Archivo de la categoría: Estados Unidos

SolarWinds y Supernova, un fiasco de ciberseguridad

Leo el artículo de Bruce Schneier sobre el hackeo masivo a la administración estadounidense y hasta el tato en realidad (Microsoft también) debido a una vulnerabilidad en el protocolo de seguridad del omnipresente producto Orion de la empresa Solar Winds. Da qué pensar lo frágil que es la sociedad actual a este tipo de soluciones, y pensando talebianamente, me pregunto qué podemos hacer a modo personal ya no para ser robustos (a la Sara Connor) sino para ser antifrágiles a este tipo de situaciones.

el HARPA como nunca lo habíamos conocido

Harpa

El otro día cayó en mis manos este artículo de Gizmodo, cortesía de Pere, a raíz de una conversación sobre «fitness trackers» y su utilidad.

Parece ser que los últimos tiroteos en Estados Unidos no han sido suficiente desgracia. Ahora el presidente de ese país ha anunciado que para evitarlos hay que inventar una especie de «Minority Report» y qué mejor que usar los datos de Fitbit para identificar qué ciudadanos están a punto de perder la cabeza y echarse al mall (y después al monte) con un rifle automático.

¿Dónde acoger a las personas que se van a dedicar a ello? Fácil, en el HARPA. No, no uno de los que ilustran el post. Es como el DARPA pero para temas de salud: una organización gubernamental secreta dedicada a desarrollar tecnología para fines estratégicos.

Que lo primero que se le ocurra a las autoridades estadounidenses para mejorar la salud del país, que el primer encargo de esta futura HARPA sea un sistema predictor de problemas de salud mental de su ciudadanía es… enloquecedor.

La US Visa Act y lo que publicas en redes sociales

Desde que dejé de escribir aquí regularmente, el mundo se está convirtiendo en un sitio mucho más oscuro. Y no se trata de que al entrar en años una vea el pasado con ese sesgo que te impide ver lo malo o al menos lo tedioso y te magnifica lo bueno: la nostalgia. Comparativamente, no hay color. En las pizzas de Telepizza y las ensaladas de Iberia hay menos olivas. En el trabajo cada vez te dan más responsabilidad y te quitan espacio vital (vamos, que te confinan en un open plan con una densidad que me río yo de ciertos barrios de Calcuta). Todo, absolutamente todo, es más plasticoso y endeble. Se ve que la obsolescencia programada se ha convertido en una ciencia exacta e infalible.

Y luego viene Trump y gana las elecciones en Estados Unidos, haciendo buenas muchas predicciones y avisos publicados en este blog.

¿Se acuerdan de lo de la privacidad y las ranas en agua puesta a hervir? Tick. Ahora acuérdense de aquello de «escribir en Internet es como escribir una postal. Nada impide que el cartero, o quien tenga acceso al cachito de cartón, incluyendo el vecino cotilla del 7º4ª, lo lea». Pues si son viajeros y sobrevuelan o pisan Estados Unidos, ahora les va a empezar a impactar.

Se trata de la recién aprobada «Visa Investigation and Social Media Act of 2017«.

Según esta nueva ley, el ministerio del interior estadounidense debe revisar «toda la actividad pública en redes sociales» a la hora de decidir si conceder o no el visado a los aplicantes. Esto incluiría también a los que se postulan para el ESTA (el programa de control y autorización de entrada a Estados Unidos para extranjeros que no requieren visado, como por ejemplo los ciudadanos de la Unión Europea).

Dice el republicano Jim Banks al respecto: «Hacer que se revise lo que han publicado los aplicantes en redes sociales antes de darles permiso a venir a Estados Unidos es algo de sentido común. Las empresas lo hacen en su procesos de selección de personal, y creo que ya era hora de que hiciéramos lo mismo con las personas que solicitan un visado».

Y digo yo: tiene más razón que un santo. No porque sea algo bueno, sino porque es algo posible. Y era de esperar que tarde o temprano lo hicieran. Lo que esto implica para la libertad de expresión y las posibilidades de discriminación que se abren en este proceso a raíz de esta medida es harina de otro costal. Básicamente, un proceso que ya era bastante incierto para los que solicitaban su VISA se convierte en algo totalmente arbitrario.

