PGP de Nuevo

fsf

El 29 de mayo publiqué un artículo de la EFF sobre ciertas vulnerabilidades de PGP, la FSF ha respondido a este artículo y resulta conveniente su publicación. El problema parece que no es un defecto en GPG y no hay necesidad de dejarse arrastrar por el pánico o dejar de utilizar GPG, incluido el firmado de correos electrónicos, ni cifrar y descifrar archivos fuera de tu cliente de correo. Aquí están los hechos..

duduCómo defender tus correos electrónicos cifrados contra miradas indiscretas

por Georgia Young – Publicado el Jun 07, 2018 03:03 PM

En mayo, un borrador técnico publicado en efail.de recomendó que la gente dejara de usar los plugins GPG para encriptar su correo electrónico. Al mismo tiempo, la Electronic Frontier Foundation (EFF) dio la alarma sobre supuestas nuevas vulnerabilidades en GPG (GNU Privacy Guard), haciéndose eco de las recomendaciones del documento. Otros redujeron aún más esta recomendación a una simple abreviatura: deje de encriptar su correo electrónico, porque no es seguro. (la EFF ha modificado sus recomendaciones desde entonces, dependiendo del cliente de correo y del plugin GPG que se use, y con advertencias que coinciden con algunas de las sugerencias que haremos aquí).

Mucha de esta información no es nueva. El problema no es una falla en GPG, y no hay necesidad de asustarse o descontinuar el uso de GPG, incluyendo la firma de correos electrónicos o el cifrado y descifrado de archivos fuera de tu cliente de correo electrónico. He aquí los hechos:

El documento EFAIL describe varios métodos de ataque: “EFAIL abusa del contenido activo de los emails HTML, por ejemplo, imágenes o estilos cargados externamente, para extraer texto plano a través de URLs solicitadas.” El atacante accede a los correos electrónicos cifrados, “escuchando oculto el tráfico de la red, comprometiendo cuentas de correo electrónico, servidores de correo electrónico, sistemas de copia de seguridad u ordenadores cliente. Los correos electrónicos podrían haber sido recogidos hace años“. El atacante cambia el correo electrónico cifrado, lo envía al destinatario, y si el cliente de correo del destinatario descifra ese mensaje y carga automáticamente cualquier contenido externo, o los usuarios hacen clic en los enlaces HTML, el texto sin formato del correo electrónico es visible para el atacante.

Werner Koch, autor principal de GPG, describe la situación aquí. Diciendo que las advertencias para que se deje de usar GPG “son exageradas”, Koch señala que el verdadero problema es que HTML se puede explotar en los correos electrónicos. Esto no es un bug de GPG.

¡Trabajemos juntos para que el correo electrónico sea más seguro!

Esta información ha estado disponible durante mucho tiempo, pero vale la pena repetirlo: si tu cliente de correo renderiza HTML o carga automáticamente imágenes y otros medios remotos, eres más vulnerable. Los exploits EFAIL no sólo aprovechan el HTML en el correo electrónico, sino que el HTML en tu cliente de correo puede permitir que otros te sigan la pista. La explotación de este defecto puede ser tan simple como ver si has leído un correo electrónico en particular, o tan perjudicial como estafarte, tal vez fingiendo ser su banco u otro comerciante con el que haces negocios, lo que le lleva a proporcionar información personal o pago a un atacante.

Estás mejor protegido si tu cliente de correo no renderiza imágenes HTML o de carga automática y otros medios remotos. Además, no hagas clic en los enlaces de los mensajes de correo electrónico HTML directamente, cópialos y pégalos para que puedas ver cuáles son primero, y si son enlaces ofuscados o acortados, no los visites a menos que tengas mucha confianza en la fuente. Es importante animar a tus compañeros a seguir estas prácticas también, porque los ataques EFAIL pueden afectarle a pesar de las precauciones que hayas tomado, si alguien que está registrado en el correo electrónico no ha tomado las precauciones adecuadas.

Además, asegúrate de que tu cliente de correo, o cualquier plugin de cifrado que utilices, es resistente a esta vulnerabilidad. Por ejemplo, Enigmail, un plugin GPG que funciona con Thunderbird, se actualizó poco después de que se hiciera público el informe EFAIL, y se puede encontrar una explicación de los cambios realizados aquí — ten en cuenta que Enigmail recomienda desactivar también HTML renderizado. Busca información sobre cómo tu cliente de correo o plugin de encriptación está tratando esta situación, y envínos un correo electrónico a campaigns@fsf.org para compartir lo que encuentre. Podemos enlazar esa información aquí.

Por ahora, en lugar de renunciar a la encriptación, tómatee el tiempo de consultar con las personas con las que deseas intercambiar correos electrónicos. Empieza enviando un claro mensaje de texto diciendo:

  • Me gustaría enviarte un mensaje usando GPG, pero primero quiero asegurarme de que has actualizado tu versión de Enigmail, debido al potencial de explotación de clientes de encriptación defectuosos que aquí se describe: https://www.efail.de/. ¿Puedes confirmarlo? Además, deshabilitar HTML y la carga remota de medios, en tu correo electrónico ayuda a evitar la explotación del correo electrónico: https://www.fsf.org/blogs/community/how-to-defend-your-encrypted-emails-against-prying-eyes. Si todo el mundo toma estas medidas para que su propio correo electrónico sea más seguro, todos nos beneficiaremos de unas comunicaciones más seguras. Gracias por ayudarnos a asegurarnos de que nuestros correos electrónicos se mantengan privados.

