Jul 09, 2023
Hacktivistas de Cult of Dead Cow diseñan un sistema de cifrado para aplicaciones móviles
SAN FRANCISCO — Una vez conocido por distribuir herramientas de piratería y avergonzar a las empresas de software para que mejoraran su seguridad, un famoso grupo de activistas tecnológicos ahora está trabajando para desarrollar un sistema que
SAN FRANCISCO — Una vez conocido por distribuir herramientas de piratería y avergonzar a las empresas de software para que mejoraran su seguridad, un famoso grupo de activistas tecnológicos ahora está trabajando para desarrollar un sistema que permitirá la creación de aplicaciones de mensajería y redes sociales que no retendrán a los usuarios. ' información personal.
El grupo, Cult of the Dead Cow, ha desarrollado un marco de codificación que pueden utilizar los desarrolladores de aplicaciones que estén dispuestos a adoptar un cifrado sólido y renunciar a los ingresos de la publicidad dirigida a personas basadas en perfiles detallados recopilados de los datos que la mayoría de las aplicaciones ahora utilizan de forma rutinaria. recolectar.
El equipo se basa en el trabajo de productos gratuitos como Signal, que ofrece un cifrado sólido para mensajes de texto y llamadas de voz, y Tor, que ofrece navegación web anónima al enrutar el tráfico a través de una serie de servidores para ocultar la ubicación de la persona que realiza la navegación. buscar.
El último esfuerzo, que se detallará en la masiva conferencia anual de hacking Def Con en Las Vegas la próxima semana, busca proporcionar una base para la mensajería, el intercambio de archivos e incluso aplicaciones de redes sociales sin recolectar ningún dato, todo protegido por el tipo de software de extremo a extremo. -fin del cifrado que dificulta la interceptación incluso para los gobiernos.
Llamado Veilid, pronunciado vay-lid, los desarrolladores pueden utilizar el código para crear aplicaciones para dispositivos móviles o la web. Esas aplicaciones se pasarán contenido totalmente cifrado entre sí utilizando el protocolo Veilid, dicen sus desarrolladores. Al igual que con el software para compartir archivos BitTorrent, que distribuye diferentes piezas del mismo contenido simultáneamente, la red se volverá más rápida a medida que más dispositivos se unan y compartan la carga, dicen los desarrolladores. En estas redes descentralizadas “peer-to-peer”, los usuarios descargan datos entre sí en lugar de hacerlo desde una máquina central.
Al igual que con otros esfuerzos de código abierto, el desafío consistirá en persuadir a los programadores e ingenieros para que dediquen tiempo a diseñar aplicaciones que sean compatibles con Veilid. Aunque los desarrolladores podrían cobrar dinero por esas aplicaciones o vender anuncios, las posibles fuentes de ingresos están limitadas por la incapacidad de recopilar información detallada que se ha convertido en un método principal para distribuir anuncios dirigidos o presentar un producto a un conjunto específico de usuarios.
El equipo detrás de Veilid aún no ha publicado documentación que explique sus opciones de diseño, y el trabajo colaborativo en una aplicación de mensajería inicial, destinada a funcionar sin requerir un número de teléfono, aún no ha producido una versión de prueba.
Pero el proyecto naciente tiene otras cosas a su favor.
Llega en medio del desorden, la competencia y la voluntad de experimentar entre los usuarios de redes sociales y chat resentidos con Twitter y Facebook. Y refuerza la oposición a las crecientes medidas de los gobiernos, incluido últimamente Gran Bretaña, para socavar el cifrado fuerte con leyes que exigen la divulgación a pedido del contenido o las identidades de los usuarios. Apple, Meta, matriz de Facebook, y Signal amenazaron recientemente con retirar algunos servicios en Gran Bretaña si el proyecto de ley de seguridad en línea de ese país se adopta sin cambios.
Los activistas de derechos civiles y los partidarios del derecho al aborto también se han alarmado por el uso policial de mensajes enviados por texto y Facebook Messenger para investigar abortos en estados que han restringido el procedimiento.
"Es fantástico que la gente esté desarrollando un marco de cifrado de extremo a extremo para todo", dijo Cindy Cohn, directora ejecutiva de la organización sin fines de lucro Electronic Frontier Foundation. "Podemos superar el modelo de negocio de vigilancia".
El FBI no respondió a una solicitud de comentarios, pero las agencias encargadas de hacer cumplir la ley a menudo se quejan de que el cifrado de extremo a extremo dificulta escanear mensajes en busca de complots criminales y que la policía recupere pruebas después del hecho.
Después de tres años de codificación, Veilid llega al mundo con un pedigrí como pocos en el mundo de la piratería y la seguridad.
Veilid es el lanzamiento más significativo en más de una década de Cult of the Dead Cow, el grupo de hacking estadounidense más antiguo e influyente y los creadores de la palabra hacktivismo, que combina hacking y activismo. El grupo, que da nombre a su acrónimo cDc, toma su nombre de uno de los primeros lugares de reunión, un matadero abandonado en Lubbock, Texas.
Después de comienzos modestos escribiendo historias para los foros de anuncios en línea de la década de 1980 antes de la Web, cuando un adolescente Beto O'Rourke estaba activo en el grupo, Cult of the Dead Cow ahora incluye algunos de los nombres más importantes en ciberseguridad.
Dos estuvieron entre las primeras personas en emitir advertencias públicas sobre fallas de seguridad en software ampliamente utilizado y en coordinar las revelaciones con los proveedores mientras parcheaban los programas.