Ejemplo práctico. El otro día esto me hizo gracia y lo retwiteé (¡patada a María Moliner!).

Si ahora me rechazasen una solicitud de ESTA, cuando soy una persona que representa un riesgo inexistente al país de las barras y estrellas, ¿sería debido a esa gráfica representación de los estragos que el viento y otros agentes atmosféricos perpetran en el cabello de cualquier ser humano (excepto Enrique Peña Nieto)?

Volvemos al tema de la postal y escribir en Internet. Publicar es un acto consciente, es una decisión que tiene que ser evaluada. En 2005 cuando empezó este blog y Donald Trump no era más que un «playboy» millonario entrado en añitos, así como en 2017. Es un constante caminar por la fina línea que va entre la expresión de tus ideas y la evaluación de las repercusiones que tiene exponerlas. En un Estado democrático como el que todos los ciudadanos de la Unión Europea tenemos el privilegio de habitar, siempre dentro del marco legal (no injuriar, no ofender, no discriminar, no hacer apología de la violencia), es un gran avance poder exponer nuestras ideas, defenderlas, refutar las que consideramos incorrectas, declararse orgulloso miembro de colectivos históricamente expuestos a discriminación y plantar cara cuando hay intentos de erosionar tus derechos y los de los demás. Escribir en Internet, en redes sociales, etc. es un ejercicio de responsabilidad. ¡Retwittear también!

En fin, si se rechazase mi hipotética solicitud de ESTA debido al golpe de viento al cabello de Trump, pues debería dar las gracias a Homeland Security por haber rechazado mi solicitud a hacer turismo en Estados Unidos. Ese hecho significaría que ya se habría convertido el país en un Estado fascista de culto al líder, y por lo tanto sería mejor estar fuera que dentro de ese país.

Pero claro, yo no soy una traductora del ejército estadounidense en Irak o una nigeriana homosexual, o nadie cuya vida dependa de un proceso de petición de asilo comenzado muchos meses atrás, cuando el mundo era un poquito menos oscuro.

EEUU: Regla 41 (Rule 41), puerta trasera a los ordenadores y teléfonos de todos los ciudadanos

Me contactan por correo electrónico para que difunda esta información en ¿Quién vigila al vigilante? Les doy las gracias por sacarme de esta sequía de publicación. Se trata de un tema crucial que merece toda nuestra atención.

Regla 41 resumen

Pues resulta que en EEUU se está intentando aprobar la modificación a una regla federal (la 41) por el mecanismo express alegando que se trata solamente de cambios de procedimiento y que no modifica los derechos y libertades de los ciudadanos estadounidenses.

El detalle es que tras una lectura no demasiado profunda surgen dudas al respecto. Dicha norma, si se modifica, permitirá a las autoridades federales a tomar control de las computadoras y los teléfonos móviles (SmartPhones) de los residentes en EEUU. No quiero entrar en términos técnicos, pero ¿se extrañan ahora de esas imágenes que corren por ahí de Mark Zuckerberg, Consejero Delegado de Facebook, con una etiquetita cubriendo la cámara Web de su laptop?

Mark Zuckerberg cubre su Webcam con cinta (fuente https://www.hackread.com/mark-zuckerbergs-laptop-cam-tape/)

Se puede leer más sobre el tema aquí (en español) y aquí (en inglés).

¡Feliz 2014 cuántico!

¡Feliz 2014!

El año comienza con la siguiente noticia: dice Snowden que la NSA está trabajando en un ordenador cuántico para poder descifrar cualquier contraseña (aquí vía El País).

Sabemos desde hace mucho que todas las estrategias de seguridad informática que se usan actualmente (basadas en cálculos fáciles para «enmascarar» pero irrealizables en tiempos humanos para «desenmascarar» si no se conocen las claves secretas) se iban por el caño en cuanto un nuevo paradigma de computación que permita solucionar cálculos polinomiales no determinísticos en tiempo determinístico fuese práctico de utilizar. Ejemplo: la computación cuántica.

