<p dir="ltr">Este mail que mandaron a la lista de hactivistas me parece que puede interesarnos ... </p>
<p dir="ltr">Saludos</p>
<p dir="ltr">Camikant </p>
<div class="gmail_quote">---------- Mensaje reenviado ----------<br>De: "Atheena" <<a href="mailto:atheena@cryptolab.net">atheena@cryptolab.net</a>><br>Fecha: mar 22, 2014 8:32 a.m.<br>Asunto: [hs] ¿Por qué Rise Up? Reflexiones y dudas al respecto.<br>
Para: <<a href="mailto:hacktivistas@listas.sindominio.net">hacktivistas@listas.sindominio.net</a>><br>Cc: <br><br type="attribution">
<div text="#000000" bgcolor="#FFFFFF">
Rise Up es un proveedor de servicios muy interesante y es obvio que
es bastante popular en esta lista, sobre todo, para usar su servicio
de correo electrónico.<br>
<br>
Supongo que cada uno tendrá sus propios motivos, pero me puedo
intuir que mucha gente está buscando un correo alternativo al Gran
Hermano (Google, Microsoft, Yahoo, etc) con intención de reforzar la
privacidad. Puedo imaginarme también que la gente de RiseUp tiene
deshabilitados los logs y sólo guarda la información necesaria para
el correcto funcionamiento del sistema.<br>
<br>
<b>PERO</b>.<br>
<br>
Pero hay algo que me chirría cosa fina. RiseUp está en EEUU,
precisamente donde el poder de la NSA es absoluto, y además existe
el respaldo de leyes completamente abusivas que se escudan en la
seguridad nacional para cometer todo tipo de abusos.<br>
<br>
Mi idea no es señalar a RiseUp como un Caballo de Troya. La idea es
recordaros que aun en el caso de que esta gente tenga la mejor de
las intenciones¹, y los conocimientos adecuados para hacer su
trabajo correctamente², si hay un sitio en el mundo donde sus
servicios van a ser sometidos a posibles ataques legales y no tan
legales es en EEUU.<br>
<br>
Por ejemplo, aunque RiseUp deshabilite los registros locales para
evitar asociaciones de cuenta de correo e IP de conexión, el hecho
es que están dentro de las redes de datos americanas, así que los
procesos de recolección de información pasiva en nodos centrales
funcionan a las mil maravillas. Aunque para realizar esa recolección
pasiva de metadatos también tienen servidores controlados en el
extranjero, es de pura lógica que es en su casita donde su capacidad
es máxima. En países europeos o asiáticos, por ejemplo, aunque fuese
con un margen pequeño, quizás sus capacidades sean menores. <br>
<br>
También es de esperar que los ataques activos, como los MITM o de
lanzamiento de malware, sean especialmente efectivos en sus propias
redes. El caso es que todos estos mecanismos ilegales activos o
pasivos, en su casita, están al 100% de sus capacidades.<br>
<br>
Por otro lado tenemos los mecanismos legales, como las ordenes
judiciales para secuestrar un servidor. Aquí y en principio, si
pensamos en logs efectivamente al estar desactivados no se puede
recuperar ninguna información. Eso es lo que pasó a los de RiseUp
cuando les quitaron unos servidores en 2003. Pero... también
conocemos ahora que la NSA trabaja en implantes hardware que activan
capacidades de espionaje allá donde son colocados. ¿Qué les impide
hacer una orden legal de secuestro de un servidor con cualquier
excusa real o fabricada, para inmediatamente colocar uno de estos
caballos de troya que anulen por completo la seguridad que los
operadores hayan intentado configurar? Los servidores que se
capturaron en 2003, después del proceso fueron devueltos a sus
dueños obviamente. Parece que hoy en día, un servicio como RiseUp
debería destruir cualquier hardware que haya caído en manos del
gobierno antes de volver a usarlo. No sé si lo hicieron... <br>
<br>
Yo si trabajase en la NSA, os puedo asegurar que entre proyecto y
proyecto me encargaría de poner manos a la obra a algunos de mis
empleados para que al menos algún servidor de RiseUp y otras
organizaciones del estilo en mi territorio acaben troyanizadas. Vaya
que sí.<br>
<br>
<b>¿Y entonces qué?</b><br>
<br>
Que existen muchos más proveedores de correo alternativos, muchos
fuera de la jurisdicción de EEUU, y aunque sus tentáculos lleguen
lejos cualquier cosa que no sea sentarse en su regazo me parece
mejor. ¿Estás libre en países europeos? Probablemente no, que aquí
los servicios de inteligencia también intentarán lo mismo aunque
quizás con menor capacidad. Por eso, y porque los americanos si
quieren ya intentarán vulnerar el software en alguna capa mediante
ataques remotos de todo tipo. Pero que oye, que cuando se habla de
privacidad, si pones tus servicios precisamente dentro de su
territorio... pues es que lo estás poniendo a huevo. Cuanto más
lejos de los que tienen más capacidades mejor. La idea es evitar a
los Five Eyes (Australia, Canada, New Zealand, the United Kingdom
and the United States), y también deberíamos incluir a China, Rusia
y Alemania probablemente.<br>
<br>
Aquí unos cuantos proveedores más, para diversificar y recordar que
hay tierras más allá de RiseUp (con todos los respetos):
<a href="http://prxbx.com/email/" target="_blank">http://prxbx.com/email/</a><br>
<br>
<br>
[¹,²] - Si nos preocupa la seguridad, debemos aceptar que ni tienen
las mejores de las intenciones, ni son suficientemente competentes
para garantizar tu seguridad sin cometer errores en el proceso que
puedan ser aprovechados por atacantes externos.<br>
</div>
<br>_______________________________________________<br>
Hacktivistas mailing list<br>
<a href="mailto:Hacktivistas@listas.sindominio.net">Hacktivistas@listas.sindominio.net</a><br>
<a href="https://listas.sindominio.net/mailman/listinfo/hacktivistas" target="_blank">https://listas.sindominio.net/mailman/listinfo/hacktivistas</a><br>
<br></div>