Diez Cosas
por Roger Dingledine, lider del Proyecto Tor
A medida que más países atacan el uso de Internet, más personas
alrededor del mundo se amparan en soluciones de software anticensura que
les permita navegar por sitios bloqueados. Muchos tipos de
aplicaciones, también conocidas como “herramientas de evasión”,
han sido creadas para responder a las amenazas a la libertad en línea.
Estas herramientas proveen diferentes características y niveles de
seguridad, es importante para los usuarios entender también cuáles son
sus prestaciones.’
Éste artículo expone 10 características que deben tenerse en cuenta
cuando se evalúe una herramienta de evasión. El objetivo no es favorecer
alguna herramienta específica, sino señalar que tipo de herramienta es
más útil según la situación en que estemos. He escogido el orden de
estas características basado en la simplicidad de su exposición, no debe
implicarse por tanto que las primeras sean más críticas.
Las herramientas de evasión basadas en Internet constan de dos componentes: un componente repetidor(relay) y un componente de detección(discovery). El componente repetidor establece la conexión a algún servidor o proxy, maneja el cifrado, y hace pasar el tráfico en las dos direcciones. El componente tramitador es el paso previo necesario para encontrar esos servidores proxy.
Algunas herramientas tienen un componente de tramitación muy simple. Por ejemplo, si estamos usando un proxy abierto, el proceso de usarlo es muy básico: se configura el navegador web o aplicación para usar el proxy. El gran reto para los usuarios de proxis es encontrar un proxy abierto que sea confiable y rápido. Por otra parte, algunas herramientas tienen componentes de tramitación mucho más sofisticados, hechos por múltiples proxis, múltiples capas de cifrado, y así.Una advertencia antes de empezar: soy el inventor y desarrollador de una herramienta llamada TOR que es usada tanto para privacidad como para evasión. Aún cuando mi parcialidad hacia herramientas más seguras como TOR se muestra aquí basada en las características que he seleccionado para discutir(hablo de temas que subrayan las fortalezas de TOR y que pueden no tener tanta importancia para otros desarrolladores de herramientas), he intentado seleccionar aquellas características que otros desarrolladores de herramientas consideran importantes.
1. Una base de usuarios heterogénea
Una de las cuestiones más simples que pueden preguntarse cuando se
está buscando una herramienta de evasión es quién más la utiliza. La
existencia de una gran variedad de usuarios implica que si alguien nos
descubre usándola no puede sacar muchas conclusiones acerca del por qué
estamos usándola. Una herramienta de privacidad como TOR tiene muchas
clases diferentes de usuarios (desde personas ordinarias, activistas pro
derechos humanos, corporaciones, fuerzas del orden y hasta militares)
por tanto el hecho de que tengamos TOR instalado no da mucha información
acerca de quiénes somos o qué tipo de sitios estamos visitando. Por
otra parte, imaginemos un grupo de blogueros Iraníes usando una
herramienta de evasión creada especialmente para ellos. Si alguien
descubre que uno de ellos está usándola, puede fácilmente adivinar por
qué.
Más allá de las características técnicas que hacen que una
herramienta sea útil para algunas personas en un país o para muchas
personas alrededor del mundo, el enfoque de mercado juega un papel muy
importante sobre cuales personas serán sus potenciales usuarios.
Muchas herramientas se difunden de mano en mano, de forma que si
algunos usuarios están en Vietnam y la encuentran útil, es probable que
los próximos usuarios también sean de Vietnam. El hecho de que una
herramienta tenga una interfaz traducida a algunos idiomas y no a otros
también puede facilitar (o impedir) el uso por parte algunos conjuntos
de internautas.
2. Funciona en nuestro país
La próxima cuestión a considerar es si el creador de la herramienta
restringe artificialmente desde qué países se puede usar. Por muchos
años, el proveedor comercial Anonymizer.com ha hecho que sus servicios
estén disponibles gratuitamente en Irán. De esta manera las conexiones
salientes de los servidores de Anonymizer podían ser tanto de clientes
que pagaban el servicio (mayormente en América) o personas en Irán
tratando de escapar de los filtros de su país.
