Wikileaks i the Guardian: publicar una contrasenya sempre és una mala idea
La setmana passada Wikileaks va anunciar que publicaria tots els cables dimplomàtics de les ambaixades dels Estats Units (el conegut com a cas cablegate) sense editar; és a dir, sense cap alteració que amagués, per exemple, els noms dels informadors. La raó per fer-ho és que la contrasenya que protegia l’arxiu encriptat amb tota la informació havia estat publicada obertament per l’editor executiu d’investigacions del diari anglès the Guardian, David Leigh, en el seu llibre sobre Wikileaks, i que per tant ja no tenia sentit seguir protegint la informació. Tanmateix, ara els principals diaris que van començar publicant el cas cablegate —inclòs El País— han emès un comunicat condemnant la decisió de Wikileaks (perquè desprotegeix les fonts) però no l’error de David Leigh i the Guardian.
Fa 9 mesos WikiLeaks estava en boca de tots. El 28 de novembre del 2010 cinc diaris (El País, Le Monde, Der Spiegel, The Guardian i The New York Times) començaven a publicar els cables enviats entre el Departament d’Estat dels Estats Units i les seves ambaixades arreu del món: el que poc després s’anomenaria cablegate. WikiLeaks els publicava a través d’aquests diaris per aconseguir un major impacte de la informació i també perquè la quantitat de material a tractar era tal que se li feia impossible la tasca per si sola: calia editar les referències i noms d’informadors.
David Leigh (de The Guardian) i Julian Assange (WikiLeaks) es reuneixen, i acorden que Assange donarà a Leigh una còpia encriptada d’un arxiu amb tots els cables.
L’arxiu es penja temporalment a una URL amagada, i Assange dóna la contrasenya per desencriptar-lo a Leigh.
Leigh descarrega l’arxiu, que després és esborrat de l’adreça.
Daniel Domscheit-Berg i Julian Assange es piquen, i el primer abandona WikiLeaks amb una còpia de gran part de la seva informació (que inclou, aparentment sense el coneixement de Domscheit-Berg, l’arxiu encriptat amb els cables). Domscheit-Berg funda OpenLeaks.
Després dels atacs DDoS i de perdre el suport de companyies com Amazon, PayPal i Mastercard, es creen mirrors i també es posa la informació a BitTorrent. Aparentment, tant els primers mirrors com la informació a BitTorrent inclouen l’arxiu encriptat amb els cables.
Algú revela a Der Freitag que la contrasenya està a un llibre de Leigh. El diari no ho publica directament, però quasi, i a la gent li costa poc sumar 2 i 2 s’acaba descobrint.
Ara WikiLeaks acusa The Guardian i David Leigh de què els cables siguin ara totalment accessibles, i ells ho neguen i s’hi tornen. En fi, us recomano que us llegiu la història completa a Der Spiegel (en anglès). També us recomano que a partir d’ara tracteu la informació de The Guardian sobre el tema amb desconfiança: estan a la defensiva i no paren de dir barbaritats.
Tot plegat fa pensar unes quantes coses. Primer, que els periodistes haurien de tenir una mica de formació en criptografia. Com pot ser algú capaç de publicar en un llibre la clau d’un arxiu encriptat? Segons The Guardian,
No té sentit suggerir que el llibre sobre WikiLeaks de The Guardian ha compromès la seguretat en cap manera.
El nostre llibre sobre WikiLeaks es va publicar el febrer passat. Contenia una contrasenya, però no detalls de la localització dels arxius, i ens havien dit que era una contrasenya temporal que expiraria i seria esborrada en qüestió d’hores.
Evidentment, les contrasenyes no són temporals. En tot cas ho són els arxius, i sempre és una mala idea publicar una contrasenya (no saps mai qui pot haver fet una còpia de l’arxiu). Com diu un dels comentaris a l’article de Bruce Schneier:
Això em fa recordar una cita de Dilbert:
L’estupidesa és com el combustible nuclear: es pot fer servir pel bé o pel mal. Però en qualsevol cas, no vols estar-hi gaire a prop.
En aquest cas, l’estupidesa a The Guardian ha arribat a la massa crítica.
