Take back the (wired) web

Per a què serveix tota la potència d’emmagatzematge, càlcul i cerca d’organitzacions com la NSA? L’explicació clàssica és seguretat, lluita contra el crim, et al. Però després resulta que es descobreix el propietari de The Silk Road per un error d’ell mateix, o que no s’hagin detectat patrons ja coneguts (de comportament, relació, etc.) per identificar terroristes, per citar casos coneguts.

Anem cada vegada més cap a una societat vigilada, i la vigilància contínua i la intrusió en la privacitat d’aquestes agències i les seves similars (algú pensa que Rússia, Xina, Iran, Austràlia o els europeus no tindran quelcom semblant?) semblen quelcom normal, o un mal menor com a símptoma, mentre el problema real és la intenció al darrere d’aquestes organitzacions i els seus mètodes: la opacitat i nul·la transparència, la contraposició entre fets i paraules no fa més que augmentar el descrèdit i la confiança dels governants o els grups de poder per part dels ciutadans.

Fins ara, la capacitat d’emmagatzematge de dades de qualsevol tipus, format i origen, i la possibilitat de cercar-les i establir patrons feia tremolar, però no deixaven de ser mètodes passius: escoltes poderossísimes, però escoltes.

En canvi, els intents d’entrada a la xarxa Tor (un forat negre davant l’ull que tot ho veu) buscant qualsevol debilitat, o els atacs man-in-the-middle que semblen poder fer (basant-se en una combinació de potència computacional, accés a punts crítics de la xarxa i mesures legals coercitives, entre d’altres) son en canvi mesures actives, intencionades i invasives que canvien i reconfiguren la resposta i el funcionament de la xarxa.

El problema agafa aleshores una altra vessant: ja no només es perd la confiança en els governs i en les seves intencions, es perd també la confiança en l’estructura de la xarxa mateixa, en la seva confiabilitat: si qui m’està responent és un servidor intermedi que simula ser algú altre, o que s’hi posa al mig, deixant passar el missatge però registrant-ho tot, o bé fins i tot s’ha pogut canviar les taules d’enrutat d’un node perquè redirigeixi peticions de llocs concrets a passarel•les d’escolta, de qui puc fiar-me?

Està clar que actuacions com aquestes no les pot fer qualsevol, però precisament la col·laboració (voluntària o obligada) d’algunes empreses ens ha de fer veure la xarxa i els proveïdors de serveis i les operadores d’una manera diferent: la concentració de les operadores pot implicar també una re-centralització a nivell operacional de la xarxa?

Ja fa temps que es comenta recuperar l’esperit inicial de la xarxa, però si fins ara en parlàvem a nivell de continguts, de serveis, de la creixent comercialització, o d’amenaçes com la criminalització del p2p, algunes iniciatives legals o la pèrdua de la neutralitat… Haurem de començar a pensar també en recuperar el cablejat?

Big data: un doble repte per l’Administració

El big data és el següent pas de la xarxa per explorar i explotar comercialment. El conjunt immens d’informació de tot tipus que es genera i s’emmagatzema, i la possibilitat d’interconnexió de les diferents sitges i de recerca i extracció de dades, resultats i tendències és un mercat que ningú vol desaprofitar.

L’Administració, com a actor econòmic i social de primer ordre, també té interessos i és part en aquest terreny: d’una banda, com a impulsora de solucions que facin ús d’aquest concepte i de proveïdora de dades; de l’altra, actuant com a reguladora i aplicant lleis i controls per garantir la privacitat de la ciutadania.

En el primer cas, l’Administració Local (sobretot) comença a jugar un paper molt important com impulsora en projectes de smart cities, que fan un ús molt intensiu del big data: la sensorització dels aparcaments i del trànsit en viu, la il·luminació pública i el reg, per esmentar els exemples més habituals, necessiten de l’extracció de patrons de comportament i la deducció de necessitats dels grans conjunts de dades que es generaran, per poder millorar l’eficiència i els serveis als ciutadans i la seva gestió.

