Acciones

Cómo escoger herramientas más seguras

De wiki

Revisión del 11:54 20 dic 2018 de Hola (discusión | contribuciones) (Página creada con «Originalmente creado por g@kéfir y ex-integrante del Laboratorio de Interconectividades para [https://wiki.lab-interconectividades.net https://wiki.lab-interconectividades...»)
(dif) ← Revisión anterior | Revisión actual (dif) | Revisión siguiente → (dif)

Originalmente creado por g@kéfir y ex-integrante del Laboratorio de Interconectividades para https://wiki.lab-interconectividades.net

Introducción

  • No existe una herramienta que te otorgue una protección absoluta frente a la vigilancia y en todos los casos.
  • Quienes atacan tu seguridad digital siempre buscarán el elemento más débil de tus prácticas de seguridad.
  • Cuando utilizas una nueva herramienta segura, debes pensar en cómo su uso podría afectarte y en qué otras formas podría convertirte en blanco. Recuerda tu modelo de amenazas. No necesitas comprar un sistema de telefonía cifrado caro que dice ser "a prueba de la NSA" si tu mayor amenaza es la vigilancia física de un investigador privado sin acceso a las herramientas de vigilancia digitales. Alternativamente, si estás enfrentando un gobierno que encarcela a los disidentes regularmente porque utilizan herramientas de cifrado, tiene entonces sentido usar trucos más simples - como un conjunto de códigos preestablecidos-, en lugar de arriesgarte a dejar en evidencia que utilizas un programa de cifrado en tu computadora portátil.

Saber escoger herramientas más seguras de manera crítica es una capacidad digital muy importante frente a las vulnerabilidades que puedes presentar en tu Modelo_de_Amenazas_y_Riesgos. En la sección #Algunos casos-ejemplo puedes ver cómo herramientas popularizadas sin fundamento y revisión técnica pueden ser hasta contraproducentes y ponerte en una situación hasta más vulnerable.

Criterios

Generalmente, las herramientas suelen tener página web oficial. Desde ahí pueden obtener información para revisarlo bajo los siguientes criterios:

¿Qué tan transparente es?

Cuando estés considerando el uso de una herramienta, debes comprobar si el código fuente está disponible, y si tiene una auditoría de seguridad independiente (es decir, que alguna entidad externa calificada) para confirmar la calidad de su seguridad.

  Código libre = permite que otrxs puedan examinarlo, modificarlo y compartirlo =buscar fallas de seguridad, y ayudar así a mejorar el  programa.

Para ello, puedes fijarte si la licencia es libre. Suele aparecer en la descripción del software/herramienta o a pie de página en la web de la herramienta/software. Si tardas más de 5 minutos en encontrar la Licencia, mala señal.

Lee los Términos de Servicios y Políticas de Privacidad

¿Qué tipo de cláusulas estipula la herramienta? ¿Qué pretenden hacer con tus datos? ¿Cuáles son las condiciones de usar la herramienta?

¿Cuán claros son lxs desarrolladorxs acerca de las ventajas y desventajas? ¿y los medios de comunicación?

  • Ningún programa ni hardware es totalmente seguro.
  • Honestidad acerca de las limitaciones.

Muchos medios de comunicación adulteran y exageran a la hora de presentar herramientas "ideales" sin citar correctamente fuentes.

Actualizaciones & Documentación

¿Tiene actualizaciones e información para corregir nuevas vulnerabilidades? Una herramienta desactualizada es una herramienta insegura. También que haya documentación, manuales acerca de cómo funciona y cómo usar el software.

Posicionamiento político: ¿Qué sucede si lxs desarrolladorxs se ven comprometidos?

Los fabricantes de herramientas de seguridad deben tener un modelo de amenaza clara.

Descripción explícita en la documentación frente a qué tipo de atacantes pueden protegerte más eficientemente.

¿Si ellxs mismxs se ven comprometidos o deciden atacar a sus propios usuarios?. Por ejemplo, si un tribunal o gobierno obliga a una empresa a ceder los datos personales o a crear una "puerta trasera" que eliminará todas las protecciones de la herramienta ofrece.

Es posible que desees considerar la jurisdicción (es) donde los fabricantes se basan. Si tu amenaza proviene del gobierno de Irán, por ejemplo, una empresa con sede en los Estados Unidos será capaz de resistir a las órdenes judiciales iraníes, incluso si debe cumplir con las órdenes de EE.UU.

