La última tontería: DNI para blogs

Según leo hoy en El País, la Comisión Europea de Cultura quiere que los blogs lleven un etiquetado voluntario que incluya la identidad del autor, sus intereses políticos o sociales, y su responsabilidad social. Vamos, el típico "y tú de quién eres"

Por lo visto, los internautas de a pie somos demasiado bobos, así que necesitamos que alguien vele por nosotros cuando entremos en un blog. Hay mucha información ahí (algo a lo que llaman "intoxicación", como si disponer de abundante información fuese algo tóxico), y por lo visto no podemos ir por la vida sin que nos lleven de la mano.

Por supuesto, nos juran por sus niños que será algo voluntario, por lo que no tenemos que preocuparnos. !Y yo me lo creo! Si pueden hacerlo obligatorio, lo harán; y si no, ya tenemos la excusa perfecta para que nuestro gobierno nos "proteja" un poco más. La eterna excusa de "es lo que dice Europa"

Y, por supuesto, tal medida jamás sería utilizada por fines incorrectos contra nosotros, ¿verdad, Julio?

Aplicando la legislación vigente

Esta semana se presenta de lo más irritante, a juzgar por las noticias que acabamos de conocer:

- En Francia, van a retirar la conexión a Internet a las personas reincidentes de descargarse pelis. Se creará una autoridad independiente para chivarse, y a los penados se les incluirá en un registro de reincidentes. Aviso a navegantes.

- En Turquía (un país que se muere por entrar en la UE y que, en consecuencia, considera su deber imitar lo que pasa por estos lares), van a apatrullar Internet en busca de abusos sexuales a menores, prostitución, juegos de azar ... y quienquiera que se atreva a meterse con Kemal Ataturk (fundador de la Turquía moderna y un personaje que, si aquí al Rey no puedes criticarle ni tanto así, pues allí peor todavía).

- Aquí, un juzgado de Barcelona aplica la LSSI a bocajarro para bloquear el acceso a páginas web críticas con el nacionalismo catalán. Ya empleza a actuar la autoridad competente, señores, así que cuidado con lo que decimos.

Y menos mal que tenemos alguna alegría, como la repercusión de la primera Jornada Albedrío (que Ana ha grabado y promete poner en Internet pronto), las últimas sobre Rebelión en la SGAE (que, por cierto, tuvimos a Manglis en Albedrío el pasado sábado) , el gusto de ver a la propia SGAE a la defensiva por una vez, el recurso que preparan los fabricantes de móviles (ahora les duele) contra el canon digital... Bueno, a lo mejor la cosa no pinta tan mal y al final, acabamos ganando.

Siempre hay esperanza. Pero nos va a costar mucho trabajo imponernos. Jolines, qué lunes.

Dame tus claves, o vas a la cárcel (actualizado)

Desde hoy, ya es efectivo. A partir de ahora, y en todo el Reino Unido, cualquier persona que se niege a entregar sus claves de cifrado a las autoridades, cuando éstas lo estimen conveniente, podrán ser encarceladas durante un período de tiempo de hasta cinco años.

Eso incluye no solamente claves criptográficas, sino también contraseñas, PINs y demás derivados.

Aquí ya lo intentaron una vez. Nos libramos por los pelos, aunque vaya usted a saber.

¿Apostamos a que volverán a intentarlo aquí? Para luchar contra el terrorismo, naturalmente.

ACTUALIZACIÓN (14-nov). Las autoridades británicas ya están ejerciendo este nuevo poder, que obtuvieron con la excusa de la lucha contra el terrorismo. La víctima: una activista por los derechos de los animales. Acaba de ser "invitada" a dar sus claves de cifrado para que la policía pueda registrar sus intimidades. Ella afirma que no usa cifrado (intentó usar PGP, pero se le atragantó), y que los archivos cifrados pudieron haber sido colocados en su ordenador por algún otro, incluyendo la propia policía. Si no convence al juez, puede costarle dos años entre rejas. "Me amenazan con prisión simplemente porque no puedo acceder a ficheros cifrados en mi ordenador" (a lo que yo me pregunto, ¿cómo se demuestra que un archivo está cifrado?) Más información aquí

Más sobre el hackeo de Granada

Como continuación de mi post Hackeando en la Escuela de Informática de Granada, creo que ya tenemos información adicional para ir aclarando algunos aspectos del problema. Tanto en dicho post como en el de barrapunto y en la propia noticia+foro de Ideal han aparecido muchos comentarios, junto con aclaraciones de los responsables.

