23 agosto 2013

Hemos perdido la batalla de la privacidad

Si me hubieran dicho hace 7 u 8 años que iba a pronunciar la frase que da título a este post, probablemente me habría negado a creerlo, en ese momento pensaba que existía un notable 'poder' técnico al alcance de la gente y que los gobiernos -aun bisoños en el arte de espiar las nuevas tecnologías- tenían más que perdida la batalla del control de Internet.

Ahora lo veo todo de una forma radicalmente opuesta. Opino que, de una forma sutil y elaborada, las piezas del tablero han cambiado hasta un punto en el que ya todo está perdido.

De entrada el comportamiento de los usuarios ha sido 're-educado' de una forma en la que la gente asume y acepta que la privacidad es algo secundario, se ha conseguido que la gente piense de una forma eminentemente pragmática donde la funcionalidad vale el 90% y las migajas quedan para el resto de cuestiones como la privacidad, moralidad, etc

La segunda pata de este problema, los gobiernos, han dado toda una lección de adaptación al medio ante la que hay que quitarse el sombrero. PRISM es el ejemplo superlativo del concepto técnico, pero me llama la atención el concepto sociológico: ahora es muy fácil concentrar esfuerzos.

En un momento en el que la gente ha aceptado que la privacidad es algo totalmente secundario, cualquier gobierno puede, de una forma muy cómoda, concentrar esfuerzos en ese pequeño reducto de personas que sí se toman en serio la privacidad y arrinconarlos. Un ejemplo claro es TOR, dejándola ante la opinión pública como un reducto de gente 'extraña' y luego atacándola basándose en la linea argumental previamente definida.

La tercera pata son las corporaciones, ante este panorama donde el usuario es un dócil corderito ya totalmente domesticado que juzga con absoluta lenidad cualquier violación a su privacidad, se ha abierto la barra libre, y no me refiero a cosas como que Facebook tiene vínculos con la NSA o la CIA (qué, sinceramente, me da igual y no creo que ese sea el problema ya que Facebook deja muy a las claras cual es su juego), me refiero a cosas mucho más oscuras.

El otro día, vía el siempre genial Crg, llegué a esta web en la que demostraban como hacer seguimiento a un usuario sin hacer uso ni de javascript ni de cookies. De ahí llego a este otro artículo en el que un estudio demostró como un buen número de webs bastante importantes estaban haciendo uso de estas técnicas para monitorizar usuarios.

Igualmente en ZDNet se puede leer un artículo donde se critica la poca transparencia de Microsoft con el sistema de actualización de las CAs del que, por cierto, hablamos por aquí en el 2010

Y estos son solo dos ejemplos, pero hay muchos más

En definitiva, hemos perdido la batalla de la privacidad

36 comments :

Madrikeka dijo...

Como siempre, muy buen artículo.


En este tema, siempre tengo una duda, nosotros de mayor o menor forma, podemos currarnos el no ser tan visibles, pero , cómo podemos hacer que un usuario, que solo sabe acceder al correo, a internet, office y poco mas, entienda de forma amigable este tipo de cosas?


Cómo enseñarle de forma sencilla, a utilizar la tecnología en su favor para evitar esa pérdida de privacidad?


A veces, tengo la sensación de que realmente los usuarios no saben que están siendo "monitorizados".


Solo hay que ver la cantidad de móviles que aparecen en las fotos, por "calcular mal" con la cámara, fotos y videos que harían sonrojar a un camionero, la facilidad con la que se dan los datos, etc... vamos, que la gente no se da cuenta, que esa información está al alcance de mucha gente y de todavía mas si los subes a algún lado.


Creo, que en este caso, se aprovechan del desconocimiento de la gente y mientras esto siga así, como bien dices, hemos perdido la batalla.


Un saludo!! :D

Juan Garrido dijo...

Yago, en primer lugar un artículo muy bueno como siempre, con un toque de conspiranoia que tanto me gusta, pero en mi humilde opinión desacertado en algunos puntos, como el que comentas sobre "el método oscuro de actualización de certificados raíz de Microsoft".