Este tipo de ataque sólo funciona cuando el atacante se te dirige de forma individual o si está escribiendo a alguien que es el objetivo y está utilizando un cliente de correo no parcheado. Si tienes razones para creer que, como individuo, podrías ser un objetivo, es posible que necesites tomar medidas adicionales a las que se describen aquí. Pero para la mayoría de la gente, todavía tiene sentido utilizar el cifrado GPG para reducir drásticamente la probabilidad de que cualquier atacante pueda leer su correo electrónico, y para ayudar a aumentar la cantidad total de tráfico de correo electrónico cifrado en Internet – una táctica que ayuda a proteger a los denunciantes, periodistas, y otros cuyo tráfico de correo electrónico es probable que sea objeto de explotación.

¿Quieres empezar a encriptar tu correo electrónico, pero no sabes por dónde empezar, o ayudar a tus amigos a empezar por primera vez? Hemos creado Email Self Defense para ayudarte a comienzar con el cifrado GPG. La guía se mantiene actualizada con las respuestas a las demandas como las planteadas en el informe EFAIL, para garantizar que sepas exactamente cuál es la mejor manera de mantener seguras tus comunicaciones por correo electrónico.

 

Anuncios

¡4 días para salvar nuestra libertad en la red!

Nos dice Julia Reda, eurodiputada por el Partido Pirata:

ue1

Situación actual: ANTES DEL PLENO

ue2

 

Resumen de 3 minutos

  • Günther Oettinger presentó una propuesta de reforma de los derechos de autor de la UE poco antes de dejar su puesto de Comisario Digital.
  • Las propuestas pretenden limitar nuestra capacidad de participar activamente en línea para beneficiar a los modelos de negocio de los conglomerados de medios de comunicación: “Las máquinas de censura” para las plataformas de Internet, un “impuesto de enlace” para el contenido de las noticias y una excepción muy limitada para la minería de texto y datos limitarían la forma en que podemos compartir enlaces, cargar medios y trabajar con datos.
  • Los gobiernos de los Estados miembros de la UE aprobaron los planes (con ligeros cambios) en el Consejo. Sólo el Parlamento puede detenerlos ahora.
  • La Comisión de Asuntos Jurídicos aprobó por unanimidad los planes (con ligeras modificaciones).
  • Luego, todo el Parlamento votará el 5 de julio de 2018 si aprueba o no el resultado del comité. Si no lo hace, el debate se reabre, y hay una oportunidad más de hacer cambios a las propuestas en la próxima reunión plenaria en septiembre.
  • Tras unas negociaciones de compromiso a puerta cerrada entre las instituciones, el Parlamento tendrá que aprobar el resultado por última vez.

Lo que se está debatiendo

 copyright-icon-extracopyright  Artículo 11: Derechos de autor adicionales para los sitios de noticias¿Todo uso de contenido periodístico en línea, incluso cuando sólo se describe un enlace, requerirá una licencia del editor? Leer más
 copyright-icon-uploadmonitoring  Artículo 13: Máquinas de censura¿Las plataformas de Internet en las que los usuarios pueden subir contenido se verán obligadas a supervisar el comportamiento de los usuarios para identificar y evitar la infracción de los derechos de autor? Leer más
 copyright-icon-tdm  Artículo 3: Excepción de Texto y Data Mining de alcance limitado¿Se limitará a las instituciones de investigación un nuevo permiso a escala de la UE para realizar investigaciones utilizando la extracción de textos y datos? Leer más
 copyright-icon-creativity  Posibles adiciones: Contenido generado por el usuario / Excepción de Remezclado, Libertad de Panorama,…¿Se legalizará la cultura creativa actual de Internet? Leer más

Lo que puedes hacer

Actuar:

 actua  Pantallazo-2018-06-20 15-15-55
 Llama a un europarlamentario Llama/escribe/tuieta a un parlamentario

guiki

 reda

Estos son los eurodiputados españoles que votaron a favor de la horrible directiva europea de copyright:

PP, PSOE, UPyD (1/4), el nuevo psoe se parece mucho al viejo psoe.

 La eurodiputada Julia Reda nos informa de los resultados y nos recuerda que en septiembre hay que volver a la lucha. Pues esto solo ha sido un aplazamiento.

En contra: UPyD (2/4), Cs, Podemos, IU, PNV, CiU, ERC, Equo,

Abstenciones: UPyD (1/4)

No se mojaron: BNG

almaina

 

Érase que se era, había una vez / Manadas NO

una bonita empresa de software (PROPIETARIO) que logró convencer a los tribunales, para que enviaran a una persona a la carcel por copiar software.

del repulsivo departamento de Microsoft

Esta historia es digna de sus protagonistas. Allá por marzo se supo de forma no muy concreta que Microsoft había ayudado a condenar a un reciclador de ordenadores a 15 meses de cárcel por software “falsificado” que, Microsoft, regala gratuitamente y que es inútil, a menos que se tenga una licencia oficial de pago de Microsoft. Repito, por si no está bien explicado: Microsoft ayudó a meter a alguien en la cárcel por infracción criminal de software que cualquiera puede obtener de forma gratuita (aquí lo puedes conseguir), y que no funcionará a menos que pagues a Microsoft la correspondiente licencia.

