Ataque de crackers chinos a activistas de derechos humanos usuarios de Windows y Gmail

Recomendados dos artículos sobre un ataque de crackers chinos en particular contra activistas de derechos humanos usuarios de Windows y Gmail

• 3.Feb.2010 http://www.wired.com/threatlevel/2010/02/apt-hacks/
• 23.Ene.2010 http://www.cnn.com/2010/OPINION/01/23/schneier.google.hacking/

Un parrafo del primero traduce:

“hasta ahora sólo hemos sabido que los atacantes entraron por una vulnerabilidad de Internet Explorer y que obtuvieron propiedad intelectual y accedieron a cuentas de Gmail de dos activistas de derechos humanos cuyo trabajo gira en torno a China.”

El mismo artículo describe más sobre el ataque, fue una falla que afectó a sistemas Windows que tenían Internet Explorer 6, al parecer los crackers se dedicaban a recolectar toda la información que encontraban en los computadores a los que lograban acceder y robaban credenciales para ingresar a Gmail y otros servicios.

En el segundo artículo Schneier (reconocido experto en criptografía y seguridad) describe posibles medidas de Google para cumplir con exigencias del gobierno de Estados Unidos que le facilitan revisar correos de quienes emplean Gmail. Se supone que serían medidas empleadas en casos de ordenes judiciales, pero dificilmente Google o el gobierno de Estados Unidos revelarán en que casos realmente se usan esas medidas (se ha confirmado espionaje ilegal del NSA y FBI a sus propios ciudadanos entre 2002 y 2006 y por política el gobierno de Estados Unidos autorizó espiar las conversaciones telefónicas de todos los que no fuesen de eses país después del 11.Sep.2001).

!Conclusiones:

Nuevamente, por favor no use Internet Explorer, ni Windows. Especialmente si es defensor de derechos humanos, capacitese para usar las herramientas con menos vulnerabilidades que pueda. El sistema operativo con menos vulnerabilidades ha sido OpenBSD, si quiere una balanza entre facilidad y seguridad Linux Ubuntu, Mac OSX también tiene historial mejor que el de Windows pero es de fuentes cerradas. Puede comparar por si mismo historial de vulnerabilidades de diversos programas en http://www.secunia.com

Por favor no use Gmail ni servicios públicos de correo para mantener correos con fuentes de violaciones a derechos humanos. Las compañias que mantienen estos servicios deben dar su información ante solicitud de su gobierno. Quien mejor puede defender la información de su organización de derechos humanos, es su propia organización. Ponga un servidor de correo en su organización y mantenga alli el correo encriptado y con todas las medidas que le permitan usarlo bien (e.g ESMTP para intercambiar correo encriptado entre servidores que lo soporten, IMAP con SSL para consultar su correo encriptado, webmail sobre HTTPS, antispam, copias de respaldo automáticas, monitoreo.). Un diseño de red a bajo costo pero segura y funcional que permite instalar un servidor de correo de bajo tráfico es el Nivel 6 presentado en http://sivel.sourceforge.net/1.0/infraestructura-tecnologica.html Los niveles previos describen como aproximarse paulatinamente a ese nivel. La distribución adJ de OpenBSD es en español y apropiada para la infraestructura propuesta (https://aprendiendo.pasosdeJesus.org), hay suficiente documentación en español para realizar la configuración e.g http://structio.sf.net/guias/

Es triste que haya activistas de derechos humanos usuarios de Windows que prefieran ese sistema porque:

“me gusta más” y ya o

“me dan más funcionalidad” aunque tengan la funcionalidad basica para realizar su trabajo por ejemplo en Ubuntu a costo 0 para la organización. O aunque con estudio puedan lograr las funcionalidades y estabilidad que necesitan. O aunque puedan financiar a desarrolladores de fuentes abiertas para implementar funcionalidad faltante en lugar de pagar costosos licenciamientos.

“no quiero aprender otro sistema” aunque el tiempo que invierta en capacitarse, lo cosechará posteriormente en menos formateos, menos perdida de información (por ejemplo por virús) y menos robos efectivos de información confidencial.

Uno se pregunta en esas balanzas como entra la responsabilidad de los defensores de derechos humanos de salvaguardar las fuentes de información. ¿Por responsabilidad con las víctimas, no debería ser prioritario?