Busca frases en la licencia que aseguren que un creador no puede acceder a los datos privados, en lugar de promesas de que un creador no lo hará. Busca instituciones con fama de luchar contra las órdenes judiciales para proteger los datos personales.

¿A qué lógica responde?

¿Sigue un modelo empresarial? ¿Puede una herramienta con enfoque empresarial asegurar una privacidad en el sentido amplio?

Ejemplo: https://www.ghostery.com/en/ Ghostery ® is a global technology company that provides solutions for online transparency and control to individuals and businesses.

Cómo funciona

¿Dónde está siendo encriptada la información? Puedes encriptar en tu máquina localmente (es lo que sucede cuando uso una llave gpg desde un cliente de correo en mi máquina) o puede ser encriptado a nivel del servidor externo (el host). Ejemplos serían Hushmail o Cryptocat. El problema de que la encriptación se realice fuera de nuestro alcance es justamente eso, que no podemos asegurar que efectivamente se esté encriptando ni que seamos lxs únicos que tengamos acceso a nuestra comunicación[1].


¿Conoces a otrxs que utilizan la misma herramienta?

Mantenerse al día con las últimas noticias de una herramienta en particular es un trabajo enorme para una sola persona, si tienes colegas que usan un producto o servicio en particular, trabaja con ellos para estar al tanto de lo que está pasando. Busca reseñas y críticas en hacklabs, redes y plataformas hacktivistas confiables

Como ya se ha comentado, no existe una "verdad" sobre la privacidad y nadie te la asegura. Se requiere de una dosis de crítica y construir círculos de confianza para determinar qué proceso de seguridad digital es la que más te conviene.

Checa referencias en:

https://prism-break.org/es/ http://wiki.hackcoop.com.ar http://tacticaltech.org

Debate

Hace unos meses, a través de una lista de correos "Unlike Us", se problematizó el ranking que había hecho "Electronic Frontier Foundation" sobre aplicaciones "seguras".

Las principales críticas fueron:

  • que no distingue entre código privativo y código libre. Esto de hecho contradice con los puntos anteriores que vienen de un proyecto de documentación sobre autodefensa digital de la EFF.
  • la auditoría del código por una entidad externa es ambigua (en casos no es externa a la empresa desarrolladora) y no especifica que este examen sea desvinculado a organismos de vigilancia y control. Además, hay una cuestión de poder en la medida que hay desarrolladores que no tienen dinero para pagar una consultoria externa y la EFF tiene un criterio oficialista y formal sobre qué tipo de auditorías puede ser. Ponen el ejemplo de Snapchat.
  • que de todas maneras, después de la auditoría, el gobierno o x pueden obligar a la empresa a introducir una "puerta trasera" en el código.
  • no incluye que se almacenen metadatos (criterio fundamental en según E.Snowden).

Frente a "auditoría" se puede adoptar el término "peer reviewed" (revisado entre pares).

Una alternativa más crítica a la propuesta por EFF es la comparación realizada en Secushare.


No vamos a clavarnos aún con esto, pero sería interesante levantar un grupo de investigación para estudiar esta comparativa, traducirla y probar herramientas. Básicamente destaca que la mayoría de las herramientas, incluso las que se están reconociendo como "supuestamente seguras" no cumplen con uns requisitos más integrales de seguridad y autonomía.


Algunos casos-ejemplo

Ghostery

Claramente, en la imagen podemos observar que se trata de una empresa, que si bien el software de Ghostery está sujeto a una licencia , es un producto creado por Ghostery Inc, una empresa de software estadounidense que se dedica a confeccionar productos y servicios relacionados con anuncios online, inteligencia de marketing y privacidad en internet [2]. ¿Curiosa combinación, no? Ghostery Inc. recibe inyecciones de dinero por parte de entidades de capital de inversión privada como Warburg Pincus


En su página web, Ghostery explica que a cambio de ofrecer una herramienta "gratuita", pide que "donemos un poco de nuestros datos" (esta donación lo denomina "Ghost Rank"). Aclara que son datos no son "sobre nosotrxs" sino sobre los rastreadores [3] . En concreto:

  • el rastreador identificado por Ghostery.
  • la página de la cual procede el rastreador.
  • el protocolo de la página de la cual procede el rastreador.
  • información sobre si el rastreador fue bloqueado.
  • el url del rastreador en cuestión.
  • el tiempo que tarda la página y el rastreador en cargar.
  • la posición del rastreador en la página.
  • el navegador que estás usando.
  • información sobre la versión de Ghostery.
  • información estándar de acceso al servidor web como dirección IP, cabeceros HTTP (aclaran que no almacenan estas direcciones IP).

