La diferencia entre http y https, es que en el primero nuestra comunicación puede ser fácilmente interceptada sin que nos demos cuenta, mientras que con https esto va a ser muy difícil que suceda. ¿Existe alguna razón por la cuál nuestra actividad en línea pueda ser espiada por terceros? Considero que no, motivo por el cuál hace poco migré este sitio web de http a https. Fue bastante fácil y espero que otros también lo hagan.

¡Este 2017 todos a encriptar!Si bien instalar servidores https es algo que se puede hacer hace mucho, no era una tarea sencilla.  Se tenía que pagar para tener un certificado que sea válido en todos los navegadores.

Para simplificar la tarea  y masificar el uso de https nació el proyecto Let’s Encrypt que permite automatizar e instalar los certificados de cifrado para https. Este proyecto es patrocinados por varias organizaciones de internet como: EFF, Linux Foundation, Mozilla, Automatic (creadores de WordPress), pero también Cisco, Chorme, Facebook, entre otros. Acá pueden revisar el listado completo de auspiciantes y personas detrás de Let’s Encrypt. Es importante destacar que el software que necesitamos instalar en nuestros equipos es software libre,

Instalación

Asistente de configuración de Cerbot que permite escoger sistema operativo y servidor web. https://certbot.eff.org

Gracias a Let’s Encrypt y 10 minutos de investigación sobre su configuración, este blog funciona a través de https siempre. La instalación es bastante simple si el sitio web funciona con GNU/Linux y además se tiene acceso a la línea de comando. Básicamente hay que seguir estas instrucciones. En caso de no tener acceso a la línea de comandos hay otras opciones.

En mi caso utilizo Debian Jessie con Apache lo primero que hay que hacer es configurar  los repositorios backports. Para esto hay que editar el archivo /etc/apt/sources.list y añadir la siguiente línea:

deb http://ftp.debian.org/debian wheezy-backports main

Una vez actualizado los repositorios hay que actualizar e instalar el paquete python-certbot-apache:

apt-get update
apt-get install python-certbot-apache -t jessie-backports


Una vez instalado el hay que ejecutar el programa cerbot que tiene la opción para configurar apache automáticamente.

certbot --apache

Luego hay que seguir el asistente que permite configurar los dominios que se quiere proteger con ese certificado y si se quiere que sitio funcione siempre con https.

Pocos segundos después http://rafael.bonifaz.ec se convirtió en https://rafael.bonifaz.ec :). Cerbot realizó toda la configuración necesaria de Apache. Tengo una instalación bastante estándar, en otros casos recomiendo revisar más a profundidad la configuración de Let’s Encrypt. Los certificados duran 3 meses, pero el paquete de cerbot ejecuta las tareas para automatizar la renovación del certificado.

En el caso de WordPress tuve que modificar la base de datos para que ciertas imágenes ya no sean servidas como http.

El resultado

Una vez terminada la migración decidí comparar mi certificado con el del sistema de banca línea en el portal SSLLabs. El resultado, dice que debería cambiar de banco

• Subgraph OS – ODT
• Subgraph OS – PDF

El conocimiento debe ser accesible para la mayor cantidad de persona, por lo que comparto este documento con licencia Creative Commons Compartir igual por si alguien quiere mejorarlo.

Una vez hecho esto se puede acceder a los contactos, historial de mensajes guardados en la «nube» ,chats de grupo etcétera. Entendería yo que los mensajes «secretos» estarían a salvo ya que se cifran en el celular.

Telegram publicó su versión y recomienda configurar una contraseña para no depender exclusivamente del SMS de verificación. Sin embargo, al igual que el chat seguro («chat secreto»), este no es el comportamiento deseado desde el principio.

