[ASLE] Wahay: conferencias de voip seguras y autónomas

Rafael Bonifaz rafael en bonifaz.ec
Jue Jul 30 15:35:58 CEST 2020


El 29/7/20 a las 19:55, quiliro escribió:
>>> Este proyecto combina las características de VoIP de Mumble con la
>>> seguridad y autonomía que proveen los servicios cebolla de Tor.
>> Justamente estaba por instalar un servidor Murmur porque he usado mucho
>> Mumble últimamente para evitar Wasapo y Zumba. Habiendo esta solución
>> libre y segura, la prefiero por la privacidad y por no haber necesidad
>> de servidor. Gracias.
> Parece que es una integración Mumble con Tor.  Levanta Grumble (servidor
> de Mumble) en el equipo de quien inicia la sala sobre una dirección
> Onion.  Me parece bueno.  Sin embargo, me gustaría saber por qué usar
> Wahay en lugar de usar Murmur con Mumble sobre Tor.

Wahay esta pensada como una aplicación de escritorio que cualquier
persona pueda utilizar sin conocimientos técnicos. Utilizar un servidor
Murmur implica saber instalar y configurar un servidor y además para
tener le mismo esquema de seguridad de Wahay deberías publicarlo como
servicio cebolla. Algo que es muy fácil para alguien con conocimientos
técnicos, pero que es muy complicado para personas no técnicas. En todo
caso no estaría de más invitar a las personas curiosas a probar hacer
esto, en el 2018 escribí un tutorial al respecto. En el mismo se usan
los servicios cebolla v2, ahora se utilizan los v3, pero por lo demás la
configuración debería ser prácticamente la misma.

https://medium.com/@facceso.ca/comunicaciones-secretas-y-aut%C3%B3nomas-de-voz-ip-con-mumble-3b3d3bad06c5

Con Wahay te podrías conectar a un servidor torrificado corriendo
Murmur. Desde un cliente Mumble torrificado te podrías conectar a una
conferencia de Wahay, por ejemplo utilizando Mumla en Android a
torrificando el tráfico a través de Orbot.

> Por otro lado, veo que el sistema solamente corre en distribuciones que
> no son libres.  ¿No es un problema de seguridad el cerrar la puerta
> delantera con cerrojos de titanio mientras se deja el patio trasero
> abierto para el ingreso?  Inclusive con TAILS se tiene drivers
> privativos que podrían poner al computador bajo el control del dueño
> de esos drivers.  Si no es software libre no hay seguridad.

Nosotros hacemos el software de conferencias de audio seguras y
autónomas Wahay, no las distribuciones. Proveemos paquetes para
distribuciones basadas en Debian y basadas en Red Hat. Estos paquetes
deberían ser compatibles con las mayorías de distribuciones. Para otras
distribuciones también proveemos el binario y lo único que necesitarías
para que funciones es instalar a mano las dependencias que no son
muchas: librerías de GTK3 (si usas GNOME, XFCE, ya está), Tor (mayor a
0.3.5) y xclip. Además si deseas podrías compilar el código fuente.

Entiendo yo que las distros libres se basan en otras no tan libres como
Debian y Ubuntu. El paquete para Debian o Ubuntu es prácticamente lo
mismo en el caso de Wahay. Si tienes chance de probar y ver como
funciona nos podrías ayudar a que incluyan Wahay en otras distribuciones.

Ahora depende mucho quién sea tu adversario. El tema de los drivers es
que alguien podría tratar de comprometer tu máquina. ¿Quién podría hacer
esto y darse el tiempo para hacerlo? Depende mucho de lo que estés
haciendo y quién sea tu adversario. Wahay te protege de alguien que
pueda espiar tu tráfico en red porque toda la comunicación va cifrada y
a través de Tor. No hay la opción de comunicación no cifrada en Wahay.
Te protege de un proveedor de servicios ya que no se necesita un
proveedor de servicios, ni siquiera de un sysadmin. Wahay no te protege
de un sistema comprometido.

>
> ¿Habrá alguna estrategia del CAD para sortear estos problemas de
> seguridad?

Nuestra estrategia de seguridad va enfocada a la aplicación no al
sistema operativo:

1) Autonomía a través de servicios cebolla de Tor.  Te evitar tener un
sysadmin o un proveedor de servicio que te pueda atacar. Nadie que no
participe en la reunión podrá saber lo que se dijo, ni siquiera que la
reunión existió. Claro al no ser que alguien en la reunión grabe la
conversación o avise que la conversación existió. Wahay tampoco te
protege de los malos amigos.

2) La comunicación es cifrada entre las personas que participan en la
reunión siempre. La excepción sería que la persona que aloje la reunión
no se conecte a la misma.

3) El servidor Mumble se ejecuta solo cuándo la reunión existe y la url
del servidor cambia siempre entre reuniones. Hace que cualquier falla de
seguridad que pueda existir solo pueda ser explotada durante la reunión.
Si tienes un servidor corriendo 24x7, esto es bastante más difícil de
solventar.


> --
> Ĝis revido,
> Quiliro
>
> Spanish/English
>
> Nota: Como la mayoría de la gente en el Mundo no habla inglés, la mejor
> manera de hacer lo que escribamos se encuentre disponible para todos
> (aparte de traducir a todos los idiomas) es publicarlo en esperanto.  Es
> más sencillo aprender esperanto que cualquier otra lengua extranjera.

Por lo pronto