Muchos están empezando a preguntarse si Internet fue el gran “caballo de Troya” que Estados Unidos le regaló al mundo, una forma inteligente de superar barreras y acceder a la información privada de todos. Las recientes revelaciones de espionaje de PRISM han sido especialmente europeos irritados. Pero existen técnicas para contraatacar, afirma el experto holandés en tecnología Arjen Kamphuis.
Por Arjen Kamphuis
El 11 de julio de 2001, el Parlamento Europeo publicó un (reporte) sobre la red de espionaje Echelon y sus implicaciones para los ciudadanos y las empresas europeas. Especulaciones La existencia de esta red de Gran Bretaña y sus antiguas colonias se había estado hablando durante años, pero hubo que esperar hasta 1999 para que un periodista publicara un artículo. (reporte) eso sacó al sujeto de la zona del sombrero de papel de aluminio.
El informe del Parlamento de la UE contiene propuestas muy prácticas y sensatas, pero debido a los acontecimientos ocurridos dos meses después al otro lado del Atlántico, nunca se han implementado. O incluso discutirlo más a fondo.
Bajo el título "Medidas para fomentar la autoprotección de ciudadanos y empresas", el informe enumera varias propuestas concretas para mejorar la seguridad de los datos y la confidencialidad de las comunicaciones de los ciudadanos de la UE. El documento pedía al Parlamento informar a los ciudadanos sobre la existencia de Echelon y las implicaciones para su privacidad, añadiendo que esta información debe ir "acompañada de asistencia práctica para diseñar e implementar medidas de protección integrales, incluida la seguridad de la tecnología de la información".
El informe también insta a “medidas apropiadas para promover, desarrollar y fabricar tecnología y software de cifrado europeos y, sobre todo, apoyar proyectos destinados a desarrollar tecnologías de cifrado de usuarios, que sean de código abierto” y “promover proyectos de software cuyo texto fuente se publique, garantizando así que el software no tenga 'puertas traseras' integradas (el llamado 'software de código abierto')”.
El documento cita la falta de fiabilidad de las tecnologías de seguridad y cifrado cuyo código fuente no se publica. Este tema es un tabú estricto en las discusiones holandesas y británicas sobre la estrategia de TI para los gobiernos (probablemente porque ciertos socios importantes de la OTAN podrían sentirse ofendidos).
Además, los gobiernos deben dar un buen ejemplo entre sí y a sus ciudadanos, según el informe, mediante el "uso sistemático del cifrado de correos electrónicos, de modo que a largo plazo esto sea una práctica normal". En la práctica, esto debería lograrse "garantizando la formación y capacitación de su personal en nuevas tecnologías y técnicas de cifrado mediante la formación práctica y los cursos necesarios".
Incluso los países candidatos a la UE deberían recibir ayuda "si no pueden proporcionar la protección necesaria por falta de independencia tecnológica", dice el informe.
Ese párrafo del verano de 2001, antes de que las políticas de seguridad racionales fueran completamente destruidas por el 9 de septiembre, describía la base de una política de TI sólida para garantizar la seguridad y la privacidad de los ciudadanos contra amenazas tanto de actores extranjeros como del propio gobierno (históricamente siempre el mayor amenaza para sus ciudadanos y la razón por la que tenemos constituciones).
Si estas políticas se hubieran implementado durante la última década, las recientes revelaciones de PRISM habrían sido recibidas mayoritariamente con indiferencia. Los ciudadanos, gobiernos y empresas europeos realizarían la mayor parte de sus operaciones informáticas y comunicaciones en sistemas controlados por organizaciones europeas, ejecutando software desarrollado conjuntamente en Europa y ubicado físicamente en suelo europeo.
Un problema estadounidense con un aparato de espionaje desmesurado habría sido justamente eso, un problema estadounidense como el de adolescentes con ametralladoras o falta de atención sanitaria universal, sólo una más de esas locuras que hacen en Estados Unidos para tener su “libertad”.
De la sartén al fuego
Por aquella época estaba hablando con Kees Vendrik (diputado holandés) sobre el problemático mercado europeo del software. No sólo era imposible comprar un portátil de marca sin tener que adquirir una licencia de Microsoft Windows, sino que también era imposible visitar muchos sitios web (municipios, ferrocarriles y muchos otros) sin utilizar Internet Explorer. Desde entonces, esta última área ha mejorado mucho y hoy puedo llevar mi vida usando el sistema operativo y los navegadores que prefiero.
