Prisma: els governs (també) espien

Estats Units espia els seus propis ciutadans i d’arreu del món mitjançant el programa PRISMA: furga en les dades que li proporcionen les xarxes socials i fins i tot en les xarxes de les operadores de comunicació, arreu, ho veu tot.

Ara ja no és doncs només un tema del perfilat que ens poden fer a les dades socials i la nostra activitat, de ser el producte i no el client, ara sembla que cada vegada més el somni del gran germà orwellià, el govern vigilant, el tenim aquí. Semblava que els dolents eren les empreses que trafiquen amb les nostres dades (de tot tipus) per aprofitar-se i collar-nos més i ara torna el gran dolent de sempre.

Potser per ser Estats Units ho tenim més present, crida més l’atenció. Potser també té a veure que estan en territori americà les seus i majoria de servidors de les grans xarxes socials d’abast mundial (la Xina a banda, com sempre), estan subjectes a la seva legislació i jurisdicció del govern americà, de ben segur que això ajuda… però també ho fan a la Xina (El gran firewall), a l’Aràbia Saudita, a Iran (no volien una substituta d’Internet?) i a alguns quants països més… Recorda algú ara què i a qui escoltava Echelon?

El que és sorprenent no és que s’espiï, això es fa des de sempre.

El que és sorprenent és que això no surti abans, donat el nivell de privatització i d’externalització d’aquestes tasques: feines d’alt secret i relacionades amb la seguretat nacional van a parar a mans d’empreses que no tenen cap més obligació que la d’un contracte mercantil i un de confidencialitat, però els treballadors de les quals no pertanyen al govern (se suposa que els elements de les forces de seguretat estaran més motivats per raons emocionals i patriòtiques). I per molt que les empreses ho venguin com vulguin, no tots els seus empleats tenen el mateix nivell de compromís, eficiència i responsabilitat.

Ningú sabia què estava passant? Els empleats de les empreses subcontractades no deien res? I els de Google, Facebook, Microsoft o Apple, entre d’altres, tampoc no ho sabien? Ara n’ha sortit un, i algú l’ha escoltat. Potser abans n’hi havia hagut més.

Això ens porta a un altre punt: idealitzem la societat civil enfront els governs, la innocent ciutadania enfront el pèrfid govern que espia. I mentre la seguretat està en mans del govern, aquesta imatge encara es pot mantenir: son els seus assalariats (policies, espies, militars) els que ens espien, els que entren a la nostra privacitat. Però a mesura que les agències d’intel·ligència i de seguretat estenen els seus tentacles a empreses de serveis (les coartin o no mitjançant lleis) i a mida que els programes de vigilància digital o física es subcontracten a empreses privades… la imatge d’ells contra nosaltres comença a desfer-se, a caure a miques.

Ara també som nosaltres espiant-nos a nosaltres. O, espera, això també ha passat sempre, no?

Contrasenyes i mandra

Mantenir una paraula de pas per cada servei de la web on ets és una murga, en això estem tots d’acord.

Ni tenim memòria per recordar-ho tot, ni apuntar-ho en un post-it a la cartera és el millor, i com que som ganduls de mena i sembla que tot és segur, anem arreu amb una o dues paraules… després passa que tots tenim cada vegada més coses al núvol, ens en refiem més, i quan et crackejen un servei dels importants ja t’agafa mal de ventre… això, és clar, quan te n’assabentes.

Potser cal no ser tan mandrós i començar a ser una mica seriós amb la seguretat informàtica, o és que tenim la mateixa clau pel cotxe, a la feina, a l’escala i a casa? De fet, quan es parla d’aquests afers es sempre s’esmenten els hackers, la criptografia, tècniques d’enginyeria social, phising i més coses… quan una de les coses que més ajuden és la natural tendència al mínim esforç de l’ésser humà.

Jo començo ja a posar diferents claus a cada lloc. I no, no tinc memòria d’elefant, ni ho apuntaré a un post-it… el més fàcil és usar-ne dos o tres i afegir-hi alguna informació mitjançant una regla… que només coneguis tu.

Més que res, per no fer un bot cada vegada que es crackeja algun lloc gran, pensant quan em tocarà a mi…

Piles nuclears

Els problemes que estan tenint al Japó amb les centrals nuclears son deguts al calentament del nucli dels reactors, perquè els abastiments dels circuits de refrigeració s’han trencat. Podrien les piles nuclears portàtils ser més segures en aquests casos?

Si deixem un moment la seguretat de banda, aquestes piles poden distribuir-se pel territori, son autocontingudes, de menor tamany i per tant de més fàcil instal·lació (i més fàcil reparació de la seva infrastructura o, en cas molt greu com l’actual, transport a un altre emplaçament), poden ser escalables (per oferir més potència o disminuir-la, com un joc -arriscat- de construcció), i fins i tot poden construir una xarxa més resistent a catàstrofes per estar repartides pel territori…

Des del punt de vista d’un profà, no sembla mala opció. Però qui és el valent que en posa una al costat de casa? I com es controlen, tornant a la seguretat?

La web: també impressió, no només funcionalitat

Jakob Nielsen, en la seva última columna sobre disseny web, demana la eliminació dels asteriscos a l’hora d’entrar paraules de pas, i ho argumenta dient que provoca errors en els usuaris (sobretot en dispositius mòbils) i que realment no suposa una garantía de seguretat (et poden mirar quines tecles piques).

Coincideixo en que no és una gran mesura de seguretat (si, poden mirar les tecles, simular logons i posar sniffers, ja fet), però el que Nielsen no valora és la sensació de seguretat que pot tenir l’usuari, o, amb el que ell proposa, la pèrdua d’aquesta sensació de seguretat.

La web no és només un tema de funcionalitat, també és una percepció d’aquesta funcionalitat, de la robustesa d’una pàgina, de la resposta en carregar-la o bé dels missatges que es donen en resposta a les nostres accions. Això ho saben bé els dissenyadors de pàgines que distreuen l’usuari carregant cossos principals d’informació mentre es carreguen els detalls petits, que parteixen processos en diferents passos o pàgines per no fer-les tant ferragoses o que s’asseguren de la sensació de lleugeresa i robustesa d’una pàgina en funció dels missatges interactius que se li dónen a l’usuari.

Així, si d’una pàgina d’identificació amb usuari i paraula de pas desenmascarem la paraula de pas, a l’usuari li quedarà la sensació que aquella pàgina no és segura, que qualsevol pot veure la contrassenya, per més sol que estigui en l’habitació: haurà perdut confiança en el mecanisme de seguretat (per més que alguna vegada s’equivoqui entrant-lo).

Es tracta no només de que una pàgina sigui segura o funcioni, sino que doni la impressió de fer-ho. Com allò de la dona del Cèsar.