Como ejemplos más recientes,Your-Freedom restringe el uso gratuito a unos pocos países como por ejemplo Burma, mientras que en casos como el de Freegate y Ultrasurf se bloquea totalmente las conexiones desde todos los países exceptuando un grupo de países a los que ellos se preocuparon por proveerles el servicio(China, y recientemente Irán, en el caso de Ultrasurf). Por otra parte, esta estrategia es lógica en términos de limitar los costos de ancho de banda. Pero por otra parte, si estuviésemos en Arabia Saudita y necesitáramos una herramienta de evasión, podríamos carecer de opciones que de otra manera nos serían útiles.
3. Tiene una estrategia de desarrollo de sus redes y su software sostenible
Si fuéramos a invertir tiempo en averiguar cómo usar una herramienta dada, deberíamos estar seguros que ésta estará disponible al menos por un tiempo. Existen varias maneras en que las diferentes herramientas aseguran su existencia a largo plazo. Los principales tres enfoques son el uso de voluntarios, el ánimo de lucro, y la financiación de por parte de patrocinadores.
Las redes como TOR dependen de los voluntarios que proveen de los repetidores que conforman la red. Miles de personas alrededor del mundo tienen computadoras con buenas condiciones de conectividad y además ganas de hacer del mundo un mejor lugar. Al unir esas computadoras en una gran red, TOR asegura que la red se mantenga independiente de la organización que hace la solución informática. Asi que la red seguirá existiendo aún cuando el Proyecto TOR deje de existir como una entidad. Psiphon asume el enfoque de obtener ganancias económicas. Su razón es simple: si pueden mantener una compañía rentable, entonces esa compañía será capaz de mantener funcionando la red de forma sostenible y creciente. El Java Anon Proxy depende de financiación oficial para hacer funcionar su red, ahora que el otorgamiento oficial ha terminado están explorando un esquema de pago. Ultrareach y Freegate usan el modelo de patrocinio con buenos resultados, aunque están constantemente buscando más patrocinadores para mantener su red operativa.
La otra preocupación aparte de la propia sobrevivencia de la red es
la cuestión de la sostenibilidad de la solución de software. Los mismos
tres enfoques se aplican aquí, pero los ejemplos cambian. Mientras la
red TOR está operada por voluntarios, TOR depende de patrocinadores
(gobiernos y ONGs) para financiar nuevas funcionalidades y para el
mantenimiento del software. Ultrareach y Freegate por otra parte están
en una mejor posición con respecto a las actualizaciones del software:
tienen un equipo de individuos alrededor del mundo, mayormente
voluntarios, devotos a asegurar que la herramienta esté un paso por
delante de sus perseguidores.
Cada uno de los tres enfoques puede funcionar, pero entender cual
enfoque es el usado por una herramienta puede ayudarnos a predecir que
problemas puede enfrentar en un futuro.
4. Tienen un diseño abierto
El primer paso para la transparencia y reusabilidad del
diseño y software de la herramienta es distribuir el software (no
solamente el cliente, sino también el servidor) bajo una licencia de
código abierto. Una de código abierto significa que cualquiera puede
examinar el software, verificar de qué forma trabaja internamente, y
además se tiene el derecho a modificar el programa. Aún cuando no todos
los usuarios saquen ventajas de esta oportunidad (la mayoría de los
usuarios solo están interesados en usar la herramienta tal cual la
obtuvieron), proveerlos de la opción hace mucho más probable que la
herramienta se mantenga funcional y útil con el tiempo. De otra manara
estamos forzados a confiar en lo que un grupo de desarrolladores han
pensado y a asumir que ellos han pensado en cada problema posible.
Solo proveer de una licencia de código abierto no es suficiente. Las herramientas de evasión confiables necesitan proveer de una clara y completa documentación para que terceras partes expertas en seguridad puedan saber no solo como se construyó sino también qué características y objetivos persiguieron sus desarrolladores. ¿La idearon como herramienta de privacidad? ¿Qué tipo de privacidad y contra qué ataques? ¿En qué modo usan el cifrado? ¿Pretenden que resista los ataques de los censuradores? ¿Qué tipo de ataques esperan que resista y por qué la herramienta los resiste? Sin ver el código fuente y sin saber qué persiguieron sus desarrolladores es más difícil decidir si hay problemas de seguridad en la herramienta, o evaluar si ésta logra sus objetivos.