Sembla clar que un primer conjunt de dades com sensors d’aparcament per camp magnètic o per infraroigs, o bé sensors d’humitat o de llum no han de ser un gran risc a la privacitat de les persones, però també estar atents a l’ús de dades de les càmeres de trànsit en temps real, que si que poden identificar vehicles individualment, per exemple, i que també poden fer-se servir com solucions de smart city per avaluar la càrrega de trànsit en vies i redirigir el flux rodat mitjançant panells o semàfors, o l’ús de mòbils per buscar aparcaments, rutes o fer pagaments de serveis públics, dades que també es poden creuar posteriorment. Aquest segon conjunt de dades si necessita de processos d’anonimització, més si es té en compte que en molts casos aquests serveis estaran en mans d’empreses privades que poden no tenir tant clar el dret de privacitat.

En el segon cas, com a reguladora, la mateixa Administració ha de ser conscient del dret a la privacitat, i ha de vetllar per la seva aplicació, mitjançant la redacció de lleis i mesures protectores. Ho ha de fer amb l’aplicació de mesures de control a les empreses que tractin amb aquesta informació, i donant exemple aplicant-se ella mateixa aquesta regulació en els seus propis processos interns: gestiona immensos paquets de dades molt sensibles de les persones (personals, econòmics, sanitaris, socials) que ara per ara encara poden estar en sitges diferents (donant una falsa sensació de seguretat) però que a mesura que avancin les capacitats d’interconnexió entre administracions poden donar lloc a temptatives d’usar-les en conjunt, ja sigui ella o per part de tercers.

L’Administració, doncs, s’enfronta a un doble repte al món del big data: saber impulsar solucions i promoure el seu ús, generant valor econòmic i social, i alhora fer que tot això es desenvolupi dins del marc del respecte a la privacitat, davant de la temptació i la pressió de grups amb diferents interessos que puguin voler barra lliure de dades.

De com facilitem que ens controlin

Originalment la xarxa era un conjunt de subxarxes i pàgines totalment distribuïdes, servidors i més servidors de pàgines web, aïllats un dels altres, que enllaçaven aquestes planes mitjançant un conjunt d’adreces comunes, però sense cap punt central.

El mateix passava amb altres serveis, com el correu o l’ftp, o posteriorment, les famoses xarxes p2p.

En aquest context van començar a sortir els primers motors de cerca, catalogant i indexant contingut extern, i dirigint els seus usuaris a les pàgines on aquest estava.

Amb el pas del temps, però, els administradors d’aquests serveis van començar a veure que era més còmode no anar a cercar contingut arreu del món, sino ajudar a generar-lo a casa seva, o hostatjar-lo allà mateix, així com proporcionar serveis associats (correu, calendaris, espai de disc): això facilitava la feina de recerca i indexació i, alhora, generava molt i molt coneixement dels costums i preferències dels usuaris. Afegim un disseny agradable, un funcionament ràpid d’aquests serveis i la possibilitat (que els donem) per tafanejar la nostra agenda i trobar altres usuaris per “connectar”, i ja tenim la web 2.0.

Icones de serveis web, via squareberry.com/

Tot plegat, això no ha fet altra cosa que anar a més, de tal manera que les grans xarxes socials tenen un nivell de penetració altíssim entre la “població digital”, amb milions i milions d’usuaris. Vist des del punt de vista de la privacitat, milions i milions d’objectius de cerca, de registres d’on extraure dades (mineria) i on aplicar-hi sistemes massius de cerca (big data) per extreure patrons de comportament i grafs socials.

Així, aquesta centralització cada vegada més acusada en uns quants serveis puntuals facilita l’espionatge de dades i el control de grups socials a la xarxa: una vegada es té accés a un dels servidors (sigui de la manera que sigui: legal o il·legal, acordada o coaccionada, consentida o ignorada) es té accés no només a tot allò que un pugui dir i publicar, si no també a tota la xarxa de contactes pròpia i, el que es més valuós encara: al registre d’acció amb aquests contactes (quan els hem donat d’alta, cada quan hi connectem, parlem o mirem què diuen o llegim que publiquen, per exemple) o al tipus de contingut que pugui haver en aquestes xarxes o sistemes registrats per ells.

