Tinfoleak sap on vius, on passes les vacances i què fas els dissabtes a la tarda
El programa d'anàlisi de Twitter fet per Vicente Aguilera s'ha presentat aquest dissabte a Barcelona al congrés No cON Name
BarcelonaSteve Wozniak, cofundador d'Apple, va fer 64 anys l'11 d'agost. Això es pot trobar a la Wikipedia, però no hi llegiràs que li van muntar una festa sorpresa 16 dies més tard, quan devia pensar que els seus amics se n'havien oblidat, i que les fotografies les va fer Jeff Cable, el fotògraf oficial del Comitè Olímpic dels EUA. Això ho sap Vicente Aguilera, que no és amic seu ni detectiu privat; és l'expert en seguretat informàtica que ho ha explicat aquest dissabte a centenars de col·legues al congrés de 'hackers' No cON Name, que es fa aquests dies a Barcelona.
Aguilera, que feia una demostració de l'última versió del programa Tinfoleak, també ha ensenyat on viu l'actor i director Santiago Segura –que fa una mitjana de 25 tuits al dia–, i on és la casa de Nicholas Stoller, el guionista de 'Sex tape, algo pasa en la nube'. Stoller va escriure una comèdia sobre les conseqüències de pujar un vídeo íntim al núvol d'Apple i difondre'l sense voler-ho, però no va tenir en compte que fer un tuit des de casa seva amb la geolocalització activada diu a tothom on viu. A tothom qui ho sap veure, esclar.
Amb Tinfoleak, Aguilera fins i tot ha pogut saber on era dijous l'alcalde de Barcelona, Xavier Trias –o qui sigui que li escriu els tuits–, perquè Trias també inclou les coordenades geogràfiques del lloc on és a cada tuit. De fet, sense adonar-nos-en, ho fem molts usuaris de Twitter: a cada piulada hi incloem metadades que expliquen des d'on la fem. Mirades d'una en una no tenen per què ser un problema, ningú no sabrà que piules des de casa teva si no dius que ets a casa teva, però és molt fàcil despistar-se –com li va passar a Stoller– i, a més, Tinfoleaks permet anar molt més enllà. "Se'ns vigila contínuament, som fàcilment traçables", ha avisat l'expert en començar la presentació.
Enginyeria social
Per saber on viu Santiago Segura, Aguilera ha ordenat a Tinfoleak que analitzés els últims 800 tuits del director de 'Torrente' i li indiqués quins són els llocs des d'on ha piulat més sovint. El programa ha respost amb una llista de localitzacions que indicava el nombre de tuits que s'havien fet des d'allà, quins dies de la setmana ho havia fet i en quins horaris. El lloc on Segura ha fet més tuits, el primer de la llista, és l'únic des d'on ha piulat tots els dies de la setmana. És casa seva.
D'això, de saber entendre com ens comportem i aprofitar-ho per treure'n informació, els 'hackers' en diuen 'enginyeria social'. Si als teus tuits hi inclous dades de localització geogràfica només caldrà buscar les piulades que fas les nits d'entre setmana per saber on vius. Els vespres d'estiu et diran on és la teva segona residència. Les nits dels divendres, els restaurants on sols anar; els dissabtes a la tarda, quines aficions tens, etc.
Si vols estar ben segur de no donar informació de més val la pena que comprovis la configuració del teu compte de Twitter. Clica a la teva fotografia d'usuari que hi ha a dalt a la dreta, vés a 'Configuració' i comprova l'apartat de 'Seguretat i privacitat', a l'opció d''Ubicació del tuit'. Si la tens marcada, inclous informació geogràfica a cada piulada.
Cal tenir en compte que tot el que s'aconsegueix saber amb el programa és informació pública: l'ha feta pública qui l'ha piulada; per tant, en fer-lo servir, no es comet cap mena d'il·legalitat. No s'entra en cap sistema ni es vulnera la intimitat de l'autor dels tuits. Per això cal saber bé què es fa quan es publica res a les xarxes socials.
Tinfoleak no és l'únic programa d'aquesta mena que hi ha a internet, tot i que segons Aguilera sí que és el més flexible i potent. La versió que trobareu a la web, per ara, és la primerenca, que va fer fa més d'un any. Però en una setmana espera publicar la que ha presentat aquest dissabte a Barcelona i que inclourà un manual d'ús. Això sí, no és apte per a tothom: funciona amb un sistema operatiu Linux, no té interfície gràfica i cal escriure les ordres al terminal d'ordres. Per fer-lo servir com a mínim cal saber fer anar Linux, tot i que tampoc és necessari ser un expert o un informàtic.
Usos policials
Aguilera té clar que sovint "no som conscients de la quantitat d'informació que donem cada vegada que fem un tuit", sobretot si, a més d'analitzar-los d'un en un, s'estudien en grup. Tinfoleak permet investigar usuaris concrets, àrees determinades, internautes que facin servir un 'hashtag', etc. Un cap massa escrupolós fins i tot podria fer servir el programa perquè busqués entre els seus treballadors de què piulen en hores de feina, o demanar-li al programa que llisti els tuits que hagin fet amb comentaris negatius sobre la feina. Als Estats Units els cossos de seguretat ja fan servir per investigar un programa amb algunes característiques semblants però que és de pagament –Geofeedia–, assegura Aguilera, que espera poder explotar comercialment Tinfoleak.
Amb una eina com Tinfoleak, per exemple, la policia podria saber quines piulades es fan en qualsevol zona on hi hagi hagut una manifestació que acabi amb avalots, repassar tot el que hi diguin per Twitter els que hi siguin, quines fotografies publiquen i utilitzar-ho com creguin convenient. I les fotografies diuen moltes coses: Tinfoleak pot llegir-ne les metadades –la informació que la càmera i l'ordinador inclouen a cada imatge– i és així com Aguilera sap qui i quan va fotografiar Wozniak, o que el fotògraf el va retratar a 109 centímetres de distància.
El congrés
Tot això, evidentment, la policia ja ho sap. José Nicolás Castellano, president del No cON Name –que va començar a Mallorca fa 15 anys, segons la Hack Story–, explica que al congrés cada any hi vénen representants de tota mena de cossos policials i administracions. Si al principi tenien un centenar d'assistents aquest any se n'hi han apuntat 450. És el congrés de seguretat informàtica més veterà de l'Estat i cada vegada té més importància al sector.
Els aspectes que es tracten al No cON Name –literalment, 'el congrés sense nom'– també han anat canviant amb el temps i cada vegada tenen un rerefons més social, segons Castellano. Aquest any, per exemple, s'hi parla de maneres de guardar arxius en un ordinador perquè siguin indetectables, de l'extorsió i assetjament sexual a través d'internet, d'atacs cibernètics a 'drones' controlats per wifi, de la seguretat de la banca en línia i de la neutralitat de la xarxa.