El problema son los discos de recuperación de Windows. Hace mucho tiempo, estos eran discos que normalmente se enviaban con los equipos nuevos en caso de que necesitara reinstalar Windows. Aún así necesitabas tu licencia para hacerlos funcionar, por supuesto. Entonces la gente se dio cuenta de que era un desperdicio enviar todo eso, combinado con suficiente banda ancha para que fuera lo suficientemente fácil descargar y quemar los archivos, y Microsoft lo hizo fácil. Pero, eso sigue siendo bastante complejo, y Eric Lundgren tenía una solución. Lundgren no es un pirata de la noche a la mañana. Ha pasado años haciendo cosas increíbles, reciclando ordenadores y ayudándo a que duren más tiempo. Y tuvo una idea. Podría ser útil fabricar un montón de estos discos de recuperación y ofrecerlos a los talleres de reparación para ayudar a las personas que no pudieron descargar los discos de recuperación por sí mismos. Estaba siendo de ayuda.

Pero Microsoft insistió en que no sólo estaba infringiendo sus derechos de autor civilmente, sino penalmente. Los jueces (una vez más, aquí y en los EE), demostraron una ignorancia casi total de la tecnología y de los asuntos legales reales y de la vida real– rechazaron la apelación de Eric Lundgren, lo que significa que va a ir a la cárcel más de un año por tratar de hacer algo bueno en el mundo, ayudando a la gente a obtener exactamente lo mismo que Microsoft está ofreciendo gratis, y que nadie podría usar a menos que ya hubieran pagado a Microsoft.

Lundgren fue arrestado como parte de una operación del gobierno de los EEUU cuando los funcionarios de aduanas vieron los miles de discos que había fabricado y asumieron que eran piratas. Aquí es donde Microsoft debería haber intervenido y dicho “todo esto es un error” señalando que Lundgren estaba haciendo algo bueno y exactamente lo que Microsoft debería estar alentando. En su lugar, Microsoft se puso del lado del gobierno de EE.UU. y continúa haciéndolo hasta el día de hoy.

Los jueces rechazaron la apelación de Lundgren. La vengativa e idiota Microsoft, combinada con jueces sin conocimientos técnicos, puede llevar a un resultado que ponga a un buen hombre en la cárcel por no hacer nada malo. Pero es lo que hay.

La cuestión clave se refería al “valor” real de los discos fabricados por Lundgren. Este argumentó, razonablemente, que el valor era cero. Microsoft los regala gratuitamente. Los fiscales, de manera idiota, argumentaron inicialmente que valían el precio total de Windows ($300). Posteriormente, el tribunal rebajo el costo a $25 después de que un “experto” del gobierno dijera que cada disco valía eso:

Para llegar a esta cantidad, el Tribunal se basó en la evidencia presentada por el gobierno de que “Microsoft tenía un programa certificado de reacondicionamiento de ordenadores que ponía a disposición de los reacondicionadores de ordenadores discos de reinstalación autorizados, auténticos, por unos $25”, y multiplicando esa cantidad por los 28,000 discos producidos.

Pero eso está mal. Microsoft vende discos con una licencia de 25 dólares a talleres de reparación. Una vez más, los discos que Lundgren ofrecía no tenían licencia. Sustituía los tuyos. Pero los jueces (y los fiscales) no pueden entender una cosa tan simple.

A nadie parece importarle que un experto señalara que los discos de Lundgren, sin licencia, no valen nada. Lo descartan por no ser creíble. Una vez más, se trataba de una situación en la que Microsoft debería haber dicho algo. Y no lo hizo. Ayudó a los fiscales. Posteriormente emitió esta declaración completamente embustera para el Washington Post:

  • Microsoft apoya activamente los esfuerzos para abordar el problema de los desechos electrónicos y ha trabajado con recicladores electrónicos responsables para reciclar más de 11 millones de kilogramos de desechos electrónicos desde 2006. A diferencia de la mayoría de los recicladores electrónicos, el Sr. Lundgren buscó software falsificado que se disfrazó de legítimo y lo vendió a otros restauradores. Este software falsificado expone a las personas que compran PC reciclados a malware y otras formas de ciberdelincuencia, lo que pone en peligro su seguridad y, en última instancia, perjudica el mercado de productos reciclados.

Esta declaración es una tontería. El software no era falso. Era legítimo. Es lo mismo que cualquiera puede descargar gratuitamente de Microsoft. No expuso a nadie al malware ni a la ciberdelincuencia, y Microsoft lo sabe.

Gran parte de esto se debe a un malentendido fundamental, impulsado por maximalistas de los derechos de autor de todo tipo, incluido Microsoft. Y es la idea de que todo lo siguiente es equivalente: un derecho de autor, una pieza de software, una licencia y “propiedad intelectual”. A mucha gente le gusta usar todas esas cosas indistintamente. Pero son diferentes. El problema aquí es la diferencia entre el software y la licencia. Y Microsoft, los fiscales y los jueces no entienden esto o simplemente no les importa.

La mejor explicación de todo esto viene de Devin Coldewey en TechCrunch que se sumerge profundamente en lo jodida que es esta situación. Lee el artículo completo de Coldewey porque descompone lo loco que es este fallo pieza por pieza, pero aquí hay una parte clave:

El elemento “infractor” es un disco. El elemento “infringido” es una licencia. Los que confunden a los dos no son los compradores, sino los jueces en este caso, con la ayuda de Microsoft.

“Los demandados no pueden alegar que Microsoft sufrió un perjuicio económico mínimo”, escribieron los jueces en el fallo que afirmaba la sentencia del tribunal anterior. “Microsoft perdió la venta de su software como consecuencia directa de las acciones de los acusados.”

Microsoft no vende discos. Vende licencias.

Lundgren no vendía licencias. Vendía discos.