En el campo de la criptografía, el principio de Kerckhoff explica que uno tiene que diseñar un sistema para que la parte que se mantenga en secreto sea lo más pequeña y comprensible posible. Es por eso que los algoritmos de cifrado usan llaves(la parte secreta) y el resto puede ser explicado en público a cualquiera. Historicamente, un diseño criptográfico que tiene muchas partes secreta ha demostrado ser menos seguro que lo que sus diseñadores pensaron. Similarmente ocurre en el caso de las herramientas de evasión que no son de código abierto. El único grupo examinando la herramienta son sus desarrolladores originales y los atacantes, el resto de los desarrolladores y usuarios que pudieran ser de ayuda para hacerla mejor y más sostenible son dejados fuera.
Las ideas de un proyecto pueden ser reutilizadas más allá del tiempo de vida de un proyecto. Un número demasiado grande de herramientas de evasión mantienen su diseño en secreto, con la esperanza de que los censuradores de los gobiernos tendrán que pasar más trabajo para determinar cómo el sistema funciona, pero el resultado es que pocos proyectos pueden sacar provecho de otros proyectos y el campo del desarrollo de herramientas de evasión como un todo se evoluciona muy lentamente.
5. Tiene una arquitectura descentralizada
Otra característica a buscar en una herramienta de evasión es que su red esté centralizada o descentralizada. Una herramienta centralizada pone todas las peticiones de sus clientes en uno o unos pocos servidores que el operador de la herramienta controla. Un diseño descentralizado como TOR o JAP envía el tráfico a través de múltiples nodos diferentes de forma que no hay una localización central o entidad que pueda verificar que sitios web un usuario está tratando de acceder.
Otra forma demorar a esta división es basarse en cuando la confianza
es centralizada o descentralizada. Si uno tiene que poner toda la
confianza en una entidad entonces lo mejor que uno puede esperar es
“privacidad por política”, que significa que ellos tienen todos nuestros
datos y ellos prometen no mirarlos, borrarlos o venderlos.
La alternativa es lo que el Comisionado para la Privacidad de
Ontario llama “privacidad por diseño”, que significa que el sistema en
si mismo asegura que el usuario obtenga su privacidad. La condición
abierta del diseño, en cambio, deja a otros evaluar el nivel de
privacidad provisto.
Esta preocupación no es solamente teórica. En los inicios de 2009 Hal Roberts del Centro Berkman encontró una entrada en una FAQ de una herramienta de evasión que ofrecía vender los registros de clicks de sus usuarios. En otra ocasión habló con otro proveedor de herramienta de evasión que mantenía todos los registros de la actividad de sus usuarios porque “nadie sabe cuándo nos pueda hacer falta”.
He dejado fuera los nombres de las herramientas porque el punto no es que tal o cual proveedor pueda haber compartido nuestros datos, el punto es que cualquier herramienta con una arquitectura centralizada puede compartir nuestros datos, y los usuarios no tenemos garantía alguna de que esto no esté pasando. Peor, aún cuando el proveedor de la herramienta tenga buenas intenciones el hecho de que todos los datos fluyan por un punto central crea un objetivo atractivo para que los atacantes vengan a husmear.
La mayoría de estas herramientas ven evasión y privacidad como objetivos totalmente separados. Esta separación no es necesariamente mala, mientras uno sepa por supuesto en qué se está metiendo. Escuchamos de mucha gente en países donde hay censura que el solo hecho de entrar en un sitio de noticias puede ponerte tras las rejas. Pero tal y como hemos venido viendo en otros contextos a lo largo de muchos años las largas bases de datos con información personal tienden a terminar siendo más publicas de lo que uno desearía.
6. Nos mantiene a salvo también de los sitios web
Cuando de privacidad se trata, no es suficiente con protegernos contra lo que el operador de la herramienta pueda hacer con nuestros registros de navegación, también hay que tomar en cuenta que los sitios web que visitemos pueden reconocernos y rastrearnos. Recordemos el caso de Yahoo dando información sobre uno de sus usuarios de webmail. Qué hay si un operador de blog quiere averiguar quién está posteando en un blog, o quién adicionó el último comentario, o qué otros sitios web un bloguero particular lee. Usando una herramienta más segura para acceder a un sitio implicará que este último no tendrá mucha información qué manejar.
