No hi haurà gossos a Internet

A Google, HTTPS, y la Internet de los muertos, Versvs reflexiona sobre el moviment de Google per prioritzar els llocs amb HTTPS en els resultats de les cerques, i les implicacions que té, que no son poques. Interessantíssim post que cal llegir.

Jo em quedo amb un pensament central:

[…] este movimiento erradica uno de los últimos componentes verdaderamente desregulados y libres de la web que conocimos.

La posició de força de Google, provinent de la quantitat d’informació que ja tenia dels seus bots, i encara més de l’ús que recopila amb els usos dels navegadors i d’Android, li permeten forçar la web en la direcció que els interessi. Indubtablement ampliar l’ús de SSL reforça la seguretat i la fiabilitat de la web, però prioritza les possibilitats de llocs de determinats tipus: comercials, corporatius, comunicatius… professionals, en una paraula. La web personal queda marginada, sigui pel pes de l’existència de SSL en l’algorisme de posicionament o, d’una manera més subtil, per veure una marca vermella davant de l’adreça del lloc (i petits canvis estètics poden comportar canvis d’hàbits molt profunds) o, senzillament, pel factor econòmic: el certificat val uns diners, i més si es EV (acabarem veient registradors de DNS que ja no venguin el domini sense SSL?).

Al final, no podrà haver-hi gossos a Internet, d’una manera o altra, sembla imposar-se la visió de Zuckerberg: una única identitat, una identitat contrastada. En aquest cas, una identitat certificada.

Què fer? Es pot usar Let’s Encrypt, com en Versvs indica, i fer-nos un certificat pel nostre lloc. O també es pot seguir essent un mateix: al cap i a la fi, la pròpia xarxa que un es teixeix creix a poc a poc, i segons el lloc, estar adalt del pagerank no és prioritari, perquè el motiu del lloc és un altre que l’econòmic o el servei públic. I es poden usar altres cercadors, tant a l’ordinador com al mòbil, que prioritzin amb altres algorismes i criteris.

Però la tendència de donar resultats en temps real, prioritzant sites certificats (això és, de fonts identificades), s’acabarà imposant, i caldria saber que no serà la única manera de trobar informació, que també es podrà buscar en els mateixos cercadors amb altres criteris més atemporals, més centrats només en contingut.

I caldrà no oblidar que una informació donada per un lloc certificat potser no és scam, ni phising, però pot ser igualment perjudicial i tendenciosa (pensem en alguns mitjans de comunicació): disminuirem la inseguretat, però no guanyarem en qualitat d’informació.

Volta de clau a la seguretat digital

El mètode més habitual per securitzar una web, una aplicació o un ordinador acostumen a ser els passwords. És el mètode de seguretat digital nadiu per defecte: es basa en alguna cosa que sabem, en el coneixement. Però per més que els guardem encriptats i en fitxers protegits o es donin consells per crear-los molt segurs, els passwords son la baula més dèbil de la cadena de la seguretat: la gent acostuma a fer-ne servir els mateixos, o no vigila gaire on els posa (phising o tècniques d’enginyeria social per aconseguir-los).

Per intentar solucionar aquests problemes la seguretat evoluciona: el reconeixement òptic, les empremtes per securitzar un dispositiu, els certificats digitals o els mètodes de login en dos passos (enviant un identificador al mòbil que després s’ha d’entrar a la web, per exemple). L’usuari (el seu comportament) no és fiable, com és, el que té, o forçar-lo a fixar l’atenció (dos passos) ja ho és més.

Ara Google, Yahoo o Microsoft comencen a provar mètodes d’identificació sense login i en un sol pas, derivant la identificació directament cap al nostre mòbil: volem entrar en un lloc, aquest ens avisa en el nostre mòbil (mitjançant una app) que validem l’entrada i ale-hop!, ja estem dins de la web al dispositiu inicial. Fàcil, molt fàcil, sembla. I segurament, a nivell general, incrementaran la seguretat (nota: un altre motiu per incrementar la seguretat dels nostres mòbils).

