascota”, etc) i pugui segrestar el compte.

Per a evitar-ho, canviar sempre els codis, paraules de pas i respostes de recuperació de tots els teus comptes després (o millor just abans) d’un trencament. A les típiques preguntes de recuperació podem respondre sempre una poca-soltada com “a mi no m’agrada el pebrot” que, evidentment, no és ni el nom de la teva mascota ni del lloc on vas néixer, però és una resposta vàlida i difícil d’encertar.

Però els assetjadors poden preparar programari maliciós (malware) que es descarregui de webs trampejades, o en el cas de possibles assetjadors propers, aprofitar el fet de conèixer les paraules o codis d’accés als dispositius per a instal·lar-hi aquest malware que, d’amagat, els donarà accés a fotografies, geolocalització, accés a la càmera i el micròfon, trucades, missatges, etc. de la víctima.

Malauradament, no tots els antivirus reconeixen el programari assetjador (stalkerware) com a maliciós, sigui per acció o per omissió. Una empresa d’antivirus que s’hi fixa n’ha detectat uns 2500, d’aquests programes.

N’Eva impulsa la “Coalition Against Stalkerware” per a educar als usuaris i convèncer a les empreses d’antivirus per a detectar aquests programes, i poc a poc va aconseguint resultats. Esperem i ajudem-la per a que ho aconsegueixi. El seu èxit és el nostre.

Podeu trobar el vídeo a TED o via l’escurçador: https://ja.cat/evated o, per si mai desapareix: https://www.ted.com/talks/eva_galperin_what_you_need_to_know_about_stalkerware/transcript#t-759625

Més informació:

https://www.wired.com/story/eva-galperin-stalkerware-kaspersky-antivirus/

https://stopstalkerware.org/

dimarts, 7 de gener del 2020

Altra Ràdio - No cal donar sempre les dades bones

Guió de la intervenció al programa l'altra Ràdio (Ràdio4)

Potser recordeu que fa uns anys, el 2015, es va fer pública la base de dades dels usuaris d’una web de trobades anomenada Ashley Madison. Una pífia de seguretat i una base de dades mal protegida.

O els tres de LinkedIn, el 2012, el 2017 i el 2019, amb 6, 117 i 770 milions de comptes, petits davant el cas de Marriott de 2018; allí van poder accedir, i també publicar a Internet, la base de dades d’aquesta cadena d’hotels, amb més de 500 milions de clients. Sí, 500 milions, equivalent a tota la població europea sense comptar l’ex Unió Soviètica.

I altres com l’atac a Yahoo, primer minimitzat i dissimulat per la companyia que després, el 2017, va admetre la captura de 3 mil milions de comptes, sí, 3 mil milions.

Aquests fitxers podien estar xifrats, però segons com s'haguessin protegit les dades amb el hash o el xifrat, podrien ser susceptibles a atacs per a recuperar part de la informació personal.

Com la festa no para, la setmana passada un cercador de “Love hotels”, del Japó, va anunciar que uns desconeguts havien accedit a la seva base de dades d’usuaris. Com aquest servei també permetia la reserva i pagament de les habitacions, sembla que han accedit a les dades personals dels usuaris, com noms, adreces i telèfons, que van fer servir el servei.

S’obre aquí, com en el cas Ashley Madison, un fantàstic panorama propici a extorsions, sorpreses, bronques i malentesos. En aquesta web atacada diuen; “Demanem sinceres disculpes pels inconvenients i ansietat que haguem pogut causar als nostres clients i altres persones”

Doncs res, comencem l’any disminuint l’ “ansietat” i com a propòsits d’any nou recomanar:

No donem mai les vostres dades de debò si no és estrictament necessari (per exemple, per què donar l’adreça postal si no us han d’enviar res?)
Donem-nos de baixa dels serveis d’Internet que ja no fem servir.
No repetim mai les paraules de pas; una de diferent per a cada lloc. Sempre.
I si cal, creeu personalitats diferents per a llocs, diguem-ne, "compromesos”.

No us desanimeu, i Bon Any!

dimarts, 3 de desembre del 2019

AltraRàdio - Les portes del darrera faran inútil el xifrat

Guió per a la intervenció al programa l'Altra Ràdio (Ràdio4).

Estats i policies estan pressionant per a aconseguir trencar els xifrats, trobar-hi vulnerabilitats, o mirar com aconseguir accés privilegiat a les comunicacions xifrades. El que en diuen “backdoors” o portes del darrera.

Com tos hem vist en mil sèries i pel·lícules, les trucades telefòniques són interceptables (les famoses punxades telefòniques); també les dels dispositius mòbils, amb el debat obert ara sobre el grau de xifrat de la telefonia 5G.

