Las demás conferencias están listadas en el wiki de ASLE.

Me encuentro participando en el Foro Internacional de Software Libre (FISL) que se realiza en Porto Alegre Brasil. Es el evento más grande de Software Libre de América Latina y esta es su edición número 14.

El día de ayer di mi presentación sobre el programa PRISM, el espionaje y cómo hacer para defendernos en algo de estos ataques a nuestra privacidad. Es muy parecida a la presentación que he estado dando sobre Privacidad, Criptografía y Software Libre. Sin embargo ahora sabemos que las sospechas que se tenían antes son reales gracias a las publicaciones de Edward Snowden.

Descargar la Presentación

• Audio de la entrevista en formato libre OGG
• Audio de la entrevista en formato MP3

Uno de los programas que más me llamó la atención fue cuando entrevisto a miembros de la comunidad Cypherpunks. Un grupo de activistas en Internet que creen en la importancia de la privacidad y usan la criptografía para defenderla. En lo personal estos videos fueron lo que me hicieron notar la importancia de entender como funciona el Intertnet y como defender la privacidad. Con las últimas revelaciones de la NSA, creo que es importante que muchísima más gente los vea.

Los invitados al programa fueron Jacob Appelbaum, Jérémie Zimmermann y Andy Müller-Maguhn. Las conversaciones grabas en este video son una parte importante del libro «Cypherpunks». Algo interesante de leer el libro, más allá del video es que todas las afirmaciones que ellos dicen están sustentadas con una fuente en la que se puede verificar. Les recomiendo leer el libro completo.

Sin más les dejo el programa en Español:

http://www.youtube.com/watch?v=WVSxYfqPKbY

Cuando me preguntaron de qué quería hablar, pedí hablar sobre los riesgos que tenemos con la privacidad y lo que debemos hacer para protegernos con Software Libre y Criptografía:

• Presentación: Software Libre, Criptografía y Privacidad (22mb, incluye videos)
• Artículo publicado en ese blog sobre el tema.

Pidgin por si solo no nos da mucha seguridad. Existen 2 plugins de pidgin que permite encriptar el chat a nivel de cliente. Esto es muy bueno porque podemos usar cualquier protocolo de chat y la información pasará encriptada por los servidores. Es decir solo el que escribe y el que recibe podrán leer la información. Hace mucho tiempo escribí un tutorial para utilizar Pidgin con el plugin pidgin-encription.  En este artículo explicaré como utilizar el plugin pidgin-otr que es más seguro.

Si bien la primera parte del artículo se habla sobre como instalar en las principales distribuciones GNU/Linux, la segunda parte sobre configuración de OTR y Pidgin es relevante para Windows. Los usuarios de Mac deberían instalar Adium y buscar la opción de OTR.

Los usuarios de celulares deberían buscar aplicaciones libres que soporten OTR.

Instalar Pidgin y OTR

Aquí explicaré como instalar a través de comandos en distribuciones que usan apt y yum. Utilizo la línea de comando para instalar, pero es probable que lo pueda hacer con las herramientas de paquetería gráficas buscando pidgin y pidgin-otr.

Para instalar Pidgin y OTR en distribuciones basades en apt (Ubuntu, Debian, etc…) bastará con:

sudo apt-get install pidgin pidgin-otr

Supongo que para distribuciones basadas en RPM tipo Fedora se debería poner:

yum install pidgin pidgin.otr

Listo con eso esta instalado Pidgin y OTR. Al abrir la aplicación se debe crear una cuenta. Siga el procedimiento para el sistema de mensajería instantánea que usted utilice.

Configurar OTR

Una vez que tenga la cuenta de chat configurada, hay que verificar que el módulo de OTR este activo. Para esto en el menú donde se despliegan los contactos conectados dentro del menú herramientas seleccionar complementos.

Una vez en los complementos buscar Mensajería Fuera-de-Registro (OTR)

Con eso ya esta instalado el complemento de encriptación. Se puede verificar que esta activo si en la parte inferior derecha de la ventana de chat tenemos un mensaje que dice «No privado.»