Sin embargo, la dependencia holandesa de productos como MS Windows/Office no ha disminuido realmente, a pesar de todos los deseos expresados por el Parlamento y los intentos de políticas gubernamentales. Hoy en día no es posible terminar la escuela secundaria como estudiante sin poseer y utilizar varios programas de software propietario, lo que hace que los estudiantes sean vulnerables a ser espiados.
Imagine hacer obligatoria una determinada marca de bolígrafo en las escuelas y elegir una marca de bolígrafo que venga con un micrófono espía (que no esté bajo el control del usuario). Esta es la situación actual en términos prácticos en los Países Bajos y el Reino Unido, entre otros. A Alemania, Francia y España les está yendo ligeramente mejor al reconocer al menos el problema.
Mientras tanto, el cambio sísmico tecnológico que tanto asustó a Bill Gates de Microsoft allá por 1995 (La Web hace que el sistema operativo sea irrelevante.) se está convirtiendo rápidamente en realidad. Casi todos los nuevos desarrollos discutidos por los actores y especialistas de TI están basados en la Web o en especificaciones abiertas y las aplicaciones más utilizadas se ejecutan bastante bien como servicio en un navegador.
Así, aunque el problema de la dependencia del software, que lleva entre 15 y 20 años, nunca se ha resuelto realmente (los gobiernos, con decenas de miles de trabajadores de TI, todavía no pueden separarse de la familiar tecnología de Microsoft), su impacto se está volviendo cada vez más significativo. menos relevante. Mientras tanto, se ha demostrado que las nuevas dependencias basadas en proveedores de “nube” son aún más perjudiciales.
El uso excesivo de software propietario crea el riesgo de manipulación extranjera y posibles ataques a infraestructuras críticas (ver Stuxnet). Pero al menos si sus sistemas son atacados de esta manera, existen algunas formas de rastrearlo. Si está trabajando en una computadora que no le pertenece, que está ubicada en un país extranjero y está administrada por personas que no conoce de maneras que no puede verificar, será muy difícil tener control sobre ella. ¿Qué pasa con tus datos?.
La vieja suposición de que el uso de servidores locales podría ser parte de la solución, lamentablemente parece ser una ilusión bajo el Imperio posterior al 9 de septiembre. Todos los servicios “en la nube” ofrecidos por empresas con sede en EE.UU. están sujetos a la legislación estadounidense, incluso si los servidores están físicamente en otro país. Y la ley estadounidense es ahora algo, digamos, problemática.
Sólo con una acusación de participación en “terrorismo”, incluso sin pruebas, los sistemas pueden cerrarse o tomarse control, sin previo aviso ni posibilidad de revisión judicial contradictoria. El término "terrorismo" se ha extendido hasta el punto de que cualquiera que supuestamente infrinja la ley estadounidense, incluso si no es ciudadano estadounidense e incluso si no se encuentra en los EE. UU., aún puede ser considerado "terrorista". sólo por la palabra de uno de los muchos servicios de tres letras (FBI, CIA, NSA, DIA, DHS, TSA, etc.).
La UE no estaba contenta con esto, pero hasta la filtración de PRISM no quería ir tan lejos como para recomendar a sus ciudadanos y otros gobiernos que no utilizaran más dichos servicios. PRISM hace posible por primera vez al menos tener un debate serio sobre este tema.
El largo brazo de la Ley Patriota de EE.UU. va incluso más allá de los simples servidores de empresas estadounidenses en suelo europeo. Así, los dominios pueden ser “incautados” y etiquetados de forma muy perjudicial, como por ejemplo “este sitio estuvo involucrado en el manejo de niños pornografía.” Intente explicarlo como empresa u organización sin fines de lucro a sus clientes, contribuyentes o socios comerciales.
Ahora solo usa una extensión .com, .org o .net como nombre de dominio lo hace responsable según la ley de EE. UU.. Ahora todos los europeos pueden ser secuestrados de sus hogares por violar la ley estadounidense. Entonces, un nombre de dominio .com hace que su servidor sea efectivamente territorio de EE. UU.
Ya éramos conscientes de que las plataformas propietarias como Windows y Google Docs no eran sistemas adecuados para cosas importantes como ejecutar infraestructura pública o crítica. Sin embargo, ahora resulta que cada servicio prestado a través de un dominio .com/.org/.net te coloca bajo control extranjero de facto.
