martes 15 de octubre de 2024
Lo mejor de los medios

Dark Mail: el sistema de emails creado para frustrar el espionaje de la NSA

Cada vez más, Internet se llena de esquemas de cifrado de correo electrónico para contrarrestar el espionaje de la National Security Agency (Agencia de Seguridad Nacional, NSA). Muchos de ellos se centran en la solución de los problemas de usabilidad que han plagado a los esquemas de cifrado complicados como Pretty good Privacy (Privacidad bastante buena, PGP) desde hace años. Pero un nuevo proyecto llamado Dark Mail (Correo Oscuro) planea ir más allá: ocultar los metadatos.

Los metadatos son esos datos del correo electrónico que están en las casillas “Para”, “De” y en los asuntos, que resultan muy valiosos para la NSA a la hora de hacer seguimientos y establecer conexiones entre las personas. En general, incluso cuando se cifra el correo electrónico, los metadatos quedan intactos. Dark Mail ambiciosamente pretende modernizar las estructuras de correo electrónico existentes para ocultar estos datos sin dejar de hacer el sistema universalmente compatible con los clientes de correo electrónico existentes.

El proyecto ha generado un interesante intercambio entre el tecnólogo de Texas, Ladar Levison y el hacker condenado Stephen Watt, a quien contrató para ayudar a desarrollar el código. Ambos han tenido batallas anteriores con el gobierno de maneras muy diferentes.

Levison es el dueño de Lavabit, que desafiantemente cerró su negocio de correo electrónico cifrado pro-privacidad el año pasado antes que someterse a las exigencias del gobierno de entregar las llaves privadas SSL para su servicio de correo electrónico. Las claves habrían ayudado a las autoridades descifrar el tráfico que pasaba por entre los clientes, incluyendo al informante de la NSA, Edward Snowden y el sitio web Lavabit.

Watt tuvo una vez una carrera muy lucrativa en Wall Street, codificando software para los sistemas de comercio de acciones en tiempo real, hasta que escribió un programa para analizar paquetes de datos, para un amigo de mucho tiempo y se vio envuelto en un robo de tarjetas bancarias de varios millones de dólares que le valió un pena de prisión de dos años.

Van a estar discutiendo el proyecto en la conferencia de Hackers del Planeta Tierra en Nueva York y en agosto en la conferencia de Def Con Hackers en Las Vegas.

Cómo hacer que Dark Mail funcione para todos los Emails

El proyecto se compone de varias partes: un cliente de correo electrónico llamado Volcán; un software de servidor llamado Magma Magma clásico y oscuro; y el Dark Mail, o Dmail, protocolo, que están diseñando para reemplazar los existentes para enviar y recuperar correo electrónico que no ocultan metadatos.

La mayoría de los servicios de cifrado de correo electrónico que pretenden ocultar metadatos están por lo general a cargo de un único proveedor de servicios, dice Levison, de modo que los usuarios de ese servicio de correo electrónico sólo pueden comunicarse con otros usuarios del mismo servicio. Levison y Watt no quieren un sistema cerrado, sino que pretenden que Dark Mail se pueda utilizar con los programas de correo electrónico existentes, como Outlook.

«Si confiás en tu servidor, podés utilizar Outlook y el servidor se encargará de todo», dice Levison. «Preferentemente habría que utilizar el cliente de Dark Mail, pero entiendo que esto no es ni siquiera una posibilidad para algunas organizaciones».

Pero para lograr que su esquema de aplicación universal con los sistemas actuales, requiere una revisión agresiva de los protocolos existentes y la infraestructura de software.

Dark Mail se modela libremente en Tor (The Onion Router, “el router cebolla”) que utiliza miles de servidores en todo el mundo, mantenidos por voluntarios, para hacer rebotar al azar el tráfico cifrado de un nodo a otro a su destino. Con Tor, los servidores en el punto de entrada puede identificar la dirección IP del remitente, pero no saben el destino final, sólo el siguiente nodo del tráfico en la cadena aleatoria que debe recibirlo. Con Dark Mail, hay principalmente dos servidores principales que intervienen en una transacción de correo electrónico: el dominio del remitente y el del destinatario. Y aunque el servidor del remitente puede identificar la fuente de la que se envió el correo electrónico, no conoce el destinatario, sólo su dominio. El servidor en el dominio del destinatario descifra el «Para:», para entregar la correspondencia a la cuenta correcta, pero no sabe quién envió el correo electrónico, sólo el dominio de la que proviene.