Esto quiere decir que se esta trabajando con un chat no seguro. Si la persona con la que se esta chateando tiene instalado OTR, entonces se puede iniciar una conversación privada. Para esto se hace click «No Privado» y luego en iniciar conversación privada.

Ahora ya se tiene una conversación encriptada.

Como dice el mensaje, falta autenticar a la persona al otro lado del chat. Estoy quiere decir que la comunicación es encriptada, pero no se tiene seguridad que la persona al otro lado del chat es quién dice ser. Sin embargo la conversación ya es encriptada y se puede comprobar abriendo el gmail (en este ejemplo que se usa gmail).

De lado de Diego en su celular donde tenía abierta la conversación de chat se puede comprobar fácilmente que la conversación esta encriptada.

Ahora solo falta autenticar que la persona que esta al otro lado es quién dice ser. La forma más fácil es utilizar una frase compartida entre los 2. Por ejemplo con Diego quedamos en poner el nombre de la ciudad donde el vive. Es algo simple, pero yo ya sabía que estaba hablando con Diego.

Para esto se hace click sobre el mensaje «No Verificado»y luego en autenticar compañero.

En este caso se utilizará una frase compartida. (Shared Secret)

Se podría compartir la frase por SMS, una llamada telefónica, etc… De alguna manera que uno este seguro que la otra persona es quien dice ser. En este caso compartimos la palabra Loja

Una vez que el compañero ingrese la frase compartida en su equipo la autenticación se realizará con éxito.

Listo ahora en la esquina inferior derecha se tendrá el mensaje de color verde que dice Privado.

Listo ahora se tiene chat encriptado.

La semana pasada escribí un artículo sobre los problemas de privacidad que tenemos en Internet y como el software libre puede ayudarnos a defendernos. Recientemente encontré este video donde en los primeros 50 segundos habla Julian Assange sobre la filtración de documentos Spy Files y dice más o menos los siguiente:

Quién tiene aquí un iPhone? Quién tiene aquí un BlackBerry? Quién aquí usa Gmail? están todos jodidos.

El resto del video es publicidad de la empresa Italiana Hack Team sobre la venta de sus servicios y técnicas de espionaje informático. Un sistema infectado puede prender la cámara, el micrófono, saber las teclas que estamos escribiendo y mucho más. Les invito a buscar 12 minutos de su tiempo para ver el video.

Si bien los Spy Files no han sido tan difundidos como los cables diplomáticos de EEUU, su contenido es altamente preocupante. Los ciudadanos de a pié, así como nuestros gobernantes, estamos en constante riesgo de espionaje informático y debemos considerar seriamente la importancia de controlar el software que utilizamos.

El Software Libre no es garantía absoluta de no ser espiados, su uso combinado a la criptografía minimiza este riesgo. Por lo menos en el caso del producto de este video, el sistema operativo GNU/Linux, no esta soportado para ser espiado. La diferencia entre el Software Libre y el no-libre es que sobre el uno se puede tener control, mientras que con el otro no.

Considerando que Ecuador es el país que asumió el reto de dar asilo a Julian Assange, deberíamos estar más conscientes de las filtraciones que hace Wikileaks y sus implicaciones. Sobre todo ahora que asumimos este reto, nos convertimos en un target bastante interesante para el espionaje internacional. Me preocupa mucho ver a ministros, asambleístas y demás gente que esta en el poder comunicándose con blackberries, Iphones, Ipads, Android, Windows, MacOs, etcétera.

Haga click para leer más sobre el libro

Cada día, la tecnología forma una parte más importante de nuestras vidas. Hoy en día, en el caso del Internet, compartimos parte importantes de nuestras vidas y de nuestra forma de pensar. El Internet ha llegado a convertirse en un mundo intelectual donde compartimos el pensamiento de la humanidad a nivel global. Esto es algo que antes no existía.