Ara bé,: aquests nous mètodes i dispositius no seran accessibles per tothom, només per aquells que tinguin smartphones capaços d’executar les aplicacions. La resta, o qui ho vulgui, podrà seguir fent servir la identificació amb el password tradicional (fins i tot en la identificació amb doble pas no calia tenir un smartphone, només havies de poder un sms amb el pin).

El temps ens confirmarà la utilitat i la fiabilitat d’aquests mètodes.

Però es constata una tendència a basar la seguretat no en allò que sabem (els passwords), sinó en allò que som (retina, empremta dactilar) o, cada vegada més, en allò que tenim.

Una curiosa volta de clau a la seguretat digital: basar-la cada vegada més en allò que tenim, com en la seguretat de tota la vida: qui no té la clau, no entra – només que la clau sembla, cada vegada més, un smartphone.

La paradoxa de minimitzar el risc

No ens agraden les incerteses, acostumem a témer allò desconegut i intentem reforçar el que coneixem i el que tenim. Això ens fa desenvolupar des de teories econòmiques a moviments polítics, mou la història de tant en tant o fins i tot ens condiciona socialment.

Però el risc forma part, en molts sentits, de la nostra vida, i intentar evitar-ho a tota costa i, el que es pitjor, pensar-nos que podem evitar-lo, no ens porta res de bò. Bruce Schneier és molt clar:

We’re afraid of risk. It’s a normal part of life, but we’re increasingly unwilling to accept it at any level. So we turn to technology to protect us. The problem is that technological security measures aren’t free. They cost money, of course, but they cost other things as well. They often don’t provide the security they advertise, and — paradoxically — they often increase risk somewhere else. This problem is particularly stark when the risk involves another person: crime, terrorism, and so on. While technology has made us much safer against natural risks like accidents and disease, it works less well against man-made risks.

Intentar minimitzar riscos de potencials desastres naturals basant-se només en el que ha passat ens dona una falta sensació de seguretat: ja ens hem blindat contra allò que ha passat i no pot tornar a passar… però i el que no ha passat? Pensar que quelcom no pot passar és diferent de quelcom impensable, i aquí ja poden entrar en joc inversions necessàries, probabilitas (enganyoses, segons com) i el seny i les decisions d’aquells en càrrecs de responsabilitat… debilitats i interessos de les mateixes persones entren en joc. Tot i així, però, el número de possibilitats acaba sent finit: com diu Schneier, la natura no s’adapta a les nostres contramesures.

Intentar minimitzar riscos de situacions generades per humans es molt més difícil: nosaltres ens adaptem, fem contramesures, i s’entra en una espiral d’adaptacions i contraadaptacions: la paradoxa d’intentar minimitzar un risc conegut i, per contra, generar-ne un de nou. A més, a nivell social tractar amb riscos està a un pèl de tractar amb la por, i això políticament pot ser molt rendible i socialment molt contraproduent a la mitja o a la llarga, més quan mesures i normatives que les regulen son sempre interpretables pels grups que s’encarreguen d’aplicar-les o dissenyar-les, és a dir, son subjectives.

Cal reavaluar la percepció del risc que tenim, i veure com en podem treure partit pel bé de la llibertat en les nostres societats. Cal sortir una mica de la zona de comoditat i mirar a l’horitzó, i això ens pot permetre també pensar en el llarg termini: mesures que minimitzin riscos socials poden funcionar durant un temps, però no ataquen l’arrel del problema que produeix el risc, cal buscar-la. I segurament la solució bona a llarg termini serà en termes educatius, d’inversió i de millora d’entorns i perspectives de vida.

Prisma: els governs (també) espien

Estats Units espia els seus propis ciutadans i d’arreu del món mitjançant el programa PRISMA: furga en les dades que li proporcionen les xarxes socials i fins i tot en les xarxes de les operadores de comunicació, arreu, ho veu tot.