Google y la NASA está invirtiendo en ordenadores cuánticos. No era pues de extrañar que la NSA estadounidense también se pusiese en ello.

Tiempos interesantes

Desde el mes de abril he logrado acabar varios libros: Criptonomicón de Neil Stephenson, Little Brother, Homeland, Makers y Pirate Cinema de Cory Doctorow. Agradecida estoy a esa elección, porque la realidad está superando en gravedad y con creces mucho de lo que he aprendido con esas novelas de ficción.

Chelsea Manning primero y Edward Snowden después se han tenido que enfrentar al mismo dilema que carcomía a Marcus Yallow en Homeland. Tienes entre las manos información confidencial en la que se desvelan los abusos del gobierno estadounidense. Sabes que el gobierno está violando la confianza que el pueblo ha depositado en él y quieres que el mundo se entere de esas barrabasadas, pero también intuyes (no lo sabes) lo que te pasará si filtras la información.

Lo que hemos aprendido sobre PRISM y el espionaje a nivel individual de (prácticamente) todas las personas que utilizan Internet que efectúa la NSA hacen resonar con especial fuerza todos los argumentos de John Cantrell y Tom Howard, los criptógrafos activistas del Criptonomicón que defienden con uñas, dientes y escopetas recortadas las libertades que les otorga la constitución de su país. El Estado nos espía descaradamente, por lo que hay que esforzarse para proteger nuestra privacidad. Toca cifrar correo, toca usar Tor… El vecino de enfrente nos observa día y noche con binoculares: toca comprar cortinas y usarlas. La detención de David Miranda por las autoridades británicas para incautarle el material que Snowden había entregado a los periodistas de The Guardian nos recuerda que quizás no sea tan paranoico utilizar Paranoid Linux y TrueCrypt como hace Trent/Cecil en Pirate Cinema para proteger su ordenador en caso de que su equipo informático acabase en malas manos (de la policía sobrepasando su cometido en esa novela).

Y luego están los pequeños detalles. En Criptonomicón, Randy se pasa medio libro teniendo conversaciones de contenido confidencial con música metal a todo volumen para evitar que «alguien con un láser» infiera lo dicho en la sala analizando las vibraciones de los cristales de las ventanas. ¿Y qué dicen los servicios secretos británicos a los medios de comunicación para justificar la detención de Miranda? Que en The Guardian no tienen ni idea de seguridad y de cómo los servicios secretos chinos o rusos pueden fácilmente acceder a los ficheros de Snowden, porque «usando un láser pueden estudiar las vibraciones de los cristales de las ventanas e inferir las conversaciones». (léanlo aquí y aquí, busquen la palabra «laser» dentro del texto). La coincidencia da escalofríos.

¿Y qué les parece que Trent/Cecil, en Pirate Cinema, utilice el navegador-que-protege-tu-privacidad creado por The Pirate Bay? Pues aquí lo tienen, recién lanzado la semana pasada: Pirate Browser.

Finalmente, el pequeño e inventado sultanato de Kinakuta, del Criptonomicón, donde el sultán decide crear un centro de datos ultraseguro donde se garantiza la no intervención de los estados en la información almacenada por sus clientes, parece ser que estará en una ubicación no tan exótica: Kim Dotcom apunta a Islandia, el primer país moderno totalmente independiente de organismos internacionales gracias a haber quebrado y haber resurgido sin créditos ni favores de nadie, solo con el esfuerzo de sus ciudadanos, para hospedar su nueva empresa Mega y en especial su nuevo servicio de correo electrónico seguro, tras la vergonzosa clausura de Lavabit y Silent Circle por amenazas de la NSA.

Tiempos interesantes… Sigamos leyendo.

A GoDaddy se le atragantó la SOPA

danica patrick car racer and godaddy image
La propuesta de ley estadounidense SOPA es verdaderamente contraproducente a todos los niveles. Caso de que se apruebe, agárrense los machos y aprendamos a vivir en un entorno digital donde no sabes ni de dónde te vienen las hostias, ni tendrás modo de reclamar cuando *alguien de EEUU* bloquee todo tráfico a tu sitio Web solo por tener una foto donde posas con un hombre-anuncio vestido de Bob Esponja (y sin pagar los royalties que te toquen por haber posado con él, claro). Por decir cualquier tontería inocente que hará que incumplas con la ley.