Son dos cosas diferentes, con valores y circunstancias diferentes.

Coldewey ataca a Microsoft en todo esto:

Microsoft no puede afirmar que aquí sólo haya sido una víctima o un espectador. Ha trabajado con el FBI y los fiscales todo el tiempo persiguiendo cargos criminales por los cuales el acusado podría enfrentar años en prisión. Y como pueden ver, esos cargos están tremendamente exagerados y produjeron una sentencia mucho más grave de lo que el crimen real de Lundgren justificaba.

La empresa podría haber cambiado su testimonio en cualquier momento para reflejar los hechos del asunto. Podría haber corregido a los jueces de que los elementos infractores e infringidos son, en sentido estricto, cosas completamente diferentes, un hecho que conoce y entiende, ya que vende uno por cientos y regala el otro. Podría haber advertido a la fiscalía que la ley de derechos de autor en este caso produce un castigo completamente desproporcionado con el crimen, o haber seguido un caso civil en líneas separadas.

Este caso ha estado en curso durante años y Microsoft lo ha apoyado de principio a fin.

Hay muchas razones para odiar a Microsoft, pero este es uno de los ejemplos más repugnantes que he visto. Cualquiera en Microsoft que haya tenido algo que ver con esto debería estar avergonzado.

Pero, por supuesto, este es el mundo que empresas como Microsoft (y las diversas entidades de Hollywood) han impulsado durante años. Desdibujan las líneas entre “licencia” y “contenido” y “derechos de autor” y luego lo utilizan hasta donde pueden empujarlo. ¿Y a quién le importa si alguien que realmente está haciendo el bien en el mundo tiene su vida destruida?

Estimado Linus, esta empresa, es la que la Fundación Linux ha admitido como miembro en la misma. ¿Va a seguir siéndolo durante mucho tiempo? Cuanto más tiempo permanezca en ella, más olerá la Fundación a pobredumbre, miseria, corrupción. Lo que nació podrido, morirá podrido. No te queda la más mínima duda.

Hyvä Linus, tämä yhtiö on sellainen, jonka Linux-säätiö on myöntänyt jäsenenä. Pitääkö se pitkään aikaan? Mitä kauemmin pysytte siinä, sitä säätiö haisee köyhyydestä, kurjuudesta ja korruptiosta. Mikä syntyi mätä, kuolee mätä. Sinulla ei ole minkäänlaista epäilystä.

Captura de pantalla_2016-08-21_01-00-15
Debian Hurd
Debian GNU/kFreeBSD

manada

Propuesta de la UE sobre derechos de autor

La propuesta de la UE sobre derechos de autor es una noticia extremadamente mala para todos, incluso (¡especialmente!) Wikipedia.

sffrobot

By Cory Doctorow

7 de junio de 2018

Se va a someter a votación en comisión la actualización pendiente de la Directiva sobre derechos de autor de la UE el 20 o 21 de junio y en el Parlamento a principios de julio o finales de septiembre. Si bien la directiva soluciona algunos problemas, crea otros mucho más grandes: problemas tan grandes que amenazan con hacer naufragar la propia Internet.

De conformidad con el artículo 13 de la propuesta, los sitios que permitan a los usuarios publicar textos, sonidos, códigos, imágenes fijas o en movimiento u otras obras protegidas por derechos de autor para consumo público tendrán que filtrar todas las presentaciones de sus usuarios en una base de datos de obras protegidas por derechos de autor. Los sitios tendrán que pagar por la licencia de la tecnología para hacer coincidir las presentaciones con la base de datos, y para identificar las coincidencias cercanas, así como las exactas. Se requerirá que los sitios tengan un proceso que permita a los titulares de derechos actualizar esta lista con más trabajos con derechos de autor.

Incluso en las mejores circunstancias, esto presenta enormes problemas. Los algoritmos que hacen coincidir el contenido son francamente terribles. La versión hecha en EE.UU. de esto es el sistema de identificación de contenido de YouTube, que marca incorrectamente las obras legítimas todo el tiempo, pero aún así recibe críticas de las compañías de entretenimiento por no hacer más.

Hay muchas razones legítimas para que los usuarios de Internet suban obras protegidas por derechos de autor. Puede subir un clip de un club nocturno (o una protesta, o una presentación técnica) que incluya música con derechos de autor de fondo. O puedes estar usando una camiseta con la portada de tu álbum favorito en tu perfil de Tinder. Puede subir la portada de un libro que está vendiendo en un sitio de subastas en línea o puede publicar una foto de su sala de estar en el anuncio de alquiler de su piso, incluyendo los carteles en la pared y la foto en el televisor.

Los wikipedistas tienen razones aún más especializadas para subir material: fotos de celebridades, fotos tomadas en eventos de interés periodístico, etc.

Pero los robots que el Artículo 13 ordena no serán perfectos. De hecho, por diseño, serán salvajemente imperfectos.

El artículo 13 castiga a cualquier sitio que no bloquee la violación de los derechos de autor, pero no castiga a las personas que abusan del sistema. No hay penalidades por reclamar falsamente los derechos de autor sobre el trabajo de otra persona, lo que significa que alguien podría subir toda la Wikipedia a un sistema de filtrado (por ejemplo, uno de los muchos sitios que incorporan el contenido de Wikipedia en sus propias bases de datos) y luego reclamar la propiedad sobre el mismo en Twitter, Facebook y WordPress, y todo el mundo se vería impedido de citar Wikipedia en cualquiera de esos servicios hasta que resolviera las reclamaciones falsas. Será mucho más fácil hacer estas afirmaciones falsas que será para averiguar cuáles de los cientos de millones de afirmaciones con derechos de autor son reales y cuáles son bromas o engaños o intentos de censura.