Ara ja no és doncs només un tema del perfilat que ens poden fer a les dades socials i la nostra activitat, de ser el producte i no el client, ara sembla que cada vegada més el somni del gran germà orwellià, el govern vigilant, el tenim aquí. Semblava que els dolents eren les empreses que trafiquen amb les nostres dades (de tot tipus) per aprofitar-se i collar-nos més i ara torna el gran dolent de sempre.

Potser per ser Estats Units ho tenim més present, crida més l’atenció. Potser també té a veure que estan en territori americà les seus i majoria de servidors de les grans xarxes socials d’abast mundial (la Xina a banda, com sempre), estan subjectes a la seva legislació i jurisdicció del govern americà, de ben segur que això ajuda… però també ho fan a la Xina (El gran firewall), a l’Aràbia Saudita, a Iran (no volien una substituta d’Internet?) i a alguns quants països més… Recorda algú ara què i a qui escoltava Echelon?

El que és sorprenent no és que s’espiï, això es fa des de sempre.

El que és sorprenent és que això no surti abans, donat el nivell de privatització i d’externalització d’aquestes tasques: feines d’alt secret i relacionades amb la seguretat nacional van a parar a mans d’empreses que no tenen cap més obligació que la d’un contracte mercantil i un de confidencialitat, però els treballadors de les quals no pertanyen al govern (se suposa que els elements de les forces de seguretat estaran més motivats per raons emocionals i patriòtiques). I per molt que les empreses ho venguin com vulguin, no tots els seus empleats tenen el mateix nivell de compromís, eficiència i responsabilitat.

Ningú sabia què estava passant? Els empleats de les empreses subcontractades no deien res? I els de Google, Facebook, Microsoft o Apple, entre d’altres, tampoc no ho sabien? Ara n’ha sortit un, i algú l’ha escoltat. Potser abans n’hi havia hagut més.

Això ens porta a un altre punt: idealitzem la societat civil enfront els governs, la innocent ciutadania enfront el pèrfid govern que espia. I mentre la seguretat està en mans del govern, aquesta imatge encara es pot mantenir: son els seus assalariats (policies, espies, militars) els que ens espien, els que entren a la nostra privacitat. Però a mesura que les agències d’intel·ligència i de seguretat estenen els seus tentacles a empreses de serveis (les coartin o no mitjançant lleis) i a mida que els programes de vigilància digital o física es subcontracten a empreses privades… la imatge d’ells contra nosaltres comença a desfer-se, a caure a miques.

Ara també som nosaltres espiant-nos a nosaltres. O, espera, això també ha passat sempre, no?

Contrasenyes i mandra

Mantenir una paraula de pas per cada servei de la web on ets és una murga, en això estem tots d’acord.

Ni tenim memòria per recordar-ho tot, ni apuntar-ho en un post-it a la cartera és el millor, i com que som ganduls de mena i sembla que tot és segur, anem arreu amb una o dues paraules… després passa que tots tenim cada vegada més coses al núvol, ens en refiem més, i quan et crackejen un servei dels importants ja t’agafa mal de ventre… això, és clar, quan te n’assabentes.

Potser cal no ser tan mandrós i començar a ser una mica seriós amb la seguretat informàtica, o és que tenim la mateixa clau pel cotxe, a la feina, a l’escala i a casa? De fet, quan es parla d’aquests afers es sempre s’esmenten els hackers, la criptografia, tècniques d’enginyeria social, phising i més coses… quan una de les coses que més ajuden és la natural tendència al mínim esforç de l’ésser humà.

Jo començo ja a posar diferents claus a cada lloc. I no, no tinc memòria d’elefant, ni ho apuntaré a un post-it… el més fàcil és usar-ne dos o tres i afegir-hi alguna informació mitjançant una regla… que només coneguis tu.

Més que res, per no fer un bot cada vegada que es crackeja algun lloc gran, pensant quan em tocarà a mi…