Sin embargo, el Internet tiene un problema muy grave del cual gran parte de gente no se da cuenta. La privacidad para la mayoría de personas es prácticamente nula. Ya sea que se conecte desde su computadora en la casa o por un teléfono celular, es fácil saber su ubicación y la información que esta enviando y recibiendo. Cualquier persona que alguna vez administró un servidor que comparte acceso a Internet, sabrá lo fácil que es poder leer el tráfico que pasa por ahí con herramientas como Wireshark.

El problema es que, normalmente la información por Internet no esta cifrada. ¿Usted se sentiría cómodo si al enviar una carta por correo tradicional esta fuera en sobre abierto? Esto es lo que sucede con el correo electrónico en la actualidad. Sin embargo, a diferencia de la carta, el correo se lo puede copiar fácilmente en el camino desde el origen al destino sin que ninguno de los involucrados en el envío del mismo se cuente de lo que sucede.

Lo que acabo de explicar con el correo electrónico sucede, para los chats, comunicación de telefonía, tradicional y prácticamente todo sitio web en Internet que no funcione con HTTPS.

Según Wikileaks en la filtración de los Spyfiles, existen países donde simplemente se guardan todas las llamadas telefónicas de todos los ciudadanos del país. Los smartphones se pueden utilizar como herramientas de espionaje. No solamente para grabar conversaciones telefónicas, sino hasta las no telefónicas.

Alguna vez se ha puesto a pensar, que pasaría si en una reunión alguien empieza hacer streaming del audio por el celular o un tablet a otra persona por Internet. Existen varios servicios para esto, pero bastaría con una llamada por Skype. Ahora si no se controla la tecnología con la que funciona el celular, es posible activar el micrófono del celular y transmitir la conversación de forma remota con el simple hecho de que el celular este presente. Es decir, ni siquiera el dueño del celular sabe que esta sucediendo.

George Orwell, en su novela «1984«, presenta una sociedad en la que la gente es vigilada constantemente por el Gran Hermano. Por todo lado existen Telepantallas que a más de mostrar información como una televisión, están vigilando a los ciudadanos. En esta novela publicada en 1949, Orwell dice:

Con el desarrollo de la televisión y el adelanto técnico que hizo posible recibir y transmitir simultáneamente en el mismo aparato, terminó la vida privada. Todos los ciudadanos, o por lo menos todos aquellos ciudadanos que poseían la suficiente importancia para que mereciese la pena vigilarlos, podían ser tenidos durante las veinticuatro horas del día bajo la constante observación de la policía y rodeados sin cesar por la propaganda oficial, mientras que se les cortaba toda comunicación con el mundo exterior.

¿Qué diría George Orwell de los teléfonos celulares? Estos aparatos que pueden reportar donde estamos, pueden grabar nuestras conversaciones telefónicas y no telefónicas, tomar fotos, filmar y más sin que nosotros estemos conscientes de esto. Ahora si vemos los programas CypherPunks (video 1, video 2) del  programa «El Mundo de Mañana» de Julian Assange vamos a ver que el problema es realmente preocupante. Si no creen lo que dicen las personas en el programa o quieren profundizar sobre el mismo, recomiendo leer el libro Cypherpunks en el que se tiene enlaces que prueban las afirmaciones hechas en el mismo. Además de esto en el libro tiene la mucha más información que en los videos antes mencionados. Recomiendo su lectura.

Tenemos un problema grave, pero existe una solución que se llama criptografía. Básicamente es muy fácil encriptar información y extremadamente complicado desencriptarla si no se tiene las llaves para hacerlo. Esto quiere decir que a pesar de que se grabe la información en un servidor, va a ser casi imposible acceder al contenido si no es el dueño de esa información.

La criptografía por si sola no es suficiente. Lo que se necesitan son herramientas de criptografía que sean Software Libre. Caso contrario existe la posibilidad de que las herramientas cerradas de criptografía tengan puertas traseras y podemos ser espiados cuando pensamos que tenemos privacidad.