¿Solución? En la medida de lo posible, cambie a software gratuito/de código abierto en los servidores locales. Afortunadamente, en Europa existen bastantes empresas y negocios de hosting competentes. Utilice dominios de países locales como .nl, .de, .fr o, si realmente quiere estar a prueba de balas, elija un dominio .ch. Estos son gestionados por un fundación suiza y estas personas se toman en serio su independencia.
Si aún desea utilizar Google (incluido Google Docs), Facebook, Evernote, Mind Meister, Ning.com, Hotmail u Office 365, hágalo sabiendo que no tiene privacidad y tiene menos derechos civiles que los que tenían los nobles ingleses en el siglo XIX. year 1215.
Luchando contra los malhechores
Hace unos meses, un portavoz del gobierno defendía el proyecto "Clean IT" en una reunión de MADURO (la organización que distribuye direcciones IP para Europa y Asia). Límpialo Se trata de un proyecto europeo de origen holandés que pretende combatir el “uso de Internet con fines terroristas”. El problema con este objetivo es que “Internet”, “uso” y “terrorismo” siguen sin definirse, y tampoco parece que nadie esté muy interesado en resolver esto.
Esta falta de claridad en sí misma puede ser útil si eres un gobierno porque entonces puedes llevar un proyecto en la dirección que desees. Un poco como cuando se impuso la retención de datos en el Parlamento de la UE en 2005 con la promesa de que se utilizarían sólo contra el “terrorismo”, promesa que se rompió a los pocos meses.
En Alemania, la retención de datos ha sido declarada inconstitucional y abolida, mientras que en los Países Bajos se practican escuchas telefónicas desenfrenadas, a pesar de la falta total de pruebas de la eficacia de estas medidas. Que todas las bases de datos de datos de telecomunicaciones retenidas ellos mismos se convierten en un objetivo No es algo que parezca tomarse seriamente en cuenta en los análisis de amenazas. Todo ello bastante preocupante para un gobierno que por lo general todavía no puede proteger adecuadamente sus propios sistemas o garantizar que los contratistas externos lo hagan.
Además, durante la conferencia sobre Clean-IT se hizo mucho hincapié en la colaboración público-privada para tranquilizar a los asistentes. Es extraño que un gobierno primero se vuelva incompetente al subcontratar toda la experiencia, luego regrese después de diez años y afirme que no puede controlar esas mismas empresas, ni tampoco a sus subcontratistas.
El último paso es subcontratar también la función de supervisión a las empresas y tranquilizar a los ciudadanos: “¡Dejamos que las empresas lo hagan! No te preocupes de que hagamos algunas de las cosas técnicas difíciles por nosotros mismos, todo se ha subcontratado adecuadamente a las mismas partes que arruinaron los 25 proyectos anteriores”.
El terrorismo es obviamente el “paso de acceso a todas las zonas”, a pesar de que muchos más europeos mueren por resbalones en la ducha o por cascos de ciclomotor mal ajustados que por “terrorismo”. Además, nosotros, como europeos, tenemos experiencia en la lucha contra el terrorismo. ETA, IRA y RAF quedaron inofensivas en décadas anteriores gracias a investigaciones, negociaciones y encapsulaciones policiales. Esto se hizo sin poner en peligro los derechos cívicos de 500 millones de ciudadanos europeos. Incluso cuando las bombas del IRA explotaban regularmente en Londres, nadie sugirió arrojar fósforo blanco sobre Dublín o Belfast.
Espero que en algún momento se redescubra la visión del Parlamento de la UE anterior al 9 de septiembre. Sería bueno que algunas partes del “Occidente Libre” pudieran desarrollar una política que justificara nuestra superioridad moral hacia Rusia, cuando exigimos que dejen de hacerlo. censura política bajo el pretexto de “seguridad”.
Plan de respaldo
Si todo lo demás falla (y esto no es del todo improbable), necesitamos un plan de respaldo para los ciudadanos. Porque a pesar de todas las peticiones, mociones, acciones y otras iniciativas, nuestras libertades civiles siguen disminuyendo rápidamente. De alguna manera se ha producido un golpe corporativo a cámara lenta en el que el gobierno quiere aumentar la “eficiencia” apoyándose en muchos conocimientos de gestión corporativa y lenguaje de MBA que tan bien funcionaron para el sector bancario.
