lunes 21 de noviembre de 2011

El password secreto de Wikileaks

Cuando estuvo en boga todo el tema de Wikileaks y los 250.000 cables diplomáticos, apareció un archivo denominado "insurance.aes256" en Internet. El archivo supuestamente era una colección de documentos encriptados por Wikileaks, que tenían una contraseña secreta que se revelaría si le llegaba a pasar algo a Julian Assange.

Eventualmente Wikileaks se peleó con The Guardian y Guardian reveló el password. El resto es historia.

Qué password utilizaría Wikileaks para salvaguardar su información más valiosa, de la cual depende la existencia de su proyecto completo? Para los que tengan curiosidad, refiéranse a David Leigh en "Wikileaks: Inside Julian Assange's War on Secrecy":

Eventualmente, Assange concluyó. Tarde esa noche, después de un debate de casi dos horas, corrió el proceso en una de sus netbooks que le permitiría a Leigh bajar la colección completa de cables. El periodista de The Guardian tendría que instalar el sistema de encripción PGP en su laptop al otro lado de Londres. Luego tendría que ingresar una contraseña. Assange escribió en un papel:

ACollectionOfHistorySince_1966_ToThe_PresentDay#

"Esa es la contraseña", dijo. "Pero tiene que adicionarle una palabra más antes de ingresarla. Antes de History tiene que escribir Diplomatic. Puede recordar eso?"

"ACollectionOfHistorySince_1966_ToThe_PresentDay#". Buena contraseña, tengo que admitir. Tiene todo lo necesario para ser segura, y fácil de recordar:

  • Una frase con sentido para el dueño de la misma, lo cual la hace fácil de recordar.
  • Tiene una longtiud mucho más allá de los típicos 6 u 8 caracteres. Eso significa que se vuelve casi imposible descifrarla por prueba y error.
  • Contiene números
  • Incorpora caracteres especiales: _ y #
  • Mezcla mayúsculas y minúsculas. Aunque lo hace de una forma predecible. Pero teniendo en cuenta las demás características, alguien que la estuviera tratando de descifrar no avanzaría mucho si se le ocurriera que la contraseña tendría mayúsculas en la primera letra de cada palabra.
Assange fue inteligente al incorporar una medida de seguridad adicional. Escribió el password con una palabra faltante, y le indicó a Leigh cuál era y a dónde estaba el error. De esa forma, si Leigh era interceptado de camino, o simplemente dejaba perdido el papel en el bus, un tercero que se lo encontrara no podría tener acceso al archivo.

Ideas interesantes para la próxima vez que les pidan crear una contraseña.


De paso, el otro día vi que tan rápido como creció, Wikileaks parece estar cayendo. Actualmente están suspendidas las publicaciones de Wikileaks debido a falta de fondos, necesarios para pagar costos de operación y legales por cerca de $2 millones. De no haber revelado Leigh el password del archivo de cables, Wikileaks tendría todavía el control sobre su publicación y acceso, y probablemente no estaría en las dificultades en las que se encuentra.

Lo cual me recuerda una frase que leí alguna vez: "más que proteger un archivo, lo más importante es proteger su contraseña".

Publicado por en 07:00
Etiquetas: , , ,

1 comentarios:

MSB dijo...

Un día por cosas de la vida un programador de un sistema, tuvo que revelarme la contraseña, de su sistema, ese día aprendí como se hace una contraseña de verdad segura.

Ese password es similar a la forma de escribir algunos hashtag.

Saludos!

22 de noviembre de 2011 10:39

Publicar un comentario en la entrada

Suscribirse a: Enviar comentarios (Atom)