De Godzilla a Ricardo III
En el post de la semana pasada expusimos la teoría del dataísmo, que es la forma de organización del poder sobre la que, para bien o para mal, nuestras sociedades postindustriales se están reorganizando. Como prueba de ello, esta semana queremos volver a una historia muy comentada que muestra que el dataísmo ya está en acción. Es la historia del desbloqueo del iPhone del terrorista de San Bernardino. Una historia que, entre otras cosas, muestra la ineptitud de aquellas agencias estatales de vigilancia e inteligencia que jugaron un papel importante e inquietante durante todo el período de la Guerra Fría.
Érase una vez, estas agencias, como aterradoras Godzillas, perturbaban mentes alucinatorias como la de William Burroughs o visionarias e hipersensibles como la de George Orwell. Sin embargo, incluso la gente común los vivió como una pesadilla. Estas agencias podrían derrocar gobiernos, asesinar a jefes de estado hostiles y finalmente controlar la vida de las personas y someterlas a ciertas reglas si se desvían de ellas. La amenaza fue quizás más percibida que real, pero en cualquier caso afectó el comportamiento. Por supuesto, la increíble intervención desplegada del FBI sobre los correos electrónicos de Hillary Clinton a pocos días de las elecciones parece devolver el protagonismo a las agencias de vigilancia e inteligencia pero, más allá del caso en sí, la realidad es ahora muy diferente a como se ve. Hoy esas mismas agencias son una especie de Ricardo III en el epílogo de la tragedia de Shakespeare. Su inmenso y opaco poder se desplaza hacia aquellas empresas que con software controlan el big data y los dispositivos conectados que usamos durante muchas horas al día.
¿A quién queremos dar big data?
Los expedientes de las personas ahora están encapsulados en nuestros iPhones o, más sutilmente, en los servidores de Google o Facebook. Se ve peor que antes, en la superficie, porque estas empresas están alejadas de cualquier control democrático o institucional posible, control que de alguna manera podría ejercerse sobre las agencias de inteligencia. Pero no es así. En última instancia, Google y compañía. hacen un uso "inocente" de los datos en comparación con el uso potencial que estas agencias podrían hacer de ellos, si se los dirige incorrectamente. El comercio y la publicidad son mucho menos peligrosos que las guerras, la política o una seguridad pública mal definida, en cuyo nombre todo vale.
Con el big data y las redes sociales hemos entrado en la era del dataísmo generalizado y compartido, una era en la que las agencias de inteligencia e investigación deben reinventarse, redimensionarse y dedicarse a su perdida misión original que es estar al servicio de la comunidad en el como un todo.
No es que el dataísmo sea Eldorado. Ni mucho menos, como nos muestra un inspirado narrador como Dave Eggers en su The Circle (El círculo, Mondadori), pero es mejor que el antiguo régimen de agencia. Mucha gente se siente más segura con Apple de Tim Cook, con Montessori Larry Page y Google de Sergey Brin, con Facebook del supergeek Mark Zuckerberg, con el hierático Microsoft de Satya Nadella o con el libertario Amazon de Jeff Bezos. Si realmente hay que elegir, como en el referéndum, es mejor elegir el mal menor; ellos en lugar de la NSA, el Mossad, la KGB o el SISMI (o como se les llama hoy).
Que agencias como la CIA estuvieran algo oxidadas y miraran el mundo por el espejo retrovisor se puede entender simplemente leyendo el sustancioso informe del comité del Congreso sobre los ataques del 11 de septiembre o, más recientemente, escuchando en televisión la historia de la investigación del FBI sobre el atentado de San Bernardino. The Economist se centró en un detalle de esta encuesta que muestra cuánto deben preocuparse los ciudadanos estadounidenses por el estado de su agencia federal de investigación. Para los lectores italianos, hemos traducido este artículo titulado Seguridad de datos: esa es la forma de hacerlo. En Cambridge, don le muestra al FBI cómo ahorrar dinero en la piratería telefónica. Disfruta de la lectura.
El FBI persiguiendo mariposas
En febrero, la agencia federal de investigación (FBI) y la policía llevaron a los tribunales a Apple, el gigante tecnológico. La disputa se refería a un iPhone que pertenecía a Syed Farook, un terrorista que, con su esposa, disparó y mató a 14 personas en San Bernardino, California, en diciembre de 2015. Farook murió posteriormente en un tiroteo con la policía.