Me ha llamado la atención la cantidad de mensajes del tipo "¿y esto es para tanto?" Parece que mucha gente coincide conmigo en que instalar un sniffer y captuar contraseñas no es precisamente hacking avanzado. Si hubiéramos hablado de un ataque más habilidoso o el aprovechamiento de una sofisticada vulnerabilidad del sistema para obtener privilegios de root o cazar el archivo de contraseñas, todavía sí. Pero en este caso parece que el "hackeo" (vale, crackeo) es tan sofisticado como encontrarse las llaves del coche en la calle, usarlas para llevárnoslo y creernos unos ladrones de guante blanco.

Capítulo aparte es el ataque en sí, su causa y sus consecuencias.

Hackeando en la Escuela de Informática de Granada.

Actualización: acaba de aparecer al respecto un tema en en barrapunto.

Hoy he pasado por el quisco y me he encontrado con una noticia de portada en el diario Ideal (el de mayor tirada de Graná)

Un 'hacker' burla la seguridad informática en la facultad y roba datos de alumnos y profesores

Por lo visto, el aprendiz de hacker se metió en la red de la Escuela Superior de Informática y Telecos, cambió la web, borró datos y no se sabe qué más. ¿El procedimiento? Cuando estaba en el laboratorio de prácticas (por ordenador, claro), instaló un sniffer, programilla de esos que capturan contraseñas. No sólo cambió la web, sino que entró al ordenador de dos profesores, consiguió sus claves y robó calificaciones y las soluciones a las prácticas que usan durante todo el curso.

Lo que, evidentemente, me plantea algunas preguntas. A saber, y entre otras:

El Supremo impide espiar el e-mail de los empleados

Primer fallo de unificación de doctrina sobre los límites de las compañías al control del uso de los medios telemáticos que hacen sus trabajadores. El Supremo establece que esta vigilancia no puede invadir la intimidad.

Las empresas no pueden fisgar en los ordenadores de los trabajadores para ver qué es lo que hacen éstos en su jornada laboral. Máxime, si previamente no han advertido a los empleados sobre los límites que debe tener la utilización de esta herramienta de trabajo, y sobre los controles y los medios que van a aplicar para verificar que se cumplen sus directrices. Lo contrario es una vulneración del derecho a la intimidad del trabajador, de acuerdo con la Constitución, el Convenio Europeo para la protección de los derechos humanos y el Estatuto de los Trabajadores.

Bien, bien y bien. Toda la noticia en Expansión

"Videovigilancia", mañana sábado con Isabel Gemio

Saludos a todos. Sólo unas líneas para avisaros de que mañana sábado (27/10), el programa "Te doy mi palabra" de Isabel Gemio emitirá desde Granada (donde casualmente vivo yo). El debate de 9-10h estará dedicado al tema de la videovigilancia: si es bueno, si es malo, si engorda... Servidor tomará parte como tertuliano, digo como debatiente, y quienes me conozcan ya saben qué bando defenderé. Por desgracia, no sé quién será mi "contrincante", pero espero que entre ambos podamos dar cierto nivel y elevar el tono medio por encima de los tópicos derivados del video del metro ese que hemos visto todos. Lo intentaremos de veras.

Por cierto, mensaje a la persona que me propuso como ponente: te conozco, sé dónde vives y ya nos veremos las caras :-)

Contra la LSSI: el Manifiesto 12 de Octubre

Escrito cuando parecía que derrotar la LSSI era factible. Vaya como apoyo y homenaje a los chicos de alasbarricadas.org

Documento original: http://cripto.es/tc-lssi/lssi_12o.htm

Manifiesto 12 de Octubre
(o por qué la LSSI no es una buena idea)

"La soberanía nacional reside en el pueblo español, del que emanan los poderes del Estado" (Constitución Española, Artículo 1.2)

El día 12 de Octubre de 2.002, la Ley de Servicios de la Sociedad de la Información (LSSI) entró en vigor, convirtiéndose en parte del ordenamiento jurídico español. La versión oficial del gobierno nos presenta una ley necesaria para el afianzamiento del comercio electrónico en España, creando seguridad y confianza, despejando incertidumbres y contribuyendo a crear un marco jurídico estable para la Sociedad de la Información; todo ello tras un proceso transparente y franco, regido por el diálogo y la voluntad de entendimiento.