El artículo 13 también te deja fuera cuando tu propio trabajo es censurado gracias a un mal funcionamiento del bot de copyright. Su única opción cuando sea censurado es presentar una objeción a la plataforma y esperar que ellos lo vean a su manera; pero si no le dan una consideración real a su petición, usted tiene que ir a la corte para defender su caso.

El Artículo 13 hace que Wikipedia vaya y venga: no sólo crea oportunidades para que personas sin escrúpulos o incompetentes bloqueen el compartir el contenido de Wikipedia más allá de sus límites, sino que también podría requerir que Wikipedia filtre los envíos a la enciclopedia y sus proyectos circundantes, como Wikimedia Commons. Los redactores del Artículo 13 han tratado de sacar a Wikipedia de la regla, pero gracias a una redacción descuidada, han fracasado: la exención se limita a la “actividad no comercial“. Todos los archivos de Wikipedia tienen licencia para uso comercial.

Luego están los sitios web en los que Wikipedia se basa como referencia. La fragilidad e impermanencia de los enlaces es ya un grave problema para las cruciales notas a pie de página de Wikipedia, pero después de que el artículo 13 se convierta en ley, cualquier información alojada en la UE podría desaparecer -y los enlaces a espejos de EE.UU. podrían convertirse en una infracción- en cualquier momento gracias a un bot de copyright demasiado entusiasta. Por estas razones y muchas más, la Fundación Wikimedia ha tomado una posición pública condenando el Artículo 13.

Hablando de referencias: los problemas con la nueva propuesta de derechos de autor no se detienen ahí. Con arreglo al artículo 11, cada Estado miembro podrá crear un nuevo derecho de autor sobre las noticias. Si se aprueba, para enlazar a un sitio web de noticias, tendrá que hacerlo de una manera que satisfaga las limitaciones y excepciones de las 28 leyes, o tendrá que obtener una licencia. Esto es fundamentalmente incompatible con cualquier tipo de wiki (obviamente), mucho menos con Wikipedia.

También significa que los sitios web en los que Wikipedia confía para sus enlaces de referencia pueden enfrentarse a obstáculos de licencia que limitarían su capacidad de citar sus propias fuentes. En particular, los sitios de noticias pueden tratar de retener las licencias de vinculación de los críticos que quieren citarlas para analizar, corregir y criticar sus artículos, lo que hace mucho más difícil para cualquier otra persona averiguar dónde están las posiciones en los debates, especialmente años después del hecho. Esto puede no importarle a la gente que sólo presta atención a las noticias del momento, pero es un golpe a los proyectos que buscan presentar y preservar registros a largo plazo de controversias dignas de mención. Y como cada estado miembro tendrá que hacer sus propias reglas para citar y enlazar, los posts de Wikipedia tendrán que satisfacer un mosaico de reglas contradictorias, algunas de las cuales ya son tan severas que prohibirían cualquier ítem en una lista de “Lecturas Adicionales” a menos que el artículo las mencione o critique directamente.

Las medidas controvertidas de la nueva directiva ya se han intentado antes. Por ejemplo, los impuestos sobre los enlaces fueron probados en España y Alemania y fracasaron, y los editores no los quieren. De hecho, el único país que ha adoptado esta idea como viable es China, donde los robots de aplicación obligatoria de los derechos de autor se han convertido en parte del conjunto de herramientas nacionales para controlar el discurso público.

Los artículos 13 y 11 están mal pensados, mal redactados, son impracticables y peligrosos. El daño colateral que impondrán en todos los ámbitos de la vida pública no puede ser exagerado. Después de todo, Internet está indisolublemente ligada a la vida cotidiana de cientos de millones de europeos y el artículo 13 afectará negativamente a toda una constelación de sitios y servicios. Europa no puede permitirse el lujo de poner la educación, el empleo, la vida familiar, la creatividad, el entretenimiento, los negocios, la protesta, la política y mil otras actividades a merced de filtros algorítmicos inexplicables. Si eres un europeo preocupado por estas propuestas, aquí tienes una herramienta para contactar con tu eurodiputado y/o también firmar aquí:

salvar

efe

 rif  kaos
 bell-razan-e1528569277272  BELLTOONTHURSDAY070618adj

Vulnerabilidades en PGP

captura-de-pantalla-110117-201846

Investigadores han desarrollado un código que explota varias vulnerabilidades en PGP (incluyendo GPG) para el correo electrónico, y han teorizado muchas más sobre los otros que podrían hacerse. Para los usuarios que tienen pocas o ninguna alternativa en el cifrado de extremo a extremo, las noticias de estas vulnerabilidades pueden dejar muchas preguntas sin respuesta.

Los expertos en seguridad digital, denunciantes, periodistas, activistas, criptógrafos, industria y organizaciones sin fines de lucro han confiado en PGP durante 27 años como una forma de proteger las comunicaciones por correo electrónico de los espias y garantizar la autenticidad de los mensajes. Si eres como nosotros, es probable que hayas recomendado PGP como una solución de correo electrónico encriptado de extremo a extremo en talleres, charlas, guías, cryptoparties, y encuentros sobre claves. Puede ser difícil imaginar un flujo de trabajo sin PGP una vez que uno le ha dedicado tiempo para aprenderlo e incorporarlo en sus comunicaciones.