La configuración es bastante sencilla. Instalamos y configuramos Tor en nuestro PC o servidor para configurar un servicio oculto. Habilitamos el servicio de ssh para ser escuchado como un servicio .onion. Para esto editamos el archivo /etc/tor/torrc y añadimos las siguientes líneas:

HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 22 127.0.0.1:22

Para saber nuestro url .onion:

# cat /var/lib/tor/hidden_service/hostname
adn6xndfyhgcpl5o.onion

Este es un url aleatorio que no es recomendable compartirlo. Si queremos generar otro url .onion, básicamente se borra los archivos dentro de /var/lib/tor/hidden_service/ y se reinicia Tor.

En la máquina desde donde queremos acceder al servicio también debemos tener instalado Tor (ver sección instalar Tor) y torsocks.

apt-get install tor  torsocks

Ahora podemos hacer ssh al servicio oculto utilizando torsocks

$ torsocks ssh usuario@adn6xndfyhgcpl5o.onion
usuario@adn6xndfyhgcpl5o.onion's password:


Listo ya puedo acceder a mi computadora de forma remota, con ssh sin necesidad de ip público.

Una última medida podría ser configurar ssh para que escuche solo en localhost. Para esto editamos el archivo /etc/ssh/sshd_config y añadimos la siguiente línea:

ListenAddress 127.0.0.1

La dependencia tecnológica es una de las principales causas por las que somos vulnerables al espionaje. Tenemos que buscar tener soberanía tecnológica en nuestras comunicaciones y esto lo podemos hacer a través del software libre. De esta manera los usuarios tienen control sobre la tecnología que usan y no deben tener fe ciega en los creadores del software propietario o proveedores de servicios en la nube.

El software libre es indispensable para tener privacidad en Internet, pero no es suficiente. A más de software libre se debe aprender a encriptar las comunicaciones para que estas no sean espiadas. Según Julian Assange estamos en una situación parecida a cuando se descubrieron las bacterias y la gente tuvo que aprender a lavarse las manos con jabón. Hoy en día si queremos usar el Internet y tener privacidad, debemos aprender a usar software libre y encriptar las comunicaciones.

Los días jueves a las 20h15 (GMT -5), Fander Falconí organiza debates por Twitter bajo el hashtag #juevesdetertulia. El día de mañana hablaremos sobre #softwarelibre, #privacidad e #Internet. Si bien el evento se lo organiza desde Ecuador, el tema es relevante para toda América Latina, así que espero la participación de varios compañeros de la región compartiendo sus experiencias.

En el Mundo Ideal

Luego de las revelaciones hechas por Edward Snowden sobre el espionaje masivo en Internet hecho por la «Agencia de Seguridad de Estados Unidos» (NSA), existe indignación general en América Latina.

La mayoría del tráfico de Internet pasa por EEUU.

Prácticamente todo el tráfico de Internet desde América Latina hacia el resto del mundo viaja a través de los EEUU y por este motivo es susceptible al espionaje. Las gobiernos UNASUR buscan acelerar los trabajos para tener lo antes posible listo el anillo de fibra óptica de la región y buscar conexiones directas a otros continentes.

Las empresas que comparten nuestra información

Sin embargo, este anillo de fibra servirá de poco si seguimos utilizando servicios de comunicaciones de empresas que proveen nuestra información a agencias de espionaje.  Por este motivo UNASUR conformará una comisión para coordinar políticas de seguridades criptográficas con Software Libre. Queda claro que si no dominamos la tecnología seremos dominados por quienes la dominan.

Los canales de televisión pública acuerdan trabajar en conjunto para generar material audiovisual donde se enseñara a la gente a utilizar software libre y encriptar su información. En este espacio a más de hablar sobre los aspectos técnicos se fomentará la cultura de volver a tener un Internet descentralizados donde no existan monopolios de acumulación de información.  Regalar la vida privada de nuestros ciudadanos a pocas corporaciones ha demostrado ser un riesgo al que no queremos volver.