Nada más lejos de la realidad. La LSSI fue gestada en sigilo, casi en silencio. Cuando se hizo público, la reacción del Ministerio de Ciencia y Tecnología fue dual. Por un lado, afirmaron una y otra vez que los críticos no tenían razón, que la ley crearía seguridad y confianza, y que se estaba consultando con diversos agentes sociales para mejorarla; por el otro, la maquinaria estatal llevaba adelante el proyecto de ley contra viento y marea, sin más diálogo que el llevado a cabo con una sola asociación y desoyendo completamente las peticiones del resto de la comunidad internauta. El resultado ha sido un texto legal que no contenta a nadie, recibe críticas de todos los sectores interesados y ciertamente no contribuye a crear ni seguridad ni confianza.

Así protege Iberia nuestros datos frente a EEUU

(Extraído de las Condiciones Generales de venta de billetes de Iberia):

Pasajeros con origen, destino o tránsito en EE.UU

Avanzando hacia 1984: las tarjetas prepago y el registro de llamadas.

Cada vez es más difícil dar un paso digital sin que quede constancia, registro y acta notarial. Un nuevo Proyecto de Ley permitirá a la policía el acceso a los registros de llamadas, e incluso habrá que identificarse antes de comprar una tarjeta prepago.

Como de costumbre, nos han prometido dos cosas. Una, que solamente usarán esa información mediante orden judicial. Dos, que sólo accederán a los datos asociados a la llamada (duración, hora, lugar, red usada) y nunca al contenido de la llamada en sí. Tres, que es necesario para detener a los malos.

Phishing en el INE - Actualización

Phishing en el INE, tragicomedia en tres actos

ACTO PRIMERO:
Algunas de las preguntas del Censo Electoral, octubre 2001:
- ¿Dónde está su lugar de trabajo/estudio?
- ¿Cuántos viajes diarios hace de su vivienda al lugar de trabajo/estudio?
- ¿Cómo se desplaza normalmente de su casa a ese lugar?
- ¿Cuánto tiempo tarda normalmente desde su casa a ese lugar?
- ¿Estaba cursando alguna enseñanza la semana pasada?
- ¿Estaba ocupado o ausente del trabajo la semana pasada?
- ¿Cuál era su situación profesional?
- ¿Cuál es la actividad principal del establecimiento o local donde trabaja?
- ¿Cuántas horas dedica normalmente a la semana?
- ¿Desde qué año residen en esta vivienda?
- ¿Tiene su vivienda alguno de los problemas siguientes: ruidos, contaminación, poca limpieza en las calles, malas comunicaciones, pocas zonas verdes, delincuencia..?
- Combustible usado en la calefacción
- ¿Cuántas habitaciones tiene la vivienda?
- ¿Cuál es aproximadamente la superficie útil de la vivienda?
- ¿Suele usar este hogar otra vivienda en vacaciones, fin de semana, segunda residencia...?
- ¿Dónde está esa segunda vivienda?
- ¿Cuántos días al año la usa?
- ¿Dispone ese hogar de algún coche o furgoneta?
(y otras muchas que no recuerdo...)

ACTO SEGUNDO
Carta de la Agencia de Protección de datos a quien esto escribe, diciembre 2001
“En contestación a la consulta planteada por Vd. relativa a la campaña del Censo 2001 con la que Vd. parece estar molesto por el tipo de preguntas que se le están planteando se le indica lo siguiente: … [los datos solicitados] fueron sometidos al informe de esta Agencia y se puso de manifiesto que … existía una adecuada correlación entre la información solicitada y el resultado que de la misma se pretende obtener… Cualquier información que se haga pública por el INE como consecuencia del censo de población y vivienda, nunca podrá hacer referencia a datos personales de ningún ciudadano, dado que ello contravendría el secreto estadístico…”

ACTO TERCERO
El País, octubre 2002:
“El INE venderá datos del censo electoral si la persona no se opone por escrito. Los ciudadanos que deseen quedar excluidos deberán notificarlo, según el proyecto inicial. … En el INE añaden que el objetivo del censo de ciudadanos dispuestos a recibir publicidad es ‘evitar el tráfico ilegal de datos’… El director de la Agencia de Protección de Datos, Juan Manuel Fernández López, señala que según la Ley Orgánica de Protección de Datos ‘ basta con el consentimiento tácito’ de los ciudadanos para incluirlos en el censo promocional.”