Las buenas noticias son que ya existe bastantes herramientas de Software Libre que permiten encriptar información. Recomiendo investigar un poco sobre las siguientes herramientas:

• Tor para navegación privada y anónima en Internet
• Pidgin con el plugin OTR para chat encriptado
• Thunderbird con el plugin enigmail para correo electrónico encriptado

Estas son tan solo algunas de las herramientas de Software Libre. No son todas las que existen, ni todas las que necesitamos. Sin embargo ayudarán a mantener privacidad en gran parte de nuestra información. Personalmente cada día busco aprender más sobre estas tecnologías y espero en el corto plazo ir publicando un poco sobre las mismas en este blog. Sobre Tor, pueden ver lo fácil que es instalar.

En realidad a más de la criptografía es importante poder contralar la infraestructura tecnológica en la que trabajamos, para eso deberíamos manejar nuestros propios servidores de correo electrónico, de chat, comunicacions Voz/IP, etc… Pero eso es tema de otro artículo.

El costo que todos debemos pagar se llama privacidad. No quiero hablar sobre la CIA y como muchos dicen que esta involucrada con Facebook. La verdad es que la forma en la que funciona Facebook me recuerda a la película The Net que vi en los años 90s cuando nacía el Internet. Esta película habla sobre toda la información que se tiene sobre las personas guardas en computadoras y el poder que la gente que administra esos sistemas tiene sobre nosotros.

De lo que quiero hablar sobre como gracias al Internet la forma de interactuar con las personas ha cambiado. Antes eran muy pocos los que tenían una vida pública y se limitaba a políticos, periodistas, artistas, etc… Hoy en día todos los que participamos en redes sociales tenemos una vida pública y podemos expresarnos. Esto para mi es algo muy valioso que nos da el Internet, pero debemos cuidar y valorar nuestra privacidad.

En alguna entrevista a Julian Assange, le escuché hablar sobre 2 mundos: el físico y el intelectual (el Internet). En este mundo intelectual compartimos nuestras ideas, nos comunicamos con las personas que tenemos confianza, nuestra familia y creemos que lo hacemos de forma privada. La verdad es que luego de ver los videos de Cypher Punks, y leer el libro veo que simplemente de la forma en la que la mayoría de gente que usamos el Internet no hay absolutamente nada de privacidad en las comunicaciones. En realidad solo se puede conseguir privacidad en Internet con criptografía y software libre, pero eso eso es tema de otro artículo.

¿Si en el Internet no hay privacidad, cuál es la diferencia entre usar y no usar Facebook? Facebook esta generando la cultura de que no nos debe importar la vida privada. En Facebook todos somos celebridades, compartimos nuestras fotos, nuestras ideas y opiniones a un montón de gente a la que Facebook los llama amigos (yo los llamaría contactos). En mi caso particular, siempre supe que en Facebook no existe la privacidad y por eso decidí no compartir información privada en esta red social. Eso no importa, porque algún familiar, amigo, etc.. tarde o temprano subirá una foto mía o de mi familia que me gustaría que sea privada. Si esto le pasó a la hermana de Zuckerberg, creador de Facebook, y no le gustó. ¿Por qué nos va a gustar a nosotros?

Existen varios motivos por los que cierro mi cuenta de Facebook pero el que quiero destacar es que se esta fomentando la cultura de que la privacidad no importa. Al cerrar mi cuenta de Facebook seguiré teniendo poca privacidad en Internet porque es poca la gente que sabe encriptar correos electrónicos, chat, etc… sin embargo estaré dando un paso adelante para crear conciencia sobre la importancia de la privacidad en Internet.

Los que consideren valiosas mis opiniones y ya no me van a seguir en Facebook me pueden encontrar en:

• Mi blog personal
• Identi.ca
• Twitter
• El bueno del correo electrónico rafael[en]bonifaz.ec