Algunas herramientas de evasión son más seguras que otras. En un
extremo están los proxis abiertos, ellos simplemente reenvían la
dirección del cliente con su petición web, de manera que es fácil para
un sitio web saber de dónde vino la petición exactamente. En el otro
extremo están las herramientas como TOR, que incluyen extensiones del
lado del cliente para esconder la versión del browser, preferencias de
idioma, tamaño de la ventana del browser, zona horaria, y otras; además
restringe los cookies, historial de navegación, caché y previene que
otros complementos como Flash filtren información acerca de los
usuarios.
Este nivel de protecciones de nivel de aplicación tiene un costo: algunos sitios web no trabajan correctamente. Mientras más sitios web evolucionen hacia los modismos del “web 2.0”, requerirán más y más características invasivas con respecto al comportamiento de los navegadores. La respuesta más sabia es deshabilitar los comportamientos más peligrosos, pero si alguien en Turquía está tratando de ver un video en YouTube y Tor deshabilita su complemento de Flash para que éste esté a salvo, sus videos no se mostrarán.
Ninguna herramienta ha resuelto este problema bien aún. Psiphon manualmente evalúa cada sitio y programa su proxy central para que reescriba cada página. Esta reconfiguración se hace principalmente no por privacidad, sino para asegurar que los links en la página nos lleven de vuelta a su servicio de proxy, pero el resultado es que ellos no han inspeccionado manualmente el sitio web destino que uno va a consumir, es probable que el mecanismo no funcione. A manera de ejemplo, al parecer ellos están en una batalla constante para mantenerse actualizados de los cambios en la página principal de facebook. Tor actualmente deshabilita algún contenido que es usualmente seguro en la práctica, simplemente porque no hemos encontrado una interfaz de usuario apropiada para dejar que el usuario decida de una manera informativa. Otras herramientas simplemente dejan pasar cualquier contenido activo, significando que es trivial para los sitios web descubrir quiénes son los usuarios.
7. No promete cifrar mágicamente toda la internet
Debo trazar una separación entre cifrado y privacidad. La mayoría de
las herramientas de evasión (todas excepto las realmente simples, como
los proxis abiertos) cifran el tráfico entre el usuario y el proveedor
de evasión. Ellos necesitan el cifrado para evitar la censura basada en
palabras claves hechas por ejemplo el gran firewall de China. Pero
ninguna de las herramientas cifra el tráfico entre el proveedor y el
sitio web final si un sitio web final no soporta cifrado; no existe
forma mágica de hacer que el tráfico esté cifrado.
La respuesta ideal sería que todo el mundo usara HTTPS (también conocido como SSL) cuando trataran de acceder a algún sitio web, y para todos los sitios que soporten conexiones HTTPS. Cuando se usa correctamente HTTPS provee una capa de cifrado entre el navegador web. Este cifrado “de extremo a extremo” significa que nadie en la red (ni siquiera nuestro proveedor de servicios de internet, ni los proveedores de evasión, ni nadie) pueden descifrar lo que está pasando entre el navegador y el sitio web accedido. Pero por un numero de razones, la era en que el cifrado sea omnipresente aún no ha llegado. Si el sitio web destino no soporta cifrado, lo mejor que se puede hacer es 1) no mandar información que sensible o que nos identifique tal y como lo son nuestro nombre real en una publicación de un blog o una contraseña que queremos salvaguardar del conocimiento ajeno y 2) usar una herramienta de evasión que no haga pasar tu tráfico por alguna dependencia central pueda potencialmente permitir que alguien nos vincule con el tráfico que estamos generando a pesar del punto haber observado el punto 1.