TELÓN Y MUTIS
Tal como está el patio, ¿a alguien puede extrañarle, a estas alturas, que suplanten la web del INE para solicitar datos personales …y tanta gente pique?

http://www.elmundo.es/navegante/2007/01/29/tecnologia/1170061704.html
http://www.internautas.org/html/4077.html
http://www.elpais.com/articulo/internet/llega/correo/INE/contestes/elpeputec/20070129elpepunet_6/Tes

Sí, vuelve el fascismo digigal

Hoy le leído un excelente artículo de Daniel Rodriguez Herrera, titulado Vuelve, en silencio, el fascismo digital. Como bien dice, la oposición a la LSSI de hace unos años no asoma el pelo para protestar por su actualización, llamada LISI (Ley de Impulso a la Sociedad de la Información). Así que, como parte aludida, envié un e-mail a Daniel con mis comentarios al respecto. Y, como creo que me ha salido potable, lo comparto con vosotros (he incluído un par de enlaces):

Estimado Daniel,

Acabo de leer tu artículo "Vuelve, en silencio, el fascismo digital" en Libertad Digital. Gracias, en primer lugar, por mantener vivo el problema de la LSSI, o LISI que le van a llamar ahora. Soy Arturo Quirantes, y que imagino que me habrás leido cosas al respecto. Yo, por mi parte, sigo atentamente la sección Internet de LD, que me parece de lo mejorcito que hay por ahí. Disfruto mucho de vuestros artículos, y aunque algunos de los tuyos a veces me hacen rechinar los dientes, me alegro de tener a mano buenas plumas para leer.

Coincido contigo en que la lucha contra la LSSI casi ha desaparecido. Aunque dudo de que los motivos sean los mismos. En tu artículo, sugieres que "contra el PP luchábamos mejor". Bueno, puede que sea cierto. Aunque también puede que peques levemente de simpleza, ya que hay más factores en juego. No puedo hablar por los demás, pero en mi caso se junta el desaliento de la batalla perdida con el cansancio puro y duro. Imagino que habrás experimentado en ocasiones el sentimiento de que deberías estar dedicando el tiempo a causas mejores que las que te obligas a emprender por motivos laborales, familiares o de conciencia. Como siempre, lo urgente roba tiempo a lo importante.

Más peligros de un pasaporte demasiado listo

Siguiendo la bonita serie "no es oro todo lo que reluce", hace poco saltó la noticia de que los pasaportes con chips RFID ya han sido clonados. Antes lo consiguieron en Alemania, ahora en el Reino Unido. ¿Saben por qué? No será por la debilidad del cifrado, ya que utilizan el sistema de cifrado TripleDES, que es prácticamente inviolable. Pero la clave de cifrado es fácil de adivinar: consiste del número de pasaporte, la fecha de nacimiento del titular y la de emisión del pasaporte. Es decir, han montado el equivalente digital de una cámara acorazada ... y han dejado la llave encima del piano.

Rootkit Sony 2: controlando tu DVD

Muchos de vosotros recordaréis el escándalo del "Sony Rootkit" hará cosa de un año. Para refrescaros la memoria: Sony (bueno, Sony BMG Music Entertainment) incluyó en sus CDs un software de protección que instalaba un "rootkit" en los ordenadores en que se introducía. Un rootkit es una herramienta de software que sirve para esconder los procesos o archivos que permiten a un intruso acceder al sistema. Es como si un hacker se escondiese tras una pantalla antirradar. Sony pensó que era una buena idea para que la gente no se diera cuenta de que el CD instalaba software anticopia en el ordenador, y por supuesto no se molestó en informar a los usuarios. El problema es que ese mismo rootkil servía para que un hacker malicioso entrase en un sistema informático sin ser detectado. Tras un escándalo mayúsculo, Sony plegó velas y retiró el sistema. Por supuesto, nadie fue a la cárcel ni Sony fue acusada de cracking, intrusión informática ni todas esas cosas feas que nos llaman a los hackers de a pie.

Pero parece que a Sony le ha gustado eso de controlar a distancia lo que hacen los consumidores con sus productos, y lo intenta de nuevo, esta vez con el DVD.

¿Está Movistar abusando del registro de llamadas?

Tengo un móvil de Vodafone. Hace un rato, una chica me llamó al móvil para presentarme –imagino- una oferta de Movistar. Al principio, me sonaba al típico rollo de ventas. Sólo cuando colgué me fijé en que preguntaron, no por Arturo Quirantes, sino por “el titular del móvil número …” Es decir, lo único que conocían era el móvil, no el propietario. Me pregunté ¿de dónde han sacado el número?