En lo que concierne a Snowden, los países de UNASUR llegaron al acuerdo de ofrecer asilo político en cualquiera de los países. El trabajo realizado por el y por el portal Wikileaks han demostrado que el Internet no es solamente esa maravillosa herramienta de comunicación e información. Tiene su lado obscuro y debemos aprender a defendernos.

En el Mundo Actual

No vivimos en el mundo ideal y estas son algunas verdades sobre la situación actual de Internet.

• El Internet esta siendo utilizado como una herramienta de espionaje masivo. Esto ya sabíamos algunos gracias a los Spyfiles de Wikileaks, pero con Snowden ya no queda duda.
• Las comunicaciones de América Latina al mundo tienen que pasar por EEUU.
• Se esta trabajando en un anillo de fibra óptica para UNASUR, para que nuestras comunicaciones internas sean internas.  Sin embargo esto servirá de poco si seguimos utilizando servicios de Google, Microsoft, Yahoo, etc…
• Hasta el momento no ha existido un pronunciamiento formal sobre el tema de ningún gobierno en América Latino. Mucho menos por parte de organismos como UNASUR o CELAC.
• En lo que se refiere a Snowden, el canciller de Ecuador, Ricardo Patiño, dió el primer paso al ofrecer analizar un pedido de asilo a Edward Snowden si es solicitado. El problema no afecta solo a Ecuador y el resto de países deberían seguir los pasos de Ecuador.
• Por lo menos en Ecuador veo poco ruido sobre el tema. Esto debería ser un escándalo. Están leyendo nuestros correos y escuchando nuestras conversaciones. Se necesita generar un gran debate para entender que es el Internet y como podemos hacer para que esta tecnología nos ayude a vivir en un mejor mundo.
• Los debates políticos en Internet para América Latina dependen de redes sociales como Twitter y Facebook. Es terrible tener que depender de coorporaciones de EEUU para tener debate local. Sobre todo cuando se lo puede hacer de forma descentralizada y con Software Libre. El hecho de que el presidente de Venezuela se hubiera demorado 48 horas en recuperar su cuenta, demuestra cuan vulnerables somos.

Cuando me preguntaron de qué quería hablar, pedí hablar sobre los riesgos que tenemos con la privacidad y lo que debemos hacer para protegernos con Software Libre y Criptografía:

• Presentación: Software Libre, Criptografía y Privacidad (22mb, incluye videos)
• Artículo publicado en ese blog sobre el tema.

Pidgin por si solo no nos da mucha seguridad. Existen 2 plugins de pidgin que permite encriptar el chat a nivel de cliente. Esto es muy bueno porque podemos usar cualquier protocolo de chat y la información pasará encriptada por los servidores. Es decir solo el que escribe y el que recibe podrán leer la información. Hace mucho tiempo escribí un tutorial para utilizar Pidgin con el plugin pidgin-encription.  En este artículo explicaré como utilizar el plugin pidgin-otr que es más seguro.

Si bien la primera parte del artículo se habla sobre como instalar en las principales distribuciones GNU/Linux, la segunda parte sobre configuración de OTR y Pidgin es relevante para Windows. Los usuarios de Mac deberían instalar Adium y buscar la opción de OTR.

Los usuarios de celulares deberían buscar aplicaciones libres que soporten OTR.

Instalar Pidgin y OTR

Aquí explicaré como instalar a través de comandos en distribuciones que usan apt y yum. Utilizo la línea de comando para instalar, pero es probable que lo pueda hacer con las herramientas de paquetería gráficas buscando pidgin y pidgin-otr.

Para instalar Pidgin y OTR en distribuciones basades en apt (Ubuntu, Debian, etc…) bastará con:

sudo apt-get install pidgin pidgin-otr

Supongo que para distribuciones basadas en RPM tipo Fedora se debería poner:

yum install pidgin pidgin.otr

Listo con eso esta instalado Pidgin y OTR. Al abrir la aplicación se debe crear una cuenta. Siga el procedimiento para el sistema de mensajería instantánea que usted utilice.