Ese par incluye a Peiter Zatko, ampliamente conocido como Mudge, quien fue gerente de programas en la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA) del Pentágono, y el jefe de seguridad del facilitador de pagos en línea Stripe. Más tarde fue contratado por el fundador de Twitter, Jack Dorsey, para supervisar la seguridad allí. El año pasado testificó ante el Congreso que las prácticas de Twitter eran tan malas que violaban los acuerdos previos de la compañía con la Comisión Federal de Comercio. La FTC ahora está investigando.
Otro, Christien Rioux, escribió una herramienta de código abierto para piratear máquinas con Windows, Back Orifice 2000, que fue lanzada en Def Con en 1999. Rioux luego cofundó Veracode, que creó programas para escanear software en busca de fallas de seguridad ocultas: esa compañía es ahora vale más de 2 mil millones de dólares.
Rioux y Zatko también pertenecían a un grupo llamado L0pht, que hace 25 años advirtió al Congreso que la infraestructura de Internet era desastrosamente insegura.
Rioux escribió la gran mayoría de las más de 100.000 líneas de código en el marco Veilid, mientras que otros miembros de CDC han participado en pruebas y críticas y han trabajado en políticas, documentación y las primeras aplicaciones.
“Puedes pensar en Tor como un sistema de privacidad para acceder a sitios web. Hace que su IP de origen sea anónima”, dijo Rioux a The Washington Post, refiriéndose a la designación numérica que a menudo se asigna a una única computadora rastreable. Pero Tor es complicado de usar, dijo Rioux, "no es muy compatible con dispositivos móviles y no es muy moderno en su forma de construcción".
“Esto es algo así como Tor, pero para aplicaciones. Todo el mundo tiene supercomputadoras en el bolsillo. ¿Por qué no hacer que la nube sea la computadora de todos?”
Rioux y otros que trabajan en Veilid dijeron que la clave era hacerlo fácil para los desarrolladores y usuarios, tan fácil como algo como Facebook. Las aplicaciones existentes podrían crear una versión que funcione con Veilid y hacer que sus usuarios puedan comunicarse sin que ningún tercero se dé cuenta.
El proyecto está dirigido por una fundación que ha solicitado el estatus de organización sin fines de lucro 501c(3). Los tres directores son Rioux, una miembro más reciente del CDC llamada Katelyn Bowden, y un compañero de viaje que estuvo activo en la escena del hacking de los años 90 y ha trabajado en seguridad desde entonces, Paul Miller.
Bowden, que ha pasado años defendiendo a las víctimas de la pornografía de venganza, dijo que estaba motivada por ayudar a aquellos con poco dinero o poder a tener las mismas comunicaciones seguras que los multimillonarios y expertos. Eso incluye a niñas y mujeres que buscan información sobre el aborto, quienes pueden ser traicionadas por aplicaciones de mensajería comunes.
"Es muy raro que te encuentres con algo que no venda tus datos", dijo Bowden. “Estamos brindando a las personas la posibilidad de optar por no participar en la economía de datos. … Devolverles el poder a los usuarios, darles control sobre sus datos y joder a estas personas que han ganado millones vendiendo información de época”.
Algunos ingenieros veteranos que probaron el código del proyecto dijeron que funcionó bien.
Uno de ellos, Kirk Strauser, dijo que estaba contento de que Rioux incorporara protocolos probados para el cifrado en lugar de intentar inventar todo desde cero.
Comparó a Veilid con el pionero del peer-to-peer Napster, algo revolucionario construido principalmente a partir de tecnologías que ya estaban disponibles en el mundo.
"Es una nueva forma de combinarlos para trabajar juntos", afirmó Strauser, arquitecto principal de seguridad en una empresa de salud digital.
Uno de los temas más complejos para Veilid es la moderación de contenidos, que ha estado entre los mayores problemas en Twitter y Facebook.
Algunos nuevos rivales de esas empresas establecidas, como Mastodon, han optado por lo que se conoce como federación, en la que grupos con sus propias reglas se conectan libremente con otros grupos.
Meta, matriz de Facebook, dice que hará que su nuevo rival de Twitter, Threads, sea compatible con Mastodon y otros. El asesor informal de Veilid, Micah Schaffer, dijo que esto demuestra que las grandes empresas planean utilizar la federación para “proporcionar esta ilusión de elección. Aceptan la federación de una manera que desvía la responsabilidad por su decisión de moderación: puedes simplemente ir a otro servidor”.
El cifrado completo significa que los moderadores no podrán ver las interacciones que sean dañinas, lo cual es una de las razones por las que la propia aplicación de redes de Veilid hará que los usuarios inviten a seguidores específicos.
"Veilid abre la puerta a una nueva generación de aplicaciones sociales que son más seguras por diseño", dijo Schaffer, quien creó el primer equipo de seguridad de YouTube y luego dirigió las políticas públicas en Snap.
Rioux dijo que espera que su charla con Bowden al abrir el primer día completo de Def Con, junto con un taller técnico y una fiesta, inspiren a la masa crítica de entusiastas que Veilid necesita para tener éxito.
"Def Con es un caldo de cultivo para usuarios y desarrolladores centrados en la privacidad", dijo. "Estamos lanzando en el lugar correcto para atraer a un grupo de personas muy interesadas".
El establishment de privacidad y seguridad estará observando de cerca lo que sucede.
"Estoy encantado de que estén tomando este toro por los cuernos", dijo el inventor Jon Callas, cofundador de PGP Corp. y las empresas de comunicaciones seguras Silent Circle y Blackphone. "Estoy deseando ver los detalles".