27 Abr

Review de “El pequeño Libro Rojo del activista en la Red”

Al gener de 2015 es va publicar el llibre “El pequeño libro rojo del activista en la Red” [1], escrit per Marta Periano amb el segell de Roca Editorial. Es tracta d’un manual introductori de les bones pràctiques i l’ús d’eines criptogràfiques per a protegir les comunicacions digitals i garantir la privacitat de l’usuari. Pretén arribar a les redaccions dels diaris, al món activista i a qualsevol persona preocupada per la seva seguretat i privacitat en un entorn digital.

El llibre comença amb un pròleg de l’ex-agent de la NSA Edward Snowden, i continua amb una introducció explicant la importància de fer ús d’eines que protegeixin les dades i comunicacions, posant com a exemple la necessitat dels periodistes de protegir les seves fonts. La introducció acaba amb una crida a l’ús d’eines de software lliure i un repàs de l’estat de l’espionatge digital actual.

El manual toca els següents punts:

  • Consells per a crear contrasenyes segures
  • Funcionament del correu electrònic i ús del sistema de xifrat PGP (amb Thunderbird + Enigmail)
  • Navegació segura: SSL, VPN
  • Tor (navegació anònima i anti-censura)
  • Eines pel telèfon mòbil: Orbot, Orweb, CSipSimple, K-9 Mail, APG (Android Privacy Guard)
  • Xifrat de discs: Truecrypt
  • Neteja de dades
  • Tails

La primera part del llibre aconsegueix fer un resum de l’estat actual del món pel que fa a la vigilància de forma molt correcta, i demana una presa de consciència de cara a la necessitat d’usar eines criptogràfiques avui i d’anar en compte amb les nostres dades i comunicacions digitals.

Els temes que es toquen al manual estan explicats de manera molt entenedora. Primer s’introdueix la part tècnica d’una forma molt senzilla i plana per a poder entendre la necessitat de fer servir eines per a cada cas. Seguidament, s’explica com funciona l’eina en qüestió de forma fàcil i els passos per a usar-la correctament en cadascun dels sistemes operatius més comuns: GNU/Linux, Mac OSX i Windows.

Els capítols que expliquen les eines es poden llegir individualment, ja que en general no requereixen coneixements de les altres parts. De tota manera, el llibre és molt curt i es llegeix en unes poques hores.

Tot i que el llibre resulta a grans trets molt correcte, ens agradaria precisar alguns detalls:

  • Malgrat que cada capítol es pugui llegir individualment, l’explicació sobre què és SSL/TLS es repeteix en diferents punts, com si el lector desconegués del tot el funcionament d’aquest protocol. Resulta estrany vist que hi ha un capítol (“Redes públicas”) amb una secció expressament dedicada a explicar el protocol.
  • Apunt tècnic: A l’explicació de SSL/TLS, l’autora fa servir “SSL” i “TLS” indistintament, sense explicar la diferència entre ambdós. Per aclarir-ho: TLS és simplement el successor de SSL. TLS 1.0 va ser l’actualització de protocol que va venir després de SSL 3.0 [2]. El protocol https funciona tan amb SSL com TLS, tot i que cada cop hi ha menys pàgines que funcionin mitjançant SSL ja que conté més vulnerabilitats.
  • Sobta bastant que el llibre recomani Truecrypt pel xifrat de discs, vist l’estat actual d’aquesta eina [3]: al maig de 2014, els autors de Truecrypt van publicar una nota a la pàgina oficial dient que deixaven de desenvolupar l’eina i que aquesta podia contenir problemes de seguretat sense solucionar, recomanant als usuaris que migressin les seves dades i n’usessin una altra. Els motius pels quals els desenvolupadors van prendre aquesta decisió són desconeguts, i no se sap amb seguretat si Truecrypt conté algun backdoor; el que sí que sabem del cert que no hi haurà més actualitzacions. A causa d’aquest motiu, van aparèixer forks de Truecrypt que proporcionen suport i actualitzacions, i que en el nostre parer són més recomanables d’usar: VeraCrypt [4] i CipherShed [5]. Recentment s’han publicat els resultats d’una auditoria a Truecrypt que va començar abans de l’anunci de la finalització del seu desenvolupament, els quals indiquen que el software sembla estar ben dissenyat criptogràficament i que no s’ha trobat cap indici de backdoor ni defectes de disseny deliberats per a fer l’eina menys segura [6].

[1] – http://www.rocaeditorial.com/es/catalogo/sellos/eldiario-es-12/el-pequeno-libro-rojo-del-activista-en-la-red-1862.htm
[2] – https://en.wikipedia.org/wiki/Transport_Layer_Security#History_and_development
[3] – https://en.wikipedia.org/wiki/TrueCrypt#End_of_life_announcement
[4] – https://veracrypt.codeplex.com/
[5] – https://ciphershed.org/
[6] – http://blog.cryptographyengineering.com/2015/04/truecrypt-report.html