Configurar OTR

Una vez que tenga la cuenta de chat configurada, hay que verificar que el módulo de OTR este activo. Para esto en el menú donde se despliegan los contactos conectados dentro del menú herramientas seleccionar complementos.

Una vez en los complementos buscar Mensajería Fuera-de-Registro (OTR)

Con eso ya esta instalado el complemento de encriptación. Se puede verificar que esta activo si en la parte inferior derecha de la ventana de chat tenemos un mensaje que dice «No privado.»

Esto quiere decir que se esta trabajando con un chat no seguro. Si la persona con la que se esta chateando tiene instalado OTR, entonces se puede iniciar una conversación privada. Para esto se hace click «No Privado» y luego en iniciar conversación privada.

Ahora ya se tiene una conversación encriptada.

Como dice el mensaje, falta autenticar a la persona al otro lado del chat. Estoy quiere decir que la comunicación es encriptada, pero no se tiene seguridad que la persona al otro lado del chat es quién dice ser. Sin embargo la conversación ya es encriptada y se puede comprobar abriendo el gmail (en este ejemplo que se usa gmail).

De lado de Diego en su celular donde tenía abierta la conversación de chat se puede comprobar fácilmente que la conversación esta encriptada.

Ahora solo falta autenticar que la persona que esta al otro lado es quién dice ser. La forma más fácil es utilizar una frase compartida entre los 2. Por ejemplo con Diego quedamos en poner el nombre de la ciudad donde el vive. Es algo simple, pero yo ya sabía que estaba hablando con Diego.

Para esto se hace click sobre el mensaje «No Verificado»y luego en autenticar compañero.

En este caso se utilizará una frase compartida. (Shared Secret)

Se podría compartir la frase por SMS, una llamada telefónica, etc… De alguna manera que uno este seguro que la otra persona es quien dice ser. En este caso compartimos la palabra Loja

Una vez que el compañero ingrese la frase compartida en su equipo la autenticación se realizará con éxito.

Listo ahora en la esquina inferior derecha se tendrá el mensaje de color verde que dice Privado.

Listo ahora se tiene chat encriptado.

La semana pasada escribí un artículo sobre los problemas de privacidad que tenemos en Internet y como el software libre puede ayudarnos a defendernos. Recientemente encontré este video donde en los primeros 50 segundos habla Julian Assange sobre la filtración de documentos Spy Files y dice más o menos los siguiente:

Quién tiene aquí un iPhone? Quién tiene aquí un BlackBerry? Quién aquí usa Gmail? están todos jodidos.

El resto del video es publicidad de la empresa Italiana Hack Team sobre la venta de sus servicios y técnicas de espionaje informático. Un sistema infectado puede prender la cámara, el micrófono, saber las teclas que estamos escribiendo y mucho más. Les invito a buscar 12 minutos de su tiempo para ver el video.

Si bien los Spy Files no han sido tan difundidos como los cables diplomáticos de EEUU, su contenido es altamente preocupante. Los ciudadanos de a pié, así como nuestros gobernantes, estamos en constante riesgo de espionaje informático y debemos considerar seriamente la importancia de controlar el software que utilizamos.

El Software Libre no es garantía absoluta de no ser espiados, su uso combinado a la criptografía minimiza este riesgo. Por lo menos en el caso del producto de este video, el sistema operativo GNU/Linux, no esta soportado para ser espiado. La diferencia entre el Software Libre y el no-libre es que sobre el uno se puede tener control, mientras que con el otro no.

Considerando que Ecuador es el país que asumió el reto de dar asilo a Julian Assange, deberíamos estar más conscientes de las filtraciones que hace Wikileaks y sus implicaciones. Sobre todo ahora que asumimos este reto, nos convertimos en un target bastante interesante para el espionaje internacional. Me preocupa mucho ver a ministros, asambleístas y demás gente que esta en el poder comunicándose con blackberries, Iphones, Ipads, Android, Windows, MacOs, etcétera.