Hemos intentado, a continuación responder algunas preguntas importantes sobre el estado actual de la seguridad del correo electrónico PGP.

correo

¿A quién afecta y por qué debería importarme?

Dado que PGP se utiliza como herramienta de comunicación, el envío de mensajes a otras personas con clientes no parcheados también pone en riesgo sus mensajes. El envío de mensajes PGP a otras personas también aumenta el riesgo de que se dirijan a un cliente vulnerable para descifrar estos mensajes. Hasta que se reparen suficientes clientes de forma fiable, el envío de mensajes cifrados con PGP puede crear incentivos adversos en el ecosistema para que otros los descifren. Equilibrar los riesgos de continuar usando PGP puede ser difícil, y dependerá en gran medida de su propia situación y la de sus contactos.

¿Es suficiente con deshabilitar HTML?

Desactivar el envío de correo electrónico en HTML no evitará este ataque. Para algunos ataques publicados, desactivar la visualización de correo electrónico HTML puede proteger los mensajes que se filtran en un atacante. Sin embargo, dado que el correo electrónico PGP está cifrado tanto para el remitente como para cada destinatario, no se protegerá estos mensajes si son filtrados por cualquier otra persona con la que te hayas comunicado. Además, es posible que la desactivación del correo electrónico HTML no proteja estos mensajes frente a futuros ataques que se descubran y que se basen en las vulnerabilidades actuales.

Desactivar la lectura de correo electrónico HTML mientras se siguen enviando mensajes cifrados PGP anima a otros a leerlos con sus propios clientes potencialmente vulnerables. Esto promueve un ecosistema que pone en riesgo el contenido de estos mensajes (así como cualquier mensaje pasado que sea desencriptado por ellos).

Utilizo software verificado con una firma PGP. ¿Se puede confiar en él?

Si! Verificar el software firmado con PGP no es vulnerable a esta clase de ataque. Los sistemas de gestión de paquetes que hacen cumplir la verificación de firmas (como algunas distribuciones de Linux) tampoco se ven afectados.

¿Cuáles son las vulnerabilidades?

Hay dos ataques preocupantes demostrados por los investigadores:

1. “Ataque de “exfiltración directa”:

Esto aprovecha los detalles de cómo los clientes de correo eligen mostrar HTML al usuario. El atacante crea un mensaje que incluye el antiguo mensaje encriptado. El nuevo mensaje se construye de tal manera que el software de correo muestra todo el mensaje descifrado -incluido el texto cifrado capturado- como texto no cifrado. A continuación, el analizador HTML del cliente de correo electrónico envía o “extrae” inmediatamente el mensaje descifrado a un servidor que controla el atacante.

2. Ataque de modificación de texto cifrado:

El segundo ataque abusa de la subespecificación de ciertos detalles en el estándar OpenPGP para no filtrar el contenido del correo electrónico al atacante, modificando un correo electrónico encriptado previamente obtenido. Esta segunda vulnerabilidad aprovecha la combinación de la falta de verificación de integridad obligatoria de OpenPGP combinada con los analizadores HTML integrados en el software de correo. Sin verificación de integridad en el cliente, el atacante puede modificar los textos cifrados capturados de tal manera que tan pronto como el software de correo muestra el mensaje modificado de forma descifrada, el analizador HTML del cliente de correo electrónico envía o “extrae” inmediatamente el mensaje descifrado a un servidor que controla el atacante. Para una seguridad adecuada, el software nunca debería mostrar la forma de texto plano de un texto cifrado si la comprobación de integridad no se realiza. Dado que el estándar OpenPGP no especificaba qué hacer si la comprobación de integridad no se comprueba, algún software muestra el mensaje de todos modos de forma incorrecta, habilitando este ataque. Además, este estilo de ataque, si se combina con un canal de exfiltración apropiado para el contexto, no puede limitarse al contexto del correo electrónico con formato HTML.

Hay más detalles sobre los detalles específicos de las vulnerabilidades y sobre las mitigaciones.

¿Qué dice el artículo sobre mi cliente de correo electrónico?

Algunos clientes de correo electrónico se ven más afectados que otros, y los equipos que están detrás de esos clientes están trabajando activamente para mitigar los riesgos presentados. El documento describe tanto la salida directa (tabla 4, página 11) como los canales posteriores (tabla 5, página 20) para los principales clientes de correo electrónico. Incluso si tu cliente ha parcheado las vulnerabilidades actuales, es posible que se produzcan nuevos ataques.

Pero uso[insertar software de correo electrónico aquí] y no está en la lista afectada. ¿Debería importarme?

Aunque es posible que no te afecte directamente, los otros participantes en tus conversaciones encriptadas sí. Para este ataque, no es importante si el remitente o cualquier receptor del mensaje secreto original es el objetivo. Esto se debe a que un mensaje PGP está encriptado en cada una de sus claves.

El envío de mensajes PGP a otras personas también aumenta el riesgo de que sus destinatarios se dirijan a un cliente vulnerable para descifrar estos mensajes. Hasta que se reparen suficientes clientes de forma fiable, el envío de mensajes cifrados con PGP puede crear incentivos adversos en el ecosistema para que otros los descifren.

¿Significa esto que PGP está roto?

Las debilidades en el estándar OpenPGP subyacente (específicamente, la falta de verificación de integridad obligatoria de OpenPGP) permiten uno de los ataques dados en el documento. A pesar de sus debilidades preexistentes, OpenPGP todavía se puede utilizar de forma fiable con unas limitaciones. Cuando se utiliza PGP para cifrar o descifrar archivos en reposo, o para verificar el software con un estricto control de firmas, PGP sigue comportándose de acuerdo con las expectativas.