Desafortunadamente, las cosas se complican cuando uno no puede evitar
mandar información sensible. Algunas personas han expresado
preocupación acerca de la red de TOR sostenida por esfuerzos voluntarios
bajo el razonamiento que al menos con un diseño centralizado uno sabe
quién es el que está operando la infraestructura. Pero en la práctica
consistirá de extraños leyendo nuestro tráfico en ambos sentidos. La
decisión sería entre voluntarios desconocidos que no saben quiénes somos
(y por tanto carecen de referencia alguna hacia nosotros) y extraños
dedicados que pueden ver y perfilar nuestro tráfico (y vincularlo a
nosotros). Cualquiera que prometa “100% seguridad” está vendiéndonos
algo.
8. Provee una buena latencia y velocidad
La próxima característica que podríamos mirar en una herramienta de
evasión es velocidad. Algunas herramientas tienen a ser estables en su
rapidez, otras establemente lentas, y otras proveen de una calidad de
servicio impredecible. La velocidad se basa en muchos factores,
incluyendo cuantos usuarios tiene el sistema, qué están haciendo los
usuarios, cuanta capacidad hay instalada, y si la carga está distribuida
equitativamente a través de la red.
El diseño de dependencia-central tiene dos ventajas aquí. Primero, pueden ver todos los usuarios y lo que éstos están haciendo lo que permitiría distribuirlos equitativamente y potencialmente atajar situaciones técnicas que pueda embargar el sistema. En segundo lugar, los proveedores pueden comprar más capacidad en caso que la necesiten, de esta manera mientras más inviertan más rápida será la herramienta. El diseño distribuido por otra parte la tiene más difícil para rastrear a sus usuarios, y si dependen de voluntarios para contar con capacidad, entonces buscar más voluntarios es una tarea más compleja que simplemente pagar por más ancho de banda.
La cara opuesta de la moneda del desempeño es la flexibilidad. Muchos sistemas aseguran una buena velocidad limitando lo que sus usuarios pueden hacer. Mientras que Psiphon nos impide navegar por sitios que ellos no hallan habilitado manualmente, Ultrareach y Freegate en realidad censuran que sitios se pueden acceder usando el servicio para así mantener bajos los costes de ancho de banda. Tor por el contrario nos permite acceder cualquier protocolo o destino, significando por ejemplo que podemos mandar mensajes instantáneos a través de éste, pero la parte negativa es que a veces la red está sobrecargada por usuarios que están haciendo transferencias voluminosas.
9. Es fácil obtener el software y actualizarlo
Una vez que una herramienta de evasión se hace famosa, su sitio web será bloqueado. Si es imposible obtener una copia de la herramienta. ¿A quién le importa cuán buena pueda ser? La mejor respuesta aquí es no requerir ningún cliente especializado. Psiphon por ejemplo solo depende de un browser normal, de esta manera no interesa si el censurador bloquea su sitio web. Otro enfoque es un pequeño programa como Ultrareach o Freegate que uno puede enviar a sus amigos en un mensaje. La tercera opción es el paquete para navegadores de Tor: viene con todo el software necesario que necesitamos pre configurado, pero como incluye programas grandes como Firefox es más difícil compartirlo online. En este caso, la distribución tiende a ser a través de redes sociales y memorias flash o usando nuestro auto-respondedor de emails que nos permite descargar Tor via Gmail.
Cuando uno necesita tomar en cuenta las decisiones que vienen con cada enfoque. El primero, qué sistema operativos están soportados? Psiphon también saca una buena nota aquí, ya que al no requerir de ningún software extra. Ultrareach y Freegate están tan especializados que solo trabajan en Windows, mientras que TOR y su software acompañante pueden ejecutarse prácticamente en cualquier plataforma. Lo próximo es que el cliente pueda automáticamente manejar las fallas de un proxy y cambiar a otro de esta manera no tenemos que escribir manualmente las nuevas direcciones de los proxis si las actuales son bloqueadas o desaparecen.