Estás ratificando lo anterior haciendo alusión a un artículo que parece escrito por un periodista más que por un técnico. He leído ambos artículos, y el escrito por Larry Seltzer sinceramente no hay por donde cogerlo.

Larry comienza diciendo que no ha encontrado NADA de información en Internet sobre este método oscuro e insano de Microsoft por actualizar los certificados raíz, poniendo un escueto enlace a la Web de descargas de Microsoft.... Sin palabras...

Lo que este señor no sabe es que el sistema de actualización que comenta se dejó de utilizar hace AÑOS. A PARTIR de Windows Vista, el método escogido por el OS para la actualización de certificados raíz se basa en una petición a Internet que compara la lista que tiene el OS con la lista actualizada de Microsoft, e instala únicamente las diferencias. Dos peticiones y listo. Nada de esperar al primer martes de cada mes. Se parece mucho al oscuro sistema de actualización automática de Chrome no?

Una cosa que me resulta especialmente graciosa del artículo, es que habla de Hacks o trucos del registro para deshabilitar esa funcionalidad - ???? - cuando a partir de Windows Vista (Hace ya años....) se puede deshabilitar a través de políticas de grupo sin necesidad de tocar nada en el registro. Estas políticas se encargarán de modificar el registro.

http://technet.microsoft.com/en-us/library/cc749331(WS.10).aspx

En cuanto a las oscuras empresas que hay en los certificados raíz y que este señor dice no encontrar tampoco información, Microsoft mantenía antiguamente (Año 2009) un documento PÚBLICO en el que se especificaban todas las CA que hay en el contenedor de certificados.

http://download.microsoft.com/download/1/4/F/14F7067B-69D3-473A-BA5E-70D04AEA5929/Windows Root Certificate Program Members November 2009.pdf

Como la lista crecía o disminuía en base a cuestiones de seguridad como tú bien sabes, MIcrosoft optó por no actualizar más ese fichero pdf y dedicarle un sitio exclusivo en la Web, la cual también os dejo aquí:

http://go.microsoft.com/fwlink/?LinkID=269988

En esa Web podréis ver qué CA se incluyen así como las que se eliminan, y atención, poder exportarlo a Excel (o a CALC de O.O) y verificar qué entra o qué sale.

Y para el que no le valga lo anterior, y se quiera descargar la actualización para poder tranquilamente hacerla de manera offline o para investigar qué se instala....

http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe
Salu2!

Anonimo dijo...

Echo en falta un listado de supuestas web que hacen uso de estas técnicas :). Por cierto, ¿el modo privado del navegador no soluciona esto? Al fin y al cabo me ha parecido entender que se hace uso del cacheo para hacer el tracking, sin cacheo se acabó la rabia y en esta época en la que nos encontramos las líneas ya no son de 56k :)

Román Ramírez dijo...

Ojo, la web que citas, no es una novedad.


Esta misma técnica la publicamos en Chase The Sun en el 2001 (en un artículo titulado "El principio de Locard v1", lo estoy buscando para pegaros un enlace, pero solamente encuentro la segunda versión, encima voy a quedar mal :DD) para poder "pillar" a la gente accediendo a zonas privadas de las webs. Insertando imágenes invisibles cuya firma la controlabas tú. Incluso, aprovechando lo que ya se publicó sobre descubrir el historial de navegación aprovechando los CSS (con el a:visited llamando a imágenes específicas por dominios).



Orientado a demostrar que el ordenador de ese usuario sí había accedido a un recurso privado, generabas una imagen de forma dinámica que fuera única para ese usuario, de forma que la cacheara y solamente él la cacheara. De esta manera, con el log de tu lado por una parte y con el equipo incautado por la otra, podías demostrar que había estado en contacto (Principio de Locard) con una zona privada, luego era "encausable".


Esto no es más que darle una vuelta más aprovechando el ETag (ingenioso, pero nada nuevo).

Román Ramírez dijo...