Si la NSA está monitoreando pasivamente el tráfico de Internet, la agencia de espionaje podría ver un paquete de datos cifrados que van de un dominio a otro, pero no se sabe quién lo envió o recibió, algo que la agencia puede determinar fácilmente con las estructuras de correo electrónico existentes.

«Si son capaces de seguir el flujo de cada paquete en el Internet, pueden rastrear dónde se dirige cada paquete», dice Levison. «Pero lo estoy haciendo de tal forma que se haga muy difícil, y ha sido minimizado hasta el nivel de dominio», dice Levison. Además, él está «tratando de reducir drásticamente la cantidad de confianza que se ha de depositar en el proveedor de servicios al mínimo necesario para llevar a cabo la función de correo electrónico».

Aunque las autoridades pueden citar judicialmente a cada dominio que se encargue de un paquete, para cruzar con la información sobre quién enviado y recibido, sólo pueden hacerlo si los dominios conservan esa información.

El sistema de Dark Mail, como está diseñado en la actualidad, todavía tiene algunas limitaciones. Si alguien quiere enviar un correo electrónico a alguien en el mismo dominio, el servidor sabrá el remitente y el destinatario. Levison planea abordar esto mediante la inserción de un servidor de terceros en la cadena, a lo que está llamando una “cebolla pública”. Pero los detalles de aplicación son complicados y no han sido completamente resueltos.

«Tengo la esperanza de que si pongo las bases de Dark Mail, la gente será capaz de construir alternativas más seguras a partir de esto», dice Levison.

En este momento, Levison se centra en la redacción del protocolo y los estándares y Watt lidera el desarrollo de código. Aunque Watt siempre ha mantenido fuertes puntos de vista sobre los derechos de privacidad, nunca se hubiera unido al proyecto de Dark Mail si no fuera por el camino inesperado que tomó su vida.

«Si no fuera por mi propia vida y las circunstancias legales, probablemente habría continuado albergando fuertes puntos de vista sobre estos temas y nunca habría hecho nada por ellos», dice. «Si yo todavía estuviera trabajando en Wall Street hoy y alguien me describiera este trabajo, hubiera dicho que alguien tenía que hacerlo sin duda, y hubiera estado implícito que ese alguien no era yo. Pero las circunstancias son diferentes ahora».

El hacker convicto en una misión

Watt, de 31 años, ha sido conocido en la comunidad de hackers bajo los nombres de «Jim Jones» y el «terrorista Unix». El sorprendente ingeniero de software, se graduó de la escuela secundaria en la Florida a los 16 años y de la universidad a los 19 años. A los 21, estaba trabajando como codificador de la financiera Morgan Stanley en Nueva York ganando 90 mil dólares al año. Fue durante ese tiempo que escribió un programa para su viejo amigo Albert González, quien lo usó para desviar miles de números de tarjetas de crédito y débito.

En agosto de 2008, Watt estaba desarrollando programas de comercio en tiempo real para Imagine Software cuando las autoridades allanaron su lugar de trabajo. Él no fue acusado de participar directamente en los hackeos ni incluso de sacar provecho de ellos, pero los fiscales dicen que él sabía que el programa estaba destinado para el uso criminal y fue testigo de sus ganancias mal habidas. En una ocasión hizo una fiesta de cumpleaños 75 mil dólares con González y discutió el lanzamiento de un club nocturno en Nueva York con el respaldo financiero de su amigo.

Sin embargo, se negó a cooperar con el gobierno federal para presentar su caso contra González. Como resultado, Watt recibió una sentencia de dos años de prisión y se le ordenó pagar más de 100 millones de dólares en restitución. Pasó de vivir una buena vida en un apartamento de Manhattan con su esposa croata a compartir una celda en una prisión de baja seguridad con responsables de pornografía infantil y trabajadores migrantes extranjeros en espera de ser deportados.