Normalmente, pudiera haber salido de la base de datos de algún servicio telefónico de pago como los tonos de móvil o las llamadas a un número 806. Pero resulta que soy un “antimovilista”. Odio los móviles, y si tengo uno fue tan sólo para usarlo en emergencias. Apenas lo he usado en los últimos meses, y eso para llamar a familiares íntimos. Ni llamadas a amigos, ni descarga de politonos o juegos, ni mensajes tipo “envía X al Y y gana Z”. No he usado ningún servicio de los que puedan obtener la información del número. Y sin embargo, ahí están, dando la lata con sus maravillosas ofertas a la hora de la cena.

Sólo se me ocurren dos formas de que hayan conseguido mi número. Una de ellas es que hayan estado probando todos los posibles números de móvil, tarea larga y cara. La otra es que lo hayan extraído del registro de llamadas de algún teléfono al que yo haya llamado. Es decir, un día llamo a mi suegra, los de Telefónica toman nota del número de móvil, comprueban que es de la competencia … y trabajo para la gente de las ofertas maravillosas.

Si ese es el futuro que nos espera, vamos listos. Con la excusa de la lucha contra el terrorismo, las telecos están obligadas a guardar el registro de llamadas de todos sus abonados. Y seguro que se les habrá ocurrido ya que, puesto que les cuesta una pasta y tienen que hacerlo por obligación legal, ¿por qué no sacar tajada del asunto? Sólo será cuestión de tiempo hasta que comiencen a repartir esos datos entre sus empresas afiliadas, clientes y toda esa gente que aparece en la letra pequeña de los contratos. ¿Y después qué? Primero se chivan a su filial de móviles, y dentro de seis meses me llamarán los de uno-e para decirle que deje a los de ING Direct, que ellos tienen un depósito más molón. O los de Fagor notarán que llamo demasiado al servicio técnico de Zanussi, y me dirán que me deje de historias y les compre a ellos el frigorífico. Si nos quejábamos del correo electrónico basura (spam), lo que viene es cien veces peor.

Claro que lo mismo me equivoco. ¿A alguien le ha pasado algo similar? ¿Hipótesis alternativas? ¿Me he convertido en un chiflado paranoico? ¿Ganará el Madrid la liga? Ah no, que esto aquí no toca.

Los peligros de un pasaporte demasiado listo

Desde hoy, quienes viajen a Estados Unidos tendrán que llevar un nuevo tipo de pasaporte biométrico. Como hay veces que nadie nos gana a previsores, hace dos meses que los españoles que pidamos o renovemos el pasaporte tendremos una versión mejorada. Pasaporte electrónico, le llaman. Se trata de un pequeño chip donde se incluye información sobre el propietario, además de una copia digitalizada de la foto.

El chip se lee a distancia, es decir, no hay que meterlo en una ranura, sino que un lector lo activará a cierta distancia, y el pasaporte responderá con la información que corresponda. Es una tecnología denominada RFID (Identificación por radiofrecuencia). Pero no intente buscar usted el término “RFID” en el buscador del Ministerio del Interior (www.mir.es), porque no conseguirá nada. No están por la labor de llamar a las cosas por su nombre.

Por supuesto, seguro que eso no tiene nada que ver con el hecho de que la tecnología RFID esté desprestigiada.

PNR, manual de supervivencia

Por si usted estaba preparando las maletas para tomar el avión, quizá desee saber qué datos van a volar con usted. Se conocen genéricamente con el nombre de Registro Nominal de Pasajeros (PNR), y por el momento lo forman un total de 34 datos. Algunos de ellos son meramente técnicos (número de maletas, número del billete); otros se refieren a la emisión del billete (forma de pago, agente de viajes, identificadores de billetes gratuitos, fecha del viaje), a los hábitos del cliente (millas frecuentes) y al vuelo en particular (número e información del asiento).

Gracias por sus datos, europeos decadentes.

Hace unos días entró en vigor un acuerdo entre la UE y EEUU relativa a los datos que requieren las autoridades norteamericanas antes de que cualquier avión aterrice en alguno de sus aeropuertos. Puede que usted lo oyera por televisión. Parece como un acuerdo amistoso que permitirá la búsqueda de terroristas, al tanto que nuestros derechos de privacidad están mejor resguardados que nunca.

Nada más lejos que la realidad.