¿Qué hace Ghostery con estos datos?

"Tomamos esa información, agregamos nuestros análisis y los vendemos a marcas y páginas para ayudarles a evaluar sus relaciones con sus socios de marketing. Algunas compañías de anuncios usan estos datos para compararse en su competitividad en el mercado, mientras otras agencias de investigación compran estos datos para aprender más sobre industria." [3] .

Es decir, a la vez que dice ayudarte frente al monitoreo y rastreo de compañías de publicidad, entre otros agentes, también manda información a esas mismas empresas para mejorar sus estrategias publicitarias online.

Aunque el código de Ghostery es privativo, hemos podido saber que existe una función que manda información sobre tu dirección IP, entre otros rastreadores, en teoría para medir cuántos "usuarios" están usando su herramienta [4] para consumidores. Esto independientemente si aceptaste o no a enviar estos datos (te da la opción de escoger aunque vemos que a la hora de verdad sólo es para hacerte creer que estás diciendo).

Lo que plantea carlo von lynX en este mail es si bien puede ser comprensible que bajo un modelo empresarial haya un interés en cuantificar y operativizar usuarixs, qué tanto podemos confiar en cuestiones de seguridad y privacidad a una corporación.

"Desafortunadamente, el problema con los modelos empresariales es que pareciera difícil que encajen con la cuestión de privacidad. Así que, de nuevo, una herramienta de privacidad que te está protegiendo de gente muy malvada, se toma excepciones hacia si misma."
carlo von lynX - Liberationtech- Ghostery, NoScript.. add-ons frequently phone home


Es decir, ¿qué tan necesario es que una herramienta de seguridad requiera de tus datos? ¿Existen otras vías de retroalimentación? ¿Puede una herramienta segura ser capitalista?

Hushmail

  • Servicio de mail encriptado que se basa en el modelo "seguridad basado en el host", esto quiere decir que dependes del servidor externo para encriptar-desencriptar. [5]. Nota: La versión con aplicación java funciona a nivel local.
  • Modelo empresarial
  • Entregó mails de varios de sus usuarixs alegando que no garantiza la privacidad de usuarixs que cometan actividades ilegales [6]
  • Copyright © 1999-2015 Hush Communications Canada Inc.


Firechat

Aplicación para Android y i0S para chatear sin internet en una meshnetwork popularizado en las protestas de Ocuppy Hong Kong y viralizado a otros países ante el rumor que iban a cortar internet.

El artículo de Fact-Checking the Hype Surrounding FireChat in Hong Kong's Protests presenta una serie de críticas al app:

  • Firechat no fue diseñado para ser una herramienta para activistas sino para conciertos y eventos.
  • Firechat no está diseñado para comunicación segura y privada. De hecho, los mensajes se envían y almacenan sin encriptar y cualquiera con acceso a la dirección IP asociada al servicio en el navegador web puede ver los mensajes más recientes de Firechat.
  • Firechat pide identificarte: una vez instalada, la aplicación te pide tu nombre "real" (que se rellenará por defecto con el que aparece asociado a tu iOS o Andoroid). Hubo casos en Hong Kong de arrestos rastreados a partir de este factor de identificación.
  • Generalmente no fue usado como mesh network sino conectado a Internet, lo que hace pierda su supuesto sentido inicial de red de comunicación resiliente y autónoma a Internet.
  • No aparece claramente la licencia ni hay documentación

http://firech.at/

Referencias

"Autodefensa Digital ante la Vigilancia" de la EFF (Electronic Frontier Foundation).

Ranking herramientas seguras de la EFF

Secushare.

Blog Paranoia Dubfire
  1. [1]
  2. Ghostery Inc: Artículo Wikipedia
  3. 3,0 3,1 Cómo hacems dinero en Ghostery Error en la cita: Etiqueta <ref> no válida; el nombre "ghostery-explica-ghostrank" está definido varias veces con contenidos diferentes
  4. Mail por carlo von lynX envíado a la lista de correos "Liberationtech"
  5. [2]
  6. [3]