És a dir, una imatge gairebé complerta del nostre moviment per la xarxa que proporcionem nosaltres mateixos. El problema pot venir si aquest perfil digital, que és parcial (es només una part de la nostra vida) i, per tant, esbiaixat i amb -molt important- una falta important de context (perquè cerco, compro o tinc certes coses, perquè parlo amb determinada gent?) s’interpreta com una imatge integral de nosaltres mateixos: això pot donar lloc a interpretacions molt errònies en mans de desconeguts o projeccions equivocades o malintencionades, per no parlar ja de la manca de privacitat.

Podem ser radicals i tenir els nostres propis servidors de correu i pàgina personal, donar-nos de baixa de serveis centralitzats com usuaris registrats o usar anonimitzadors, és clar, però no son mesures que el comú de la gent pensem usar habitualment, oi? Cal, sobretot, ser conscient del que diem i publiquem, saber que no estem en la intimitat de casa o només amb el mòbil, si no cridant-ho als quatre vent i no oblidar que la xarxa té memòria, i molta.

Privacitat, encriptació i la seguretat a la xarxa.

Snowden, el projecte PRISM i la NSA. Els serveis d’inteligència de mig mon que monitoritzen la xarxa (ens escandalitzem dels USA, però que deuen saber russos, xinesos, alemanys i britànics, per dir-ne alguns), les operadores que també voldrien tenir part del pastís. La Patriot Act i derivades, les lleis que no protegeixen la nostra privacitat ni intimitat o que restringeixen la compartició d’informació. La identificació, errònia i perniciosa, entre privacitat i ocultació (qui no fa res dolent no té res per ocultar, diuen).

El tancament de Lavabit i altres serveis de correu xifrats, el poc suport que es dóna comercialment al xifrat i signatura digital… (us heu fixat que gmail no permet treballar amb correu xifrat directament, només pots fer-ho via clients d’escriptori com Thunderbird? No és casual)

Els grups de pressió dels mèdia que volen conservar la seva part del pastís de la comunicació. Google, Facebook i d’altres que escanegen i rastregen el que poden i més i et perfilen més del que tu mateix et penses. La cada vegada més gran exposició pública de les nostres vides privades sense que ni ens n’adonem. La millora d’experiència d’usuari i la facilitat per posar i posar més informació a serveis de tercers, que passa a ser, mira per on, d’ells.

I segurament unes quantes coses més.

Vist això, cal replantejar-se l’ús que fem de tots aquests serveis. Jo torno a usar el meu correu personal des dels meus propis servidors, començo a usar OpenPGP amb Enigmail al Thunderbird per signar/xifrar correus i em plantejo l’ús de GPG per la resta de les dades. Per frikisme? Per haver d’ocultar alguna cosa? No, cap. És per una cosa tan senzilla com la meva privacitat: de la mateixa manera que em molesta molt que un tercer escolti una conversa que estic tenint amb algú, per insubstancial que sigui (si vull ja l’inclouré), em molesta molt que ho poguessin escoltar digitalment. És la meva conversa, les meves paraules. I si a la vida real, se les acaba emportant el vent -diuen- al món digital, on tot queda registrat, caldrà protegir-ho una mica més.

Amb tot, no son més que mesures temporals. Tot xifrat s’acaba podent trencar, el que cal realment és un marc legal i social que reconegui aquests drets i els faci compatibles amb d’altres necessitats (balancejar allò privat amb allò comú), perquè no parlem només de correu. En el món físic, amb territoris, sobiranies i fronteres, on tot es pot tocar, això semblava més fàcil i hi tenim experiència llarga. En el món digital, sense fronteres, sense delimitacions geogràfiques, com s’apliquen aquestes sobiranies, com es posen aquests límits o a qui afecten les diferents lleis i drets?

Mentre no tinguem un mínima legalitat i drets comuns a la xarxa, com a ciutadans de la xarxa, potser no és mala idea usar una mica d’encriptació.

Enllaços d’estiu

Com que a l’estiu tenim més temps per tot, apunto uns quants enllaços per llegir i veure:

  • OgovdayTerrassa, per tenir una visió general sobre conceptes com govern obert, transparència o smart cities.