OpenPGP también utiliza criptográficas subyacentes primitivas como SHA-1 que ya no se consideran seguras y que carecen de las ventajas del cifrado autenticado (AE), y las firmas se pueden eliminar de los mensajes. Con el tiempo, habrá que desarrollar nuevas normas que aborden estos problemas más fundamentales en la especificación. Desafortunadamente, la introducción de correcciones para introducir cifrado autenticado sin rotar las claves para hacer cumplir estrictamente las restricciones de uso hará que OpenPGP sea susceptible a ataques de compatibilidad con versiones anteriores. Esto tendrá que abordarse en cualquier norma futura.

En resumen, se puede confiar en OpenPGP hasta cierto punto. Para la seguridad a largo plazo de las comunicaciones confidenciales, sugerimos que se migre a otra plataforma encriptada de extremo a extremo.

¿Qué debo hacer con el software PGP en mi ordenador?

En general, mantener PGP (o GPG) en su sistema debe estar a salvo de los exploits conocidos, siempre y cuando esté desconectado del correo electrónico como se describió anteriormente. Algunos sistemas Linux dependen de GPG para la verificación del software, y PGP sigue siendo útil para la verificación manual del software. Desinstalar su software PGP puede hacer que sus claves sean inaccesibles e impedirle descifrar mensajes pasados en algunos casos también.

¿Pueden mis correos electrónicos anteriores ser leídos por un atacante?

Si  se envía el contenido encriptado PGP de correos electrónicos anteriores en correos electrónicos nuevos y abres ese correo electrónico en un cliente de correo electrónico no parcheado con el software PGP habilitado, entonces sí. Para ver el archivo de correos electrónicos cifrados, recomendamos utilizar la línea de comandos.

¿Qué pasa si sigo recibiendo correos electrónicos PGP?

Puedes descifrar estos correos electrónicos a través de la línea de comandos . Si prefieres no hacerlo, notifica a tus contactos que PGP, por el momento, ya no es seguro para usarse en clientes de correo electrónico y decidir si se puede continuar la conversación a través de otra plataforma encriptada de extremo a extremo, como Signal.

 

En el futuro, ¿qué debo tener en cuenta?

Seguiremos de cerca esta cuestión en las próximas semanas. Los autores de clientes de correo electrónico y plugins PGP están trabajando activamente para parchear esta vulnerabilidad, por lo que es de esperar que se produzcan actualizaciones próximamente. Para las últimas actualizaciones, puede seguir https://sec.eff.org/blog o https://www.eff.org/issues/security.

¿Existe un reemplazo para el envío de mensajes encriptados de extremo a extremo?

En correo electrónico no hay ninguna sustitución segura comprobada para PGP.

Sin embargo, existen otras herramientas de mensajería segura de extremo a extremo que proporcionan niveles de seguridad similares: por ejemplo, Signal.. Si necesitas comunicarte con seguridad durante este período de incertidumbre, te recomendamos que consideres estas alternativas.

No tengo otras opciones de mensajería encriptada de extremo a extremo disponibles. PGP es mi única opción. ¿Puedo seguir usándolo?

Desafortunadamente, no podemos recomendar el uso de PGP en clientes de correo electrónico hasta que no hayan sido parcheados, tanto en tu dispositivo como en el del destinatario. El plazo para estos parches varía de un cliente a otro. Recomendamos desconectar PGP de tu cliente de correo electrónico hasta que se hayan liberado los parches adecuados. Permanece atento a https://sec.eff.org/blog o https://www.eff.org/issues/security para más información.

No quiero usar la línea de comandos. Seguramente hay una alternativa utilizable. ¿No puedes recomendarme otra cosa?

Es muy difícil evaluar nuevas configuraciones de software en tan poco tiempo. Algunos clientes de correo electrónico son más vulnerables a este ataque que otros. Sin embargo, el uso de estos clientes de correo electrónico puede tener el efecto de poner en riesgo a otros. Sugerimos descifrar los correos electrónicos archivados con la línea de comandos y pasar a otra plataforma de extremo a extremo para las conversaciones, al menos hasta que estemos seguros de que el ecosistema de correo electrónico PGP ha vuelto a su anterior nivel de seguridad.

Sólo uso PGP en la línea de comandos. ¿Me afecta?

Sí y no. Como entendemos actualmente, si estás utilizando PGP únicamente para el cifrado de archivos, sin correo electrónico, no hay canales de salida conocidos para enviar el contenido del archivo a un atacante. Sin embargo, el contenido puede haber sido modificado en tránsito de una manera que no necesariamente podrás ver, dependiendo de cómo el implementador del software PGP específico eligió hacer las cosas. Esto se debe al aspecto de degradación de la integridad de la vulnerabilidad.

Además, si utilizas PGP para cifrar un mensaje enviado por correo electrónico y el destinatario utiliza un cliente de correo electrónico vulnerable, tu correspondencia corren el riesgo de ser descifradas. Como es probable que muchas personas utilicen un cliente de correo electrónico para acceder a mensajes de correo electrónico cifrados con PGP, es importante aclarar con los destinatarios que también han desactivado PGP en sus clientes de correo electrónico o están utilizando un cliente no afectado.

Si tienes que continuar con las correspondencias confidenciales, te recomendamos encarecidamente que cambie a una herramienta de cifrado de extremo a extremo comprobada.