Me respondo a mí mismo y aprovecho para spammear :)

Pablo San Emeterio, Jaime Sánchez y yo llevamos un tiempo programando un servicio de proxy anónimo que te gestione todo ese tipo de cosas, tanto cookies, como local storage, como almacenamiento flash, etags, ... y que impida que nadie pueda rastrearte una vez hayas desconectado del proxy... como cosas añadidas, validación avanzada de certificados para evitar MitMs y otras cosillas...

Nuestra idea es que sea un servicio SaaS (al estilo de zScaler) pero orientado estrictamente a seguridad personal y privacidad.

Si alguno se anima a echarnos una mano (andamos desbordados), ponemos en contacto en privado conmigo, con Pablo o con Jaime (mi dirección de correo-e es harto conocida, rramirez LALALA rootedcon.es).

Security By Default dijo...

El enlace al documento que citas :)

http://www.chasethesun.es/wp-content/uploads/2012/11/locardv2.pdf

Román Ramírez dijo...

Muchas gracias, pero esa es la v2, más orientado al tema de intercambio de claves SSH, "huelas de binarios compilados" etc. En la v1 poníamos un ejemplo de rastreo con imágenes :( Como decía, como el culo estoy quedando :))


Tengo que tirar de backup para recuperar ese documento (lo único que he encontrado es una referencia en un artículo de Raúl Siles sobre forense).

Arrrr dijo...

¿Y la gente quiere privacidad? Porque si la quisiera, no hablaría de su vida o colgaría fotos públicas en twitter, y eso es lo que hacen. La privacidad no es apreciada por la mayoría, y solamente aprovechada por una minoría, aunque el impacto de esta minoría puede ser grande en la mayoría.

Madrikeka dijo...

Es lo que digo, mucha gente parece no querer privacidad, por que realmente desconocen hasta donde pueden llegar sus datos y quien los puede ver.


Luego hay muchas otras personas que les encanta que les miren, pero ese tema es otro cantar XD

alfonso muñoz dijo...

Quizás sea momento de aunar esfuerzo en nuevas herramientas para proteger la privacidad. La cuestión es que mucha comunidad pero al final las ideas y las propuestas mueren antes de arrancar.... Alfonso Muñoz

Jesús Arnáiz. dijo...

Hola Yago.
Antes de nada, me uno a las felicitaciones, interesante publicación.


Como opinión personal creo que al usuario no se le ha re-educado. El usuario usa la tecnología como le place. No se puede comparar el uso que se daba a Internet hace 25 años con el uso actual (antes era cosa de "entendidos" digamos y hoy está totalmente generalizado, yo lo llamo: "disneyworld" :) ).


Se publica absolutamente todo sobre la vida personal en las redes sociales, blogs, etc, no creo que sea un tema de re-educación, como decía, es el uso que se le quiere dar. Lo incongruente me parecería que una persona publicase en las redes sociales hasta el último detalle de su vida y luego andase preocupada por si google o ebay o ... registra la IP desde la que accede a sus servicios y el uso que le da, y por tanto se molestase en usar tor.

Por otro lado, el tema gobiernos y demás lo veo complicado. Nos va a costar aceptar que Internet no es tan "guay y libre" como nos hemos acostumbrado a que fuera. Aunque no me gustan muchas de sus actuaciones, muchos movimientos me parecen normales. Cuando aparecieron los primeros coches no había apenas normas, compáralo con las que hay hoy en día; si coges el coche y graban tu matrícula cada dos calles, tienes radares que controlan tu velocidad, tienes que estar requete-registrado para tener un vehículo, etc. ¿Te parece esto también una intromisión a la privacidad?.


Esperar que en Internet, nos guste o no, no suceda algo parecido es un poco inocente yo creo, pero repito, de ahí a que sea de nuestro agraado...


De nuevo, buen trabajo.
Saludos.

Santaklaus Klaus dijo...