El correu electrònic, si no va xifrat, circula en obert i si s’intercepta en qualsevol punt del camí entre emissor i destinatari, és llegible i fins i tot modificable. És com si enviéssim una postal. Des de 1991, amb les a vegades anomenades Crypto Wars o “guerres criptogràfiques”, en referència a la prohibició d’exportar codi de xifrat PGP, ja es va obrir el meló.

Posteriorment amb sistemes com Carnivore, Echelon, el SITEL espanyol, o més modernament els revelats per e n’Edward Snowden com Prism, qui més qui menys estava al cas de que tot era interceptable.

Però des que el xifrat a passat a ser part integrant de les aplicacions de missatgeria i hem anat abandonant les trucades i els sms, aquestes facilitats que tenien policies, espies estatals o de secrets empresarials, investigadors privats o xafarders, han perdut pistonada.

Whatsapp, Telegram o Signal incorporen algun tipus de xifrat, tot i que a voltes cal forçar-lo en les configuracions de l’aplicació. Per a poder travessar aquest mur de protecció de les comunicacions, cal poder trobar alguna vulnerabilitat en els algoritmes de xifrat o colar un malware en el dispositiu a fi de que llegeixi els missatges abans de que es xifrin per a ser enviats. I donada la feinada que exigeixen aquestes opcions, i fins que no arribi la computació quàntica i permeti rebentar els xifrats en poc temps, és un tema recurrent que les policies i estats insisteixin en demanar “portes del darrera” (backdoors) al xifrat o les aplicacions de missatgeria.

El punt és que el xifrat, tal com el coneixem avui en dia, no ho permet. Obrir una porta del darrera de la que només la policia en tindria la clau no és possible doncs obriria en els algoritmes vulnerabilitats que més d’hora que tard serien aprofitades per tercers. A banda dels riscos de “perdre les claus” i que passessin a ser públiques, com les claus de maletes aprovades per el Homeland Security nord americà a fi de que els seus inspectors poguessin obrir qualsevol maleta; algú en va fer una foto i la va publicar a les xarxes socials.

Demanar portes del darrera o dreceres per a poder desxifrar dades o comunicacions xifrades és impossible sense debilitar, fins a fer inútil, el xifrat.

Tot i això, aquest és l’objectiu d’alguns, fer desaparèixer el xifrat de les comunicacions amb la vella però fal·laç cantarella de que si no tens res a amagar no has de tenir por de res. Però com sembla que va dir el cardenal Richelieu (potser no el millor exemple de bona persona però sí mestre en la tergiversació de les lleis), “doneu-me sis línies escrites per la persona més honesta i hi trobaré un motiu per a penjar-lo”.

No ens deixem prendre drets amb la il·lusió de més seguretat, o perdrem els tots dos.

dissabte, 23 de febrer del 2019

Un desig anomenat tramvia

Sí, ho sento, el títol és massa obvi, però és el que hi ha, n'aprenc de la "premsa" esportiva.

No sóc gens expert en trànsit ni obres públiques, però com a ciutadà tinc unes preguntes per als promotors del tramvia per l'avinguda Diagonal de Barcelona.

Diuen que és una inversió de 200 milions d'euros (estudis, desviacions de pressupost i imprevistos a banda).

Diuen que experts de tots colors no ho veuen gens clar (Bel, Acebillo, ...), tot i que n'hi ha d'altres (Puig, Colau, ...) que sembla que sí.

No seré jo qui els vulgui desmentir uns o altres, però com a simple ciutadà, em demano:

Un tramvia exigeix vies i catenària, i per tant obra pública.
Un tramvia, si s'espatlla o té un accident bloqueja el camí i interromp la circulació, anul·lant tota mobilitat fins que s'arregla el problema.
Un tramvia funciona amb electricitat (que pot ser d'origen renovable o no), però avui en dia també hi ha autobusos elèctrics, cosa que no teníem quan es va començar a parlar del tramvia ja fa una bona colla d'anys.
Els autobusos no necessiten obra pública per a circular, potser al límit pintar un carril Bus, però la Diagonal ja en té un en cada sentit.
Els autobusos, si n'hi ha un d'espatllat, poden sortir del seu carril, superar l'obstacle i seguir fent la seva feina sense interrompre el servei. O poden reforçar altres línies si cal.
Quants autobusos elèctrics es poden comprar amb el pressupostat en obra pública per a les vies i catenària (tramvies a banda)?
Si els tramvies tenen més capacitat que els autobusos, amb l'estalvi de no fer l'obra pública es poden comprar més autobusos i augmentar les freqüències.

Amb les dades que tenim a l'abast la majoria dels ciutadans no sembla gens clar que es justifiqui un tramvia, ni a la Diagonal ni enlloc. Sincerament no li veig cap lògica.

Què porta doncs a desitjar tan fortament fer aquesta inversió?

Algú pot respondre aquestes preguntes, il·luminar-nos i ajudar-nos a entendre perquè és millor un tramvia que autobusos elèctrics?

Gràcies

Pàgines