El hecho de que la función principal del gobierno se evapore no parece molestar a la mayoría de los funcionarios públicos. Y mientras tanto, las propias empresas aparentemente están demasiado ocupadas obteniendo ganancias y luchando entre sí como para preocuparse por los derechos civiles y otros conceptos arcaicos de la segunda mitad del siglo XX.
Entonces, en lugar de tratar siempre de influir en un sistema político que tan claramente ignora nuestros intereses, podemos simplemente cuidar de nosotros mismos y de los demás directamente. Esta conclusión puede no ser agradable, pero aclara lo que tenemos que hacer.
Un buen ejemplo sería contar con organizaciones educativas y de libertades civiles que proporcionen talleres semanales a los ciudadanos sobre cómo instalar y utilizar software de cifrado para recuperar algo de privacidad. Estas organizaciones deberían usar su influencia para poner en boca de todos el eslogan de "las criptomonedas son geniales".
Los tecnólogos y diseñadores deberían centrar sus energías en promover los aspectos modernos y fáciles de usar de estas piezas de software. Esto puede ser mucho más divertido que ejercer presión sobre instituciones políticas anquilosadas y, de hecho, proporcionar algunos resultados concretos en materia de privacidad.
Desde 2006, he garantizado la privacidad de mi propio correo electrónico ya no confiando en la ley, sino utilizando un servidor fuera de la UE y una conexión SSL a través de un túnel VPN que accede a Internet abierto también fuera de la UE. Cifro tantos correos electrónicos como sea posible individualmente con criptografía segura (usando Free software GPG).
El hecho de que todas esas hordas de terroristas (que, según afirma nuestro gobierno, están inundando el planeta) sin duda también hayan adoptado medidas similares (por menos de 20 euros al mes) hace que la mayor parte del espionaje de bajo nivel sea un completo e inútil desperdicio de recursos. . Asumir que realmente se trata de luchar contra el “terrorismo”, algo que se está volviendo un poco dudoso a la luz de lo anterior.
A pesar de lo que dicen algunos de los apologistas de “pero no tengo nada que ocultar”, tenemos derechos de privacidad y otras libertades civiles por la misma razón que tenemos una constitución. No para situaciones en las que todo está bien, sino para aquellas raras situaciones en las que las cosas no están bien.
La privacidad es la última línea de defensa contra los gobiernos que pierden de vista su razón de existir (servir a su gente). Por lo tanto, la privacidad no es el enemigo de la seguridad, sino la parte más básica de ella, porque los gobiernos dan mucho más miedo que cualquier posible ciberdelincuente o incluso terrorista. Los delincuentes pueden robar algo de dinero y los terroristas pueden matar a algunas personas, pero cuando se trata de guerras, represión masiva o genocidio siempre se necesita un gobierno.
Es muy obvio lo que deberían hacer los gobiernos europeos para promover la seguridad de sus ciudadanos y estados. Ya lo escribieron en el verano de 2001. El hecho de que estas medidas nunca formen parte de ninguna propuesta actual de política de “ciberseguridad” debería hacer que la gente desconfíe mucho, al menos de la competencia de sus gobiernos.
Arjen Kamphuis es cofundador y director de tecnología de Gendo. Estudió Ciencias y Políticas en la Universidad de Utrecht y trabajó para IBM y Twynstra Gudde como arquitecto de TI, formador y asesor de estrategia de TI. Desde finales de 2001, Arjen ha asesorado a clientes sobre el impacto estratégico de los nuevos desarrollos tecnológicos.
Por lo que he estado leyendo, se puede utilizar un cifrado de más de 1000 bits y la tecnología más avanzada tardará más de un millón de años en descifrarlo. He leído que el cifrado más pequeño de 128 bits es fácil de descifrar. Probablemente valga la pena investigarlo.
En cuanto al artículo, fue un escrito estupendo. Es obviamente cierto. Las personas que desean hacer daño a otras personas tienen cerebro y saben que una VPN los protege, que el cifrado protege su identidad. Las únicas personas a las que es posible espiar son las que NO intentan salirse con la suya: aquellas que comunican abiertamente sobre una posible revolución contra un gobierno totalitario.
Y esta cita del artículo es una obra maestra: “La privacidad es la última línea de defensa contra los gobiernos que pierden de vista su razón de existir (servir a su pueblo). Por lo tanto, la privacidad no es el enemigo de la seguridad, sino la parte más básica de ella, porque los gobiernos dan mucho más miedo que cualquier posible ciberdelincuente o incluso terrorista. Los delincuentes pueden robar algo de dinero y los terroristas pueden matar a algunas personas, pero cuando se trata de guerras, represión masiva o genocidio siempre se necesita un gobierno”.