No creo que la gente quiera privacidad. La gente deja sus fotos en facebook. Lo que hace, lo que no hace y lo que tiene pensado hacer o dejar de hacer. La gente es narcisista y necesita que los demas sepamos de ellos, que los miremos, que les hablemos. Esa gente no quiere privacidad, esa gente quiere vivir en la casa de Gran Hermano y pasar la vida viendo el futbol o sálvame (iba a decir extermináme porque no me acordaba del nombre).

Ozymandias dijo...

Yo diría aún más: Hemos perdido la guerra por la libertad.

ioxoi dijo...

El usuario medio no es consciente de que significa la privacidad, y esta deseoso de acceder a la intimidad de terceros como en la prensa y television amarilla, al generalizarse el acceso a servicios en internet la gente no solo expone su información voluntariamente en redes sociales y servicios accesibles por centros de inteligencia y empresas privadas, si no que exponen igual en té la información de los que somos algo mas cuidadosos.
Como medida paliativa nos queda mantener roles y dispositivos/usuarios bien diferenciados para redes sociales, acceso a informacion, trabajo, investigaciones personales, etc.
Pero en general la batalla esta perdida, incluso leyes como la europea contra las cookies, esta perdida de antemano, o aceptas o los diferentes servicios pueden ser mas pesados que la publicidad de una web de enlaces de descargas. Hasta el propio google

John Reedaw dijo...

En esta linea, es interesante leer el paper en el que Claudia Diaz de Vigo pero residente en Belgica participo no hace mucho sobre web fingerprinting: https://www.cosic.esat.kuleuven.be/publications/article-2334.pdf

Yago Jesus dijo...

Hola amigo,

Lo que se critica es el hecho de que la falta de transparencia habilita la posibilidad de una modificación ad-hoc para insertar una CA que no haya pasado por el programa de Microsoft.

Es un poco lo que hablábamos en el post que cito del 2010, ahora con esa forma dinámica de actualizar las CAs, se pierde un poco la visión de en quién estás confiando.

Aparte del listado público de Microsoft, la mejor manera de saber exactamente en las CAs que se confían es parsear el fichero authroot.stl tal y como explicamos aquí http://www.securitybydefault.com/2012/01/en-manos-de-quien-esta-la-seguridad-de.html

Yago Jesus dijo...

El estudio que se hizo está aquí http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1898390

Yago Jesus dijo...

Hola,


Entiendo lo que dices, pero desde mi punto de vista el matiz es la elección, no es lo mismo que yo voluntariamente comparta una foto en Facebook a que me monitoricen con Etag sin yo saberlo

cp dijo...

Pues promoviendo y haciendo que sean mas faciles de usar (incluso que se incluyan las caracteristicas en navegadores como firefox) plugins y aplicaciones que facilitan el no ser tan visibles.


Tor, el adon de firefox secretagent que sale en el articulo de uno de los enlaces y en el mundo de los smartphones lo mismo, apps que se encarguen de la tarea.

SiD dijo...

Welcome to this side :-)


Pero bueno, siempre tendremos la posibilidad de que deteminada web nos diga que garitos hay cerca de nosotros para comer, ¿no? .-)


Hemos vendido el alma al demonio... y lo malo es que lo sabemos y nos importa una mierda.

Mister Lala dijo...

El problema es que la gente no es consciente de lo que saben de ella. Si pudieran acceder a una página web que les dijera de pe a pa todo lo que cualquier extraño puede saber de ellos, quizás tuvieran más cuidado.


Esto es como comprar unos zapatos y unos pantalones por un catálogo de los que dejan en el buzón: desde ese momento, esa empresa sabe lo que mides por tu talla de pie, y lo que pesas por tu talla de pantalón y tu altura.


Dejas un comentario en la web de un periódico, y ya saben tu ideología política. Navegas un rato viendo porno y ya saben tus gustos y tus "perversiones" particulares. Chateas un rato ligando con una desconocida, y ya tienen con qué chantajearte para que no llegue a oídos de tu pareja. Una pista aquí y otra allá, y te pueden hacer la trazabilidad como a una vaca.

María García dijo...

