Resolent alguns dubtes sobre el funcionament de la Bústia Ètica

El passat 19 de gener es posà en marxa la Bústia Ètica i de Bon Govern de l’Ajuntament de Barcelona, una bústia de denúncies ciutadanes contra la corrupció o altres pràctiques lesives per al bon govern de la ciutat.

El dispositiu digital, gestionat per l’Ajuntament de Barcelona, ha estat instal·lat amb la col·laboració i assessorament d’Xnet i és un dispositiu pioner per a la denúncia de corrupció i la protecció dels alertadors alhora.

Des d’Xnet, em fet molt d’èmfasi en el fet que la Bústia empri les eines digitals necessàries que permetin als ciutadans que denunciïn mantenir el control i la garantia de la seva seguretat i anonimat.

A continuació, una sèrie de respostes a les qüestions plantejades per Aniol Maria en el seu post “La bústia de les filtracions“.

Agraïm també el fet que hagi donat peu a aclarir algunes qüestions freqüents sobre la Bústia que poden ser d’utilitat per tothom.

Respecte a l’ús anònim de la Bústia amb Tor:
La Bústia Ètica està preparada per accedir-hi de manera anònima a través de la xarxa i navegador Tor. Navegant mitjançant Tor, la connexió passa a través d’una sèrie de túnels xifrats en lloc de fer-se una connexió directa, la qual cosa emmascara la IP de la connexió, protegint així la identitat del denunciant.

L’accés a la Bústia a través de Tor és, tal com s’explica a la web, una mesura opcional. És responsabilitat de l’Ajuntament oferir aquesta opció absolutament indispensable perquè el denunciant pugui tenir la seguretat que la seva identitat romandrà anònima fins i tot a nivell d’IP. Ara bé, un usuari de la Bústia també pot decidir que no necessita aquest nivell d’anonimitat total, que requereix prendre una sèrie mesures tècniques extra, i vol simplement enviar una informació a través de la Bústia que en tot cas romandrà confidencial d’acord amb els protocols de funcionament de la Bústia i que no posa en compromís la seva seguretat. La diferència entre aquestes dues opcions s’explica amb molta cura i claredat a la pàgina de la Bústia, més enllà d’això, aquesta és una decisió que ha de prendre el mateix denunciant en coneixement de la seva situació i sota la seva responsabilitat.

Acotar el funcionament de la Bústia per forçar que tots els ciutadans, vulguin o no romandre totalment anònims, hi accedeixin a través de Tor mitjançant un servei ocult, suposaria pujar el llindar de coneixements tècnics que podria tenir un efecte dissuasiu que perjudicaria l’objectiu final de la Bústia. Tot i que l’ús d’un servei ocult Tor és un suggeriment raonable, per la nostra experiència dels últims anys resulta més realista l’aproximació de donar ambdues opcions i explicar-ne clarament les diferencies al ciutadà perquè entengui la importància de l’ús de Tor i decideixi per si mateix.

Respecte a l’ús del sistema operatiu Tails:
Sens dubte, l’ús del sistema operatiu Tails (The Amnesic Incognito Live System), que suggereix Aniol Maria en el seu post, és una de les opcions més segures, si no la més segura, per navegar de manera anònima a la xarxa. El suggeriment d’utilitzar el sistema operatiu Tails en el cas de la Bústia Ètica però, restringiria molt les possibilitats de rebre informació. Molts ciutadans i/o funcionaris públics no tenen els coneixements tècnics avançats per a utilitzar aquest sistema operatiu. Des de la nostra experiència, les persones solen informar-se sobre com protegir-se depenent de la sensibilitat de l’informació en possessió i el grau dels riscos a que s’exposen [nota: estem a disposició de grups i persones per oferir-les informació al respecte i, en tot cas, suggerim que qualsevol persona interessada s’informi en aquest repositori de seguretat online: Security in a Box]. L’equilibri entre garantia de privacitat i d’anonimat enfront de la usabilitat de l’eina, ens sembla que es troba més balancejat mitjançant l’ús del navegador Tor, tal com s’explica i suggereix a la Bústia.
La xarxa Tor, que ha recolzat el llançament de la Bústia, sempre insisteix molt que Tor està pensat per afavorir l’anonimat de les persones amb poques competències tècniques, ja que qui en té de competències tècniques ja sap com protegir-se. La usabilitat per a tothom és un factor important.

Respecte a l’ús de Javascript:
L’ús de Javascript ha estat una opció escollida, en la mateixa línia, per la plataforma GlobaLeaks, el programari en el qual està basada la Bústia. Xnet també al principi del procés vàrem demanar el perquè d’aquesta elecció. GlobaLeaks explica com s’ha verificat la seguretat de les funcionalitats en les quals s’empra Javascript, necessàries per la correcta usabilitat de l’eina. En aquest sentit, el GlobaLeaks ha estat sotmès a múltiples proves professionals de penetració per comprovar-ne la seguretat. Cap d’aquestes auditories ha trobat problemes en el Javascript emprat que poguessin suposar una escletxa en la seguretat.
Els informes complets de les diverses proves de penetració estan disponibles a: https://github.com/globaleaks/GlobaLeaks/wiki/Penetration-Tests.
El navegador Tor, de manera nativa i per defecte, porta totes les funcionalitats de JavaScript habilitades. Tot i així, un usuari pot, mitjançant aquest complement, bloquejar el Javascript de la Bústia, analitzar-ne la legitimitat per a la funcionalitat de l’eina, i desbloquejar-los a continuació per fer-la servir.

Cal destacar finalment, que el programari Globaleaks (igual que Tor) és de codi obert, i per tant, a la vista de tothom i sota la vigilància d’una gran comunitat de programadors que poden supervisar el seu correcte desenvolupament i seguretat i que, a més, hi poden aportar millores. Globaleaks també compta amb una plataforma internacional oberta i transparent on convida a la comunitat de desenvolupadors i usuaris a informar de qualsevol presumpta vulnerabilitat perquè s’investigui i, si s’escau, es corregeixi https://hackerone.com/globaleaks

Esperem que les explicacions hagin estat d’utilitat i agraïm a Aniol Maria i a tota la ciutadania que treballa per millorar la nostra seguretat i drets a Internet per la feina compartida i col·lectiva.

Afegeix un comentari