CIFRADO SEGURO DE CORREO ELECTRÓNICO
Aplicación de correo electrónico Thunderbird (http://www.mozilla.org/en-GB/thunderbird/) para correo electrónico seguro, código abierto.
Extensión de seguridad de Enigmail (http://www.enigmail.net/home/index.php) para Thunderbird para cifrado OpenPGP/GPG.
Soy s
Mensajería extraoficial (OTR) (descripción general) https://ssd.eff.org/tech/im, descargar para OSX http://adium.im/, Ganar http://www.pidgin.im/, Linux http://www.cypherpunks.ca/otr/software.php) para mensajería instantánea cifrada.
RECURSOS
Seguridad en una caja (https://securityinabox.org/en) es un esfuerzo colaborativo de Tactical Technology Collective y Front Line creado para satisfacer las necesidades de privacidad y seguridad digital de defensores y defensoras de derechos humanos.
Levantate (https://riseup.net/en) proporciona herramientas de comunicación en línea para personas y grupos que trabajan por un cambio social liberador.
El técnico holandés básicamente lo reduce a “usar cifrado” y educar a otros sobre cómo usarlo, es decir, cifrado disponible públicamente. Tengo entendido que el estado actual de la potencia informática de los mainframes y multiprocesadores es tan enorme que incluso el mejor cifrado público es muy probable que se pueda descifrar si los chicos quieren convertirte en un objetivo. Incluso se ha descubierto que el algoritmo AES tiene fallas explotables. Esto no quiere decir que los correos electrónicos, archivos y directorios cifrados no representen un obstáculo formidable para la mayoría de las partes que intenten acceder a sus datos: lo harán. Sólo digo que el cifrado público no es exactamente “cómo frustrar el espionaje en Internet”. La mejor manera es detener el espionaje, y buena suerte con eso.
¿No todos los proveedores de VPN registran toda su actividad? Creo que no hay privacidad allí.
quiero vpn y me mandas por favor tanques
necesito vpn
¡Buen artículo! Estoy jubilado y encontré una computadora aquí en Francia, suministrada por Orange, que tiene todo el software gratuito: Firefox, etc., nada de Microsoft. No hubo ningún problema, hasta que después de dos años, Orange de repente insistió en reemplazarlo con un modelo portátil "normal" con Windows, etc. Insistí en conservar el ordenador viejo, que tiene muchas menos interferencias, palabrerías, etc., pero que yo sepa ya no está disponible.
Recuerdo que hace unos años Europa se dio cuenta de que SWIFT era en realidad el “sistema de seguimiento de la financiación del terrorismo” TFTS, y que Estados Unidos espiaba todas las transacciones bancarias. La Unión Europea no pudo evitarlo a pesar de los grandes esfuerzos del Parlamento Europeo.
También se puede navegar por Internet en busca de empresas comerciales que produzcan VPN (redes privadas virtuales). Esto no es para promocionar ninguna empresa específica, pero un lugar para comenzar la búsqueda podría ser Intego, que produce VPN para PC y MAC (así como software antiviral) y su producto VPN que puede usarse en países que limitan el acceso a Internet. , como China e incluso Alemania (donde algunas estaciones de música extranjeras a las que normalmente no se puede acceder a través de Internet, pueden hacerlo con un producto VPN como Intego).
Buen artículo. Otro sistema de cifrado a considerar es el desarrollado por el proyecto TOR.
( Ver: https://www.torproject.org/ )
Recientemente, los usuarios de TOR se han quejado de haber sido bloqueados por Facebook. (Ver:
( http://www.digitaltrends.com/social-media/facebook-doesnt-hate-tor/ )
Además, el Huffington Post publicó un artículo el 14 de junio de 2013 titulado “Las aplicaciones y servicios de privacidad son las únicas empresas tecnológicas que ganan el escándalo de vigilancia de la NSA”. La URL es: http://www.huffingtonpost.com/2013/06/14/privacy-apps-services_n_3444217.html Identifica varias empresas de cifrado, incluida una que cifra las llamadas telefónicas y no guarda datos, por lo que no tiene nada que entregar más tarde al Gobierno.