Internet de 2013 es el "telescreen" de 1984. Así es que, mejor asumirlo y si no quieres que algo se sepa, no lo mandes por internet. Lo que no es incompatible con, al mismo tiempo, intentar defender legalmente nuestros derechos y diseñar herramientas de ocultamiento. Pero, cuando vas a un sitio donde crees que no te están vigilando, te confías y resulta que también te están vigilando; como le pasó al protagonista de la novela de Orwell.


A mí ya me han dado cosas en papel porque no se fiaban de internet. Yo creo que la gente sí es más o menos consciente de que les pueden cotillear las cosas. Pero, según qué cosas sean, les importa más o menos.

fasdfasdfasdfasd dijo...

Es una constante en la historia. No es nada nuevo. Es un problema inherente a cualquier gobierno que ha existido y que exista: siempre quiere control, requiere tener información para tomar decisiones y decirnos lo que está bien o lo que está mal. Antes se hacían registros, se introducían espías e informadores en los colectivos a controlar. Ahora, todos somos objetivos a controlar, y se lo hemos puestos en bandeja (un único buscador en un único país, una única red social donde volcamos nuestra vida afincada en un único país, una gran tienda para saber nuestras opiniones y gustos).


Y me hace gracia, la gente sale a la calle a protestar y a pedir en vez de menos, más gobierno, más control. Para que un gobierno grande y con poder de decisión pueda tomar decisiones minimamente efectivas necesita información, necesita espiar. Por eso tal vez el mejor gobierno es aquel que ejercen los ciudadanos, y que por su forma, no es impositivo en ninguna de sus formas. El mejor gobierno es un gobierno que no tome decisiones, laissez faire, y que por tanto no necesite información y espiar y coartar las libertades de sus ciudadanos.

Iban dijo...

Ante esta situación también es posible usar el sentido común. En mi caso por ejemplo cada vez me voy analogizando más. Hace unos años dependía casi completamente de internet ya que usaba intensivamente la nube de google y microsoft para almacenar correo y documentos. Pero a raíz de lo que voy descubriendo cada vez estoy volviendo a los métodos de baja tecnología para determinados asuntos.
En parte se debe porque inconscientemente también estoy dando la batalla por perdida. Y por eso confío menos en los mecanismos para anonimizar mi presencia en internet y más en limitar la información sobre mí dsponible en la red.
Como efecto secundario me está llevando a un redescubrimiento de las relaciones humanas. Antes me comunicaba casi exclusivamente por correo y redes sociales, pero ahora utilizo más el teléfono y me reúno personalmente, más aún para determinados asuntos.
No renuncio a volver a digitalizarme, pero eso será cuando disponga de medios confiables para proteger mi privacidad.

María García dijo...

Si ya lo dice el anuncio: que la mejor red social es el bar, je, je. :-) "Bares, qué lugares, tan gratos para conversar".
Pero ojo: que las cafeterías y los bares son también el campo de trabajo preferido de los espías...

Otro usuario dijo...

¿¿¿¡¡¡¡De qué hablan!!!!???

Las cámaras de seguridad no son tan malas!

https://www.youtube.com/watch?v=5L8dNW2CiO4


"jajaja"

Sergio González dijo...

El artículo es bueno, desconocía el método de los ETag, gracias por ilustrarme, aunque no sé si ahora me siento mejor sabiendo que no sirve de mucho haber desactivado ya casi todo en mi Firefox.

Aprovecho para dar mi opinión: creo que aquí se está comparando el tocino con la velocidad, ya que como muy bien apunta el autor en uno de sus comentarios, lo importante no es lo que la gente comparte **deliberadamente** sino la información que se recoge **sin su consentimiento**.

Si a mí me llega propaganda al buzón, no me preocupo, a no ser que me el sobre venga a mí específicamente.

Para más información, un día que tengáis insomnio, una lectura de la LOPD os ayudará, también a dormir.

pablog★ dijo...

¿Acaso no tenemos hoy más que nunca, la consciencia y los conocimientos sobre cómo funciona el "espionaje doméstico"? Lo primero para combatirlo es saber cómo funciona.