El FBI le había pedido a Apple que configurara un sistema operativo para desbloquear el iPhone de Farook y acceder a los datos almacenados en el teléfono. Apple había respondido que esto no era factible porque pondría en peligro la seguridad de todos los iPhone en circulación. El FBI, por otro lado, insistió en que no había otra forma de acceder a datos confidenciales en el teléfono del terrorista, datos potencialmente estratégicos para identificar posibles cómplices.
Los expertos en seguridad ya habían arrojado algunas dudas sobre el razonamiento de la agencia. Un estudio publicado por Sergei Skorobogatov, informático de la Universidad de Cambridge, confirmó que el escepticismo de estos expertos estaba bien fundado. El iPhone de Farook podría haberse desbloqueado en un par de días utilizando dispositivos electrónicos disponibles comercialmente por menos de $100.
El sistema de seguridad de datos del iPhone
El problema al que se enfrentaba el FBI era acceder a un iPhone encriptado como cualquier otro iPhone del planeta. Además, el teléfono estaba bloqueado con un PIN. El cifrado de datos significa que la información personal de un usuario se almacena junto con una gran cantidad de galimatías que la hace ininteligible. Para leer la información, el iPhone debe estar desbloqueado ingresando el PIN correcto. Esto no es un gran obstáculo. Por defecto, el PIN consta de cuatro dígitos que solo pueden dar lugar a 10 combinaciones posibles. En principio, es fácil probar todas las combinaciones posibles hasta dar con la correcta por casualidad.
Pero el iPhone contiene una función diseñada por Apple para dificultar esta fuerza brutal. Después de ingresar seis PIN incorrectos, el usuario debe esperar un minuto para ingresar uno nuevo, esta espera aumenta progresivamente a medida que se ingresan nuevos PIN incorrectos. Después de diez intentos fallidos de desbloqueo, el sistema operativo le indica al iPhone que destruya todos los datos que contiene.
En el momento de la demanda del FBI, varios expertos independientes sugirieron que el FBI intentara la recuperación de datos con algo llamado "duplicación NAND" (NAND se refiere al tipo de memoria utilizada en los teléfonos inteligentes). Pero James Comey, el director del FBI, había insistido en que este sistema no funcionaría. y estaba equivocado
Si $100 es suficiente en lugar de $1,3 millones, ¿qué significa eso?
Eso es exactamente lo que le demostró Skorobogatov al mostrar y filmar una operación realizada en un iPhone con duplicación NAND. La duplicación NAND hace una copia desprotegida de la memoria del iPhone en otra memoria. Con esta respuesta desprovista de cifrado, Skorobogatov comenzó a intentar adivinar el PIN con posibles combinaciones. En este punto el sistema operativo del iPhone ha aceptado todos los intentos, evitando bloqueos temporales y destrucción de datos. Esto le permitió forzar el PIN con seis intentos consecutivos a la vez. Cada PIN debe ingresarse manualmente, lo que hace que la operación sea bastante laboriosa. Además, es necesario reiniciar el iPhone con cada serie de intentos: el reinicio tarda unos segundos. Una comprobación exhaustiva de las 10 variantes del PIN de cuatro dígitos requiere unas 40 horas de trabajo, aunque el tiempo medio para conseguir la combinación correcta es aproximadamente la mitad.
Entonces, uno se pregunta por qué el FBI pensó que ir a la corte era la única forma de recuperar los datos del teléfono de Farook. La sospecha es que ha elegido este camino para sentar un sólido precedente legal que obligue a las empresas tecnológicas a darle lo necesario en tales situaciones. Con esto en mente, se eligió este caso que fue profundamente sentido por la opinión pública para poner a Apple en una mala posición, en caso de negativa.
Cualquiera que sea el razonamiento, la agencia se retiró de la demanda justo antes de que comenzara el juicio. Eventualmente, el FBI encontró una manera de obtener lo que estaban buscando, que es el acceso a los datos del iPhone del terrorista. Pero no lo hizo como mostró Skorobogatov. Pero de una manera que realmente te deja atónito. De hecho, algunas fuentes apuntan a que la agencia pagó a una empresa de ciberseguridad israelí poco conocida una suma de 1,3 millones de dólares para desbloquear el iPhone. Según las pruebas del Dr. Skorobogatov, pagó una prima de 1.299.900 dólares.
Es difícil estar de acuerdo con algo que sale de la boca de Donald Trump, pero es difícil estar en desacuerdo con él cuando dice que estamos en manos de "idiotas". Entre estos debemos incluir al mismo que apoyó al FBI en esta disputa con tonos amenazantes hacia Apple y otras empresas tecnológicas.