Pero ahora, antes de ser aprobada, también está habiendo empresas damnificadas, por torpes en comprender las necesidades de sus usuarios, por supuesto. Si ya Microsoft y Apple se deslindaron de SOPA tras haberla apoyado inicialmente (y es que no hay que ser un lumbreras para darse cuenta de lo nociva que va a resultar y la mala prensa que trae consigo), vienen los de GoDaddy, la empresa de hosting y de registro de dominios low cost estadounidense, y la pifian de verdad. ¿Qué hicieron? Pues el 23 de diciembre no se les ocurre otra cosa que anunciar a los cuatro vientos que apoyan la ley SOPA (ya no hay acceso al texto original, lo han borrado, este link es una imagen del original). Se lió la marimorena. Los clientes de GoDaddy obviamente no están de acuerdo con esa postura, y comienzan a postear para reclamarles esa posición. Apenas 24 horas después, GoDaddy se desdice y anuncia que deja de apoyar SOPA. A buenas horas, mangas verdes.

La gente empieza a cambiar sus dominios de registrador (dejando de ser clientes de GoDaddy) y se organiza un boycott de la empresa en toda la regla. Se decide que hoy, 29 de diciembre es Dump GoDaddy Day (el día de abandonar GoDaddy). A río revuelto, ganancia de pescadores, así que la competición directa de GoDaddy, Namecheap.com, se apunta al carro de forma poco sutil y publicita que este 29 de diciembre es «Move your domain day» (día de cambiar tu dominio de proveedor). Surgen voces pidiendo que pare la locura y que se actúe contra los que son verdaderamente responsables de SOPA, pero es algo tarde. El boicot avanza, y los siguientes, lógicamente, son los dominios de alta visibilidad que están registrados con GoDaddy. Se lanza ByeDaddy, un sitio donde se listan dichos dominios muy populares, y que proporciona una herramienta para comprobar si un dominio está con GoDaddy o no, proporcionando así la herrmienta que falta para realizar un boicot completo a GoDaddy: si no eres cliente suyo, sencillamente deja de acceder a los sitos Web de sus clientes.

Si usan esa herramienta con www.lavigilanta.info, verán que aquí somos clientes de GoDaddy. Paquete completo: nombre de dominio y hosting. ¿Qué opino de ellos? Mi experiencia hasta la fecha ha sido buena. No he tenido ningún problema ni con los dominios ni con el hosting. Me he acostumbrado a sus herramientas de gestión, me resulta cómodo trastear en GoDaddy. Pero en lo que concierne al caso entre manos, creo firmemente que en lugar de gastar dinero en poner a chicas de buen ver en su página principal, mejor deberían invertir en buenos profesionales del marketing y de gestión de relación con sus clientes. Me pongo el gorro hipócrita de la multinacional anglosajona: piensen lo que piensen, es un deber modular el mensaje adecuándolo a lo que quiere oír el cliente. No hacerlo es no ser profesional. ¿Dejaré GoDaddy? Pues fíjense que sí, pero ni de coña hoy, porque el departamento de transferencias de dominios seguro que está colapsado. Cambiaré de proveedor en cuanto entre en vigor SOPA. De hecho, buscaré un proveedor de hosting fuera de EEUU y fuera de España -la LISI tampoco es santo de mi devoción-. ¡Acepto sugerencias!

Análisis coste-beneficio de los scanners corporales

Vía Schneier me topo con un estudio en el que se analiza el coste-beneficio de la implantación de scanners corporales en Estados Unidos.

El resultado: debería haber más de un ataque cada dos años con alta probabilidad de éxito en un escenario sin scanners de cuerpo completo (es decir: un ataque imposible de neutralizar mediante medios tradicionales) para que semejante inversión (1.200 millones de dólares al año hasta 2014) haya valido la pena.

Y eso solamente teniendo en cuenta el coste contante y sonante en compra de equipos, sin considerar para nada la alienación al viajero, el desprecio a dus derechos, y un largo etcétera. ¿Qué precio tiene la libertad?