Por último. ¿Suele la herramienta manejar bien el hecho de ser bloqueada? Por ejemplo, Ultrasurf y Freegate tiene un largo historial de actualizaciones cada vez que las versiones actuales de su software dejan de funcionar por algún motivo. Ellos tienen una vasta experiencia en este campo de manera que es razonable asumir que estarán listos para el próximo round. En medio de todo esto, Tor se ha ido preparando para su eventual bloqueo reformando sus comunicaciones para que luzcan mas como una comunicación web ordinaria y mediante la introducción de “repetidores” que son más difíciles de descubrir por algún atacante y bloquear que los repetidores públicos de TOR. TOR trata de separar las actualizaciones de software de las actualizaciones de las direcciones de los proxis. Si el repetidor que estamos usando es bloqueado podemos quedarnos con el mismo software y simplemente configurarlo para que use nuevos repetidores. El diseño de repetidores fue puesto a prueba en China en septiembre del 2009, y decenas de miles de usuarios se movieron simplemente de los repetidores públicos a los repetidores puentes.
10. No se anuncia a sí misma como una herramienta de evasión
Muchas herramientas de evasión lanzan una gran campaña mediática. A los medios les gusta este enfoque y terminan incluyendo artículos en primera plana con titulares estilo “Hackers Americanos declaran la guerra a China!”. Pero mientras esta atención atrae soporte de voluntarios, ganancias y patrocinadores, la publicidad también atrae a los esfuerzos de los censores.
Los censuradores generalmente bloquean dos categorías de herramientas: 1) las que están trabajando realmente bien, lo que significa que tienen cientos de miles de usuarios y 2) las que hacen un gran ruido. En muchos casos la censura es menos acerca de bloquear todo el contenido sensible y más acerca de crear una atmosfera de represión para que las personas terminen censurándose a sí mismas. Artículos en la prensa amenazan retan un poco la apariencia que dan los censuradores de tener la situación bajo control y de esta manera los fuerzan a responder.
La lección aquí es que podemos controlar el paso de la carrera armamentística. Paradójicamente, aún cuando una herramienta tenga muchos usuarios, mientras a nadie se le ocurra hablar mucho de ella, tiende a pasar desapercibida. Pero si nadie habla de ella, ¿cómo los usuarios la llegan a conocer? Una salida de esta paradoja es hacer que se corra la voz de boca en boca y a través de redes sociales en ves de hacerlo por los medios más tradicionales. Otro enfoque es posicionar la herramienta en un contexto diferente; por ejemplo, presentamos TOR primariamente como una herramienta para la privacidad y para las libertades civiles, y no tanto como una herramienta de evasión. Desdichadamente este balance es difícil de mantener de frente a su incrementada popularidad.
Conclusiones
Este artículo explica algunos de los elementos que debemos considerar al evaluar las fortalezas y debilidades de una herramienta de evasión. He evitado intencionalmente trazar tabla comparativa con las diferentes herramientas y hacer marcas en cada categoría. No dudo que alguien haga eso eventualmente y sume cuantas marcas tiene cada herramienta, pero el punto no es encontrar la “mejor” herramienta. Tener una diversidad de herramientas de amplio espectro incrementan la robustez de todas las herramientas ya que los censuradores tienen que lidiar con cada estrategia por separado.
Debemos tener en cuenta que la tecnología no resolverá todo el problema. Después de todo, los cortafuegos son socialmente muy efectivos en esos países. Mientras más personas en países censurados estén diciendo “Estoy tan contento de que mi gobierno me mantenga a salvo en Internet” los retos sociales son al menos tan importantes como los técnicos. Pero al mismo tiempo, existen personas en cada uno de esos países que quieren saber y difundir información online, y una solución técnica fuerte es una pieza crítica del rompecabezas.
Roger Dingledine es el líder del Proyecto TOR, una organización norteamericana sin ánimo de lucro que trabaja en investigaciones de anonimato y desarrolla para organizaciones tan diversas como el Ejercito Americano, la Organización Frontera Electrónica, y la Voz de América. Adicionalmente a todos los roles que él funge en TOR, Roger también organiza conferencias académicas sobre anonimato, habla en una amplia variedad de foros de hackers y de la industria, y además da tutoriales de anonimato digital para las autoridades nacionales y foráneas.
Este artículo se distribuye bajo la licencia Creative Commons Attribution 3.0 United States License. Originalmente preparado para el compilado para “Indice de Censura” de marzo del 2010 y después adaptado para el foro “China Rights” en Junio del 2010 (Chinese translation). Última actualización el 25 de Mayo del 2010.