Si no hubiera leido que el Decano de Johns Hopkins le pidió a Matthew Green, profesor de Criptografía de esa Universidad que remueva los posts sobre la NSA de sus servers, tal vez, no me hubiera dado cuenta que definitivamente las revelaciones de Edward Snowden están llevando una guerra en la comunidad de criptografía como no había desde hace décadas y 1 Password hizo genial en resucitarla para entender el momento actual.
Hubo un tiempo en el que era simple para mi enojarme porque, a nivel laboral, me pasaban información o claves en texto plano por Whatsapp y pese a explicarlo mil veces muchos siguen haciendolo... no se imaginan como se complicó explicarle a la gente todas las formas en las que la NSA o la comunidad de inteligencia pueden acceder a tus datos.
Quizas es más simple explicar en dos detalles el poder de esto; cuando UK decidió detener a la pareja de Glenn Geenwald nos dimos cuenta que el tema era serio, al lado de la cantidad de datos que Edward Snowden publico... Wikileaks es casi irrelevante y la comunidad de seguridad informática empezó a darse cuenta que estaban siendo atacados mientras todos jugaban a ser "parte de un mismo equipo.
Vamos de nuevo: En cada paso de una cadena de información hay una forma, probada por los papeles liberados por Edward Snowden, en la que alguien está espiandote y la lista es simple:
- Obligación legal de dar datos al gobierno ocultandolo al usuario espiado.[razon por la cual Lavabit cerró sus puertas]
- Crear vulnerabilidades en software masivo con gente infiltrada en una empresa [PDF secreto de Sigint]
- Interceptar todo el tráfico de internet y guardarlo hasta que necesites algo y puedas buscarlo... si, desde el "caño" :) [Narus y etc en Ars]
- Promover estándares con debilidades o que no son seguros. [Dual_EC_DRBG]
- Aplicar fuerza bruta a la información cifrada débilmente [y Google empieza su carrera de cifrado 2048]
- Empresas como AT&T que entregan información voluntariamente (y están protegidas legalmente) [DEA-ATT]
¿Se dieron cuenta que esto es simplemente impresionante? Creo que esa lista de 6 puntos muestran que siempre hay un punto débil y que con el presupuesto adecuado la NSA y GCHQ pueden encontrar donde atacar; ¿transmitís en texto plano? ellos interceptan y analizan el tráfico, ¿transmitís encriptado? debilitan estándares y tienen backdoors en algunos "partners"; ¿le sumas cifrado 2048? ponen supercomputadoras con fuerza bruta... y así sucesivamente.
Y si uno imagina que el presupuesto de este programa [SIGINT] es grande porque es de u$s250 millones de dólares al año, mientras que PRISM tenía un costo de u$s20 millones al año... el presupuesto de inteligencia de USA es de u$s52.600 millones anuales que se dividen entre 5 agencias y con 107.000 empleados.. ¿en serio imaginan que les faltan recursos? Si hasta reembolsan gastos a las empresas [ie: Yahoo, Google, Microsoft y Facebook] que les proveen los datos judiciales.
Es por eso que, aunque el mismo Bruce Schneier diga que "Nuestra mejor defensa es hacer que la vigilancia les sea tan cara como sea posible." por medio de herramientas open-source, veo esos números y me pregunto si alguien puede enfrentarse a ellos o si uno se puede enfrentar solo explicando los problemas que se enfrentan al comunicarse en texto plano.
Sinceramente creo que el artículo de la gente de 1Password sobre las antiguas Crypto Wars y su artículo explicando porque evitan el uso de "la nube" me hace pensar que esta división entre las comunidades académicas/haackers y las de inteligencia va a volver a generar un problema donde los que pierden son los usuarios.
Leo notas diariamente que muestran todos los problemas que esto está causando y si Brasil está empezando a quejarse en serio, si Google está corriendo a mejorar el cifrado de sus datos [los rumores dicen que analizan 4096-keys ya mismo], si los medios están liberando documentos cada semana que van mas profundo... me pregunto si alguien sabe donde esto termina realmente.
La guerra entre una parte de internet y los agencias gubernamentales está otra vez arriba y la realidad es que hasta por interés propio uno piensa a quien vale la pena apoyar ¿o se imaginan que los backdoors que inventan no pueden ser aprovechados por terceros? ¿o que "no tengo nada que ocultar" es válido?
Es imposible terminar este tema... cada minuto aparecen novedades, pero estoy aprendiendo como dicen en The Guardian: el cifrado es tu amigo ;) y esto va a ayudar a que mejoremos las herramientas de privacidad.
Nota: NO puedo terminar esto sin recomendarles el magnífico post de Matthew Green. Y el documento de la NSA en su batalla contra la criptografía. Y el análisis de The Guardian sobre ese documento.