Nunca se hubiera unido al proyecto de correo oscuro si no fuera por el camino inesperado que tomó su vida.
Fue liberado en 2011 y tuvo problemas para encontrar un trabajo significativo. Está suspendido de por vida por su trabajo en la industria de valores y estaba haciendo algunas cosas de desarrollo web hasta que un amigo Facebook mutuo le presentó a Levison. Levison dice que encontrar a alguien con los conocimientos necesarios para asumir el complicado proyecto de Dark Mail fue «una gran bonanza”.

«Este es un proyecto bastante tenso y estresante que se está llevando a cabo bajo el microscopio», dice Levison. «Ha estado haciendo un buen trabajo en condiciones difíciles».

Watt es uno de sólo dos desarrolladores a tiempo completo que trabajan en ella, junto con un número de voluntarios que lo hacen a tiempo parcial. Cerca de 100 personas de todo el mundo expresaron su interés en trabajar en el proyecto, pero el número de personas que se podían comprometer y tenía los conocimientos adecuados era pequeño. «Junto con el hecho de que es evidente que hay importantes cuestiones de confianza» con un proyecto como este, indica Levison, necesitaba personas que pudieran trabajar en la misma habitación.

El pasado de Watt no era un problema para Levison. Antes de contratarlo, examinó su caso legal y no encontró nada malo en lo que había hecho. «Cuando volví a mirar en los detalles … Sólo desestimé el caso en su totalidad, ya que no ha cometido un delito», dice. «Y si no ha cometido un crimen, ¿por qué debería celebrar el hecho de que el gobierno cree que lo cometió?”

Ayudó que Levison hubiera tenido su propio encontronazo con la policía.

Cómo otro choque con la ley condujo a Dark Mail

En junio pasado, unas dos semanas después de que Snowden identificarse a sí mismo como el “soplón”, el FBI arribó a Lavabit con una «pluma de registro» para exigir que el proveedor de correo electrónico le entregara las líneas «de» y «a» de todos los correos electrónicos enviados desde una cuenta específica que se cree que pertenece a Snowden, así como las direcciones IP utilizadas para acceder a la cuenta de correo electrónico. Aunque Lavabit almacena los mensajes entrantes cifrados con una clave que sólo conoce el titular de la cuenta, él tenía la capacidad técnica para descifrar la información y dársela a las autoridades, pero se negó. Entonces, el gobierno exigió «toda la información necesaria para descifrar las comunicaciones enviadas hacia o desde» la cuenta de correo electrónico de Lavabit «, incluyendo las claves de cifrado y claves SSL». En vez de someterse, Levison cerró su negocio de correo electrónico.

Levison desarrolló el concepto básico para Dark Mail hace unos seis años, mucho antes de su pelea con el gobierno, pero el momento no era el adecuado para actuar en consecuencia. «Si yo hubiera construido este hace cinco años, nadie se habría dado cuenta … y no habría tenido ningún valor», dice. «Cuando yo estaba haciendo en borrador primero este diseño en mi cabeza hace cinco años, no estaba preocupado por el espionaje de EE.UU. a todo ciudadano en el mundo. Tampoco era consciente que era yo quien que ocultar el hecho de que Bob estaba hablando con Alice”, explica.

Su nuevo estatus como icono de Internet le permitió recaudar cerca de 200 mil dólares en una campaña de Kickstarter para financiar el proyecto. Las revelaciones de Snowden y la agresiva postura del gobierno sobre las contraseñas de Lavabit significaban que no tenía que convencer a nadie sobre la importancia de reducir al mínimo los metadatos.
«Mi esperanza es que al hacerlo ahora y mostrar a la gente el camino, se alterará fundamentalmente la manera en que el intercambio de correo electrónico a través de Internet», dice.

La suma de la minimización de metadatos al plan en el marco de las revelaciones de Snowden, ha hecho que sea mucho más ambicioso y complejo. «Incluso si no soluciono el problema de metadatos y acabo de resolver los problemas de usabilidad de PGP, creo que Dark Mail tendría un éxito increíble», dice. «Pero también quiero que nos devuelva la libertad de asociación».

Vía

Lo último