08.10.2017 - 22:00
|
Actualització: 08.10.2017 - 22:06
El País va publicar aquesta setmana passada una notícia amb un titular molt alarmista per obrir l’edició digital: ‘La Generalitat deixa al descobert dades personals de tots els catalans amb dret de vot‘. I ho sostenia amb l’opinió explicada a Twitter per un informàtic (que ja deia que no era pas expert en ciberseguretat). Segons ell, el govern ‘va deixar exposades a frau cinc milions de persones per haver-se difós a internet els cinc últims dígits del DNI i la lletra, la data de naixement, el codi postal i el col·legi on li corresponia de votar’.
En resum, l’explicació que feien era que el sistema disposava d’un codi per a desxifrar l’algoritme de combinació dels cinc últims números i la lletra del carnet d’identitat, la data de naixement i el codi postal; però que aquest codi disposa d’un nombre limitat de combinacions, és a dir, els 365 dies de l’any, les 23 possibles lletres del DNI…, que un ordinador podria anar provant ‘fins a desxifrar casos particulars’.
Però poc després van anar apareixent anàlisis que desmuntaven aquest titular alarmista d’El País. El grup activista Xnet, després d’haver consultat experts en criptografia, ha publicat un comunicat que diu: ‘Amb les dades que tenim ara, podem dir que la seguretat del cens és bona fins i tot en comparació amb els censos del govern espanyol.’ I afegeix: ‘Per al cas del cens de Catalunya, les mesures de seguretat aplicades han estat òptimes respecte del valor de les dades en risc: DNI (truncat, només les 5 últimes xifres), codi postal i data de naixement. Dades que podrien aconseguir-se de manera molt més fàcil amb atacs de força bruta o un altre tipus d’atacs en altres registres. Així doncs, l’estratègia de la Generalitat ens sembla una arriscada encara que funcional i prou segura solució d’urgència.’
Un atac de força bruta –de la mena que El País suggeria que podia exposar les dades dels votants– consisteix a provar repetidament moltes combinacions per trobar la correcta que desxifraria els DNI amb la data de naixement i el codi postal.
Hi ha hagut anàlisis en aquest sentit com les que explicava fa uns dies aquest article d’El Confidencial, que certificava que la manera com la Generalitat va publicar el cens a la xarxa havia estat ‘brillant’. Segons que diu, caldria un ordinador d’una potència tan gran que econòmicament seria prohibitiu per un ‘hacker qualsevol’ i trigaria anys a obtenir totes les combinacions de dades que permetrien de desxifrar el codi. I tot plegat per a obtenir unes dades de valor dubtós, si més no per a una inversió de temps i de diners tan gran.
La Xnet ha consultat més experts en criptografia per a confirmar aquestes conclusions, i diuen això: ‘Segons la nostra opinió professional, els autors no han posat en perill les dades personals del cens de Catalunya atès que el procediment de xifratge seguit va en la línia de les normes estàndard en aquesta matèria. Tot i que l’escenari d’atac de força bruta pugui ser plausible, la relació entre les dades obtingudes respecte de la inversió econòmica en tecnologia requerida no resulta rendible.’
Diu la Xnet: ‘La suposada filtració de dades de la qual parla El País i el seu titular alarmista es redueix a: amb prou temps lliure i sabent els darrers 5 dígits del DNI d’algú, algú podria arribar a endevinar-ne… l’edat i el barri. Una cosa bastant ineficient per a aquest lladre de dades, tenint en compte que l’administració publica i la seva pèssima gestió de les nostres dades privades ha deixat durant anys altres maneres millors d’obtenir massivament dades més detallades dels ciutadans.’