Por no hablar de que tenemos más herramientas de "anonimato" y privacidad en Internet que nunca...

Realmente no está perdida. ¡Para nada! :)

Mario dijo...

... también hay que elegir las plataformas adecuadas en Internet. Por ejemplo, en redes sociales: underwalk.com ni te piden un email de registro.

Jose Alcántara dijo...

Escribes un post como éste (de acertado, aunque yo creo que precisamente se trata de no arrojar la toalla) y dejas los comentarios a través de Disqus...


:(
http://www.versvs.net

Altobelli dijo...

Hombre que mira al tira que lo sigue



Señor molusco caballero lapa

ya sabés en qué malos pasos ando

conocés mis esquinas y mis fobias

mis bares mis amores mi bufanda



conocés las puteadas que rezo despacito

cuando pasan los verdes apuntando

conocés cómo escupo al cielo ajeno

cuando me hace sombra el helicóptero



conocés bien a qué mujeres miro

y vos también mirás degenerado

es el único acuerdo entre nosotros

y dura lo que un lirio o una ráfaga



conocés qué porfiada dulzura me atraganta

cuando caen los mejores los más tiernos

los que podrían levantar de a poco

la feroz inocencia que nos salve



conocés que conozco que hay algunos

que cayeron por vos hijo de puta

quiero decir molusco pobre lapa

ya ves que andás en pasos mucho peores



conocés a qué juego y a qué apuesto

sabés que apuesto a que desaparezcas

no el fulano que sos sono el mohoso

herrumbrado tornillo de cadalso



me seguís por mis calles por mis tangos

por mis lluvias y mis noches de arena

vigilás mis gaviotas y mi cédula

mi casilla postal y mi resfrío



conocés mis abrazos y mis postres

mi bigote mi vino mi teléfono

mi libretita con las direcciones

mi mujer mi paraguas mis bolsillos



es decir que sabés todo de afuera

todo de superficie de exteriores

delatarás mi sobra y mi pellejo

y eso no alcanza para hacer la ficha



donde no podés ver donde no llegan

tus antenas en la aurícula izquierda

tengo mi berretín inexpugnable

a pruebas de derrotas y de olvido



allí el destino o no sé quién carajos

armó el amor y almacenó los odios

pero es ahí donde perdés la pista

es ahí donde vamos a joderte



señor molusco caballero lapa.

Poema de Mario Benedetti

newlog dijo...

Las batallas sólo terminan cuando el bando perdedor se rinde o muere :)


Ya os habéis rendido? Aún hay muchos luchando... No perdáis la fe!

Juan M. Zafra dijo...

Gracias por compartir. En el libro "Parte públicas", el profesor Jeff Jarvis, trata el cambio en la forma en que entendemos la privacidad desde un punto de vista sociológico. Os lo recomiento. También la oportunidad de abrir un debate público sobre cuestiones como privacidad, intimidad y secreto en la sociedad digital. El asunto no puede estar sólo en manos de políticos, estados u organizaciones supranacionales (UE) porque afecta a cada ciudadano.

Guillermo dijo...

El problema Yago, es que muchas veces los gobiernos aprovechan la detención de hackers por 'malicias' que no tienen ninguna importancia, pero que están castigadas por las leyes. Aprovechan entonces ése momento para pactar con los hackers una exención de las posibles penas a cambio de colaboración, y es ahí,en ése momento, cuando perdemos las batallas, porque acabamos haciendo (como tanto les gusta a los gobiernos) la guerra entre nosotros mismos, los ciudadanos.
Buen post.
1saludo

Guillermo dijo...

Tienes razón, la gente no quiere privacidad, más bien no quieren NADA. Sólo quieren a un pastor que los lleve en rebaño aunque de vez en cuando, les dé un buen palazo! Así de sencillo.
1saludo.

María García dijo...

A lo mejor no está tan perdida:
http://www.abc.es/tecnologia/redes/20130827/abci-facebook-anuncios-publicidad-201308271134.html