WikiLeaks i the Guardian: publicar una contrasenya sempre és una mala idea

Article publicat a Enfocant el 5 de setembre de 2011.

Fa 9 mesos WikiLeaks estava en boca de tots. El 28 de novembre del 2010 cinc diaris (El País, Le Monde, Der Spiegel, The Guardian i The New York Times) començaven a publicar els cables enviats entre el Departament d’Estat dels Estats Units i les seves ambaixades arreu del món: el que poc després s’anomenaria cablegate. WikiLeaks els publicava a través d’aquests diaris per aconseguir un major impacte de la informació i també perquè la quantitat de material a tractar era tal que se li feia impossible la tasca per si sola: calia editar les referències i noms d’informadors.

Ara resulta que la totalitat dels cables diplomàtics americans està disponible a la xarxa en un arxiu encriptat, i que la clau per desencriptar-lo ha estat publicada en un llibre (notícia a The Guardian i a WikiLeaks). Tot plegat, per un cúmul d’errors i mala pràctica de diversa gent. Una bona explicació de tota la història surt publicada a Der Spiegel, i la clau per desencriptar l’arxiu al blog de Bruce Schneier (a més d’al llibre “Inside Julian Assange’s War on Secrecy”, del periodista de The Guardian David Leigh). Resumint, la història és la següent:

  1. David Leigh (de The Guardian) i Julian Assange (WikiLeaks) es reuneixen, i acorden que Assange donarà a Leigh una còpia encriptada d’un arxiu amb tots els cables.
  2. L’arxiu es penja temporalment a una URL amagada, i Assange dóna la contrasenya per desencriptar-lo a Leigh.
  3. Leigh descarrega l’arxiu, que després és esborrat de l’adreça.
  4. Daniel Domscheit-Berg i Julian Assange es piquen, i el primer abandona WikiLeaks amb una còpia de gran part de la seva informació (que inclou, aparentment sense el coneixement de Domscheit-Berg, l’arxiu encriptat amb els cables). Domscheit-Berg funda OpenLeaks.
  5. Després dels atacs DDoS i de perdre el suport de companyies com Amazon, PayPal i Mastercard, es creen mirrors i també es posa la informació a BitTorrent. Aparentment, tant els primers mirrors com la informació a BitTorrent inclouen l’arxiu encriptat amb els cables.
  6. El Caos Computer Club expulsa Daniel Domscheit-Berg.
  7. Algú revela a Der Freitag que la contrasenya està a un llibre de Leigh. El diari no ho publica directament, però quasi, i a la gent li costa poc sumar 2 i 2 s’acaba descobrint.

Ara WikiLeaks acusa The Guardian i David Leigh de què els cables siguin ara totalment accessibles, i ells ho neguen i s’hi tornen. En fi, us recomano que us llegiu la història completa a Der Spiegel (en anglès). També us recomano que a partir d’ara tracteu la informació de The Guardian sobre el tema amb desconfiança: estan a la defensiva i no paren de dir barbaritats.

Tot plegat fa pensar unes quantes coses. Primer, que els periodistes haurien de tenir una mica de formació en criptografia. Com pot ser algú capaç de publicar en un llibre la clau d’un arxiu encriptat? Segons The Guardian,

No té sentit suggerir que el llibre sobre WikiLeaks de The Guardian ha compromès la seguretat en cap manera.

El nostre llibre sobre WikiLeaks es va publicar el febrer passat. Contenia una contrasenya, però no detalls de la localització dels arxius, i ens havien dit que era una contrasenya temporal que expiraria i seria esborrada en qüestió d’hores.

Evidentment, les contrasenyes no són temporals. En tot cas ho són els arxius, i sempre és una mala idea publicar una contrasenya (no saps mai qui pot haver fet una còpia de l’arxiu). Com diu un dels comentaris a l’article de Bruce Schneier:

Això em fa recordar una cita de Dilbert:

L’estupidesa és com el combustible nuclear: es pot fer servir pel bé o pel mal. Però en qualsevol cas, no vols estar-hi gaire a prop.

En aquest cas, l’estupidesa a The Guardian ha arribat a la massa crítica.

I encara un altre comentari:

Una suggerència per als autors de nous llibres:

“Aquesta història està basada en fets reals. Només els noms I LES CONTRASENYES s’han alterat per a protegir els innocents”