Warrant canary es un termino que hace referencia al método utilizado por un proveedor de servicios para informar a sus usuarios, de que no ha recibido o ejecutado una orden de terceros –generalmente una orden judicial secreta— que pueda comprometer la integridad y privacidad de su proyecto.
La aprobación de la Patriot Act en USA después del 11S, provocó un aumento de ordenes secretas por parte del gobierno estadounidense, que además de obligar a cooperar a los proveedores de cualquier servicio de internet, incluían la prohibición de divulgar que se habían recibido, no solo al cliente en cuestión, sino de modo general (todos recordamos el caso de Lavabit, que tuvo que cerrar).
Por ello muchas empresas ligadas al ámbito de internet (Wickr, Spideroak, Tumblr, rsync, reddit, multitud de VPNs, incluso Apple en algún momento…) decidieron darle la vuelta al asunto: ok, parece que no podemos decir que algo va mal, pero si podemos dejar de decir que todo está correcto. A fin de cuentas la ley no puede obligarnos a mentir (o por lo menos era así la última vez que lo mire XD)
Dicho esto hay warrant canaries de todo tipo, desde las más sencillas que nos dicen que simplemente no han recibido ningún tipo de orden –como la imagen que abre el post– y que estén atentos a cualquier variación.
Hasta aquellas que generalmente van acompañadas de un informe de transparencia que se publican cada cierto tiempo, como podéis ver en la siguiente captura de Protonmail, un servidor de correo cifrado del que os hablé hace tiempo –ahora desgraciadamente de moda porque lo han acribillado a ataques DDoS– y que cada 6 meses nos dice si hay alguna novedad.
Existe la posibilidad de que los desarrolladores originales hayan perdido el control de su proyecto y estén siendo suplantados, por lo que la utilización de firmas PGP para validar la autenticidad del mismo siempre es recomendable, como hace la gente de SpiderOak o DEF CON.
Si os preguntáis de donde procede la expresión “warrant canary” hace referencia a la utilización de canarios en las minas para detectar gases tóxicos y porcentajes de oxígeno bajo.
Y al igual que cuando el canario deja de cantar, la no publicación de warrant canaries en los plazos señalados nos avisa del peligro inminente.
En Canary Watch, un proyecto patrocinado por la EFF –entre otros–, podéis consultar el conjunto de proyectos que hace uso de esta técnica y los cambios o desapariciones de las diferentes warrant canaries.
Terrorismo y privacidad
Algunos dicen que no hay necesidad de tanta paranoia y que no tienen nada que ocultar…ese dicho tan de cuñado, tan simple y repetitivo, se desmonta de una manera muy sencilla: haz pública la contraseña de tu cuenta de correo electrónico o servicio de mensajería para que cualquiera pueda ver su contenido…¿no? bueno parece que si tienes algo que ocultar…se llama privacidad y no hace falta ser un terrorista para apreciarla.
Os comento esto, porque como era de prever, tras los ataques terroristas en París, no han tardado en salir los buitres a cargar contra el cifrado de las comunicaciones, acusar a Snowden de tener sus manos manchadas de sangre, proponer más puertas traseras en los servicios de internet, echar la culpa a servicios de mensajería como Telegram o las PlayStation –aunque falsa, la idea no es tan descabellada, ni siquiera original: los adolescentes protagonistas de esa excelente novela que es Little Brother utilizan consolas con una versión especial de Linux para eludir la vigilancia masiva– de facilitar la labor de los terroristas, etc…
Lo que apenas se menciona en los medios, es que Francia tiene su propia Patriot Act desde hace 6 meses, que permite la vigilancia a gran escala de su población y que no ha servido de nada a la hora de impedir los últimos atentados.
Vigilar la venta de armas, cortar la financiación proveniente de otros países a la organización del Estado Islámico (hola! Arabia Saudí), no invadir países a lo loco, quizás sería de más ayuda que debilitar la seguridad de la red y todo lo que gira alrededor de ella, pero que se yo…un simple replicante linuxero.
Como diría Rajoy:
It’s very difficult todo esto
Imagen: librarian.net (CC BY-SA 2.0)
Fuente: lamiradadelreplicante