UUEE: No a la censura y a los impuestos en Internet

captura-de-pantalla-110117-201846

Internet no sería lo que es sin plataformas como Reddit, Medium, Soundcloud,  DeviantArt y miles más que permiten a los usuarios acceder y compartir contenido  creativo y noticias. La Directiva europea sobre el mercado único digital (Europe’s Digital Single Market Directive) podría cambiar para siempre su funcionamiento.

Tal como está propuesta, la Directiva introduciría dos cambios peligrosos en la forma en que nos comunicamos y compartimos información en línea. En primer lugar, impediría que los sitios web reproduzcan extractos breves de artículos de noticias junto con enlaces a esos artículos, a menos que paguen un “impuesto de enlace” obligatorio al editor de noticias.

unnamed

En segundo lugar, las plataformas tendrían que poner en marcha nuevas y costosas herramientas de censura que les permitieran husmear en todo lo que subes, y bloquear esas subidas si detectan lo que creen que es contenido que infringe los derechos de autor.

En conjunto, estas medidas crearían enormes obstáculos para que las plataformas web sirvieran como centros de intercambio de conocimientos, haciendo de Internet un lugar menos interactivo.

La Comisión de Asuntos Jurídicos del Parlamento Europeo podría votar sobre estas medidas en cuestión de semanas. Después de eso, será mucho más difícil detenerlos antes de que se conviertan en ley.

Afortunadamente, aún hay tiempo para detenerlo. Necesitamos urgentemente tu ayuda, como uno de los valiosos miembros europeos del FEP, para convencer a tus representantes de que voten en contra de estas medidas equivocadas y para preservar lo que ha hecho de Internet un entorno abierto e innovador para todos.

Cuando hagas clic en el botón de abajo, serás redirigido al sitio web de la campaña de nuestro socio Mozilla. Allí podrá llamar a tu representante y pedirle que vote no a los filtros de carga obligatorios que censurarían Internet, y no a un impuesto de enlace obligatorio para los editores.

digitral

Stephen Hawking (1940-2018) y nosotros…

por frank

Stephen Hawking (1940-2018) y nosotros

Este genio de la ciencia murió recientemente y su importancia ha sido reconocida por sus iguales y muchos jefes de estado. Reconocer el valor de una persona implica automáticamente que compartimos algunas de sus posiciones y que, al mismo tiempo, pertenecemos a la misma cultura. En este caso, se trata de Inglaterra y de la formación que Stephen Hawking recibió en un ambiente cristiano y capitalista.

Stephen Hawking ha dedicado obviamente sus esfuerzos a la ciencia en general, no a la industria militar o a laboratorios estatales o privados. Tampoco ganó tanto dinero con sus descubrimientos, y sus derechos de autor sobre sus libros.

Ciertamente ganó mucho menos que Agatha Christie o Georges Simenon e incluso Diego Armando Maradona, por sus respectivas obras.

A partir de 2010 Stephen Hawking no ha dejado de refutar la hipótesis de la creencia en un mundo creado por una divinidad. En el libro The Grand Design, escrito con Leonard Mlodinow, físico y autor de libros sobre difusión científica, presentan su conclusión..:

Si la respuesta es Dios, simplemente se refiere al problema de quién creó a Dios. Desde este punto de vista, admitimos que existe una entidad que tenía un creador y que se llama Dios. Esto es lo que se conoce como el primer argumento de la existencia de Dios. Afirmamos, sin embargo, que es posible dar una respuesta a estas preguntas[sobre el origen del universo] permaneciendo en un espacio puramente científico y sin recurrir a ningún ser divino.”

Si el libro ha perturbado la mente de muchos creyentes, debemos reconocer que Stephen Hawking no tenía escrúpulos para dialogar con los Papas (el anterior y el de ahora, en 2016) sin que eso modificara de ninguna manera lo que publicó y declaró públicamente.

Otra opinión de Stephen Hawking, durante un programa de televión, tampoco fue apreciada por otro tipo de creyentes.

Si las máquinas producen todo lo que necesitamos, el resultado dependerá de cómo se distribuya la producción. Todo el mundo puede disfrutar de un ocio lujoso si la riqueza que proporcionan las máquinas se comparte, pero la mayoría de la gente puede llegar a ser miserablemente pobre si los propietarios de las máquinas consiguen formar un grupo de presión contra la redistribución de la riqueza. Hasta ahora, parece que la tendencia es seguir la segunda opción, con una orientación tecnológica que aumentará la desigualdad. (15 de octubre de 2015)

La observación de Stephen Hawking de que los capitalistas son generalmente vencedores se puede añadir a la de la ausencia de mención por su parte de Marx, Lenin y Bakunin, ni siquiera en 2017 para el centenario de la revolución de los soviets libres.

El aspecto positivo desde el punto de vista de Stephen Hawking es doble: existe un rechazo del capitalismo como sistema económico y social depredador, y también existe la afirmación de que todavía no tenemos una herramienta para derrotar a los explotadores.

Debemos, por lo tanto, construir esta herramienta teniendo en cuenta los fracasos de los llamados socialistas organizados con una cima piramidal similar a la de los capitalistas (y que conduce a la misma opresión social); y teniendo en cuenta la prioridad de los problemas que hay que resolver, por ejemplo, la muerte de niños y la prostitución mental y física de individuos (por ejemplo, pisotear a otros para subir en la jerarquía ignorando la solidaridad; aliarse con opresores contra otros, etc.).).

Frank Mintz 25.03.18

 hacking0  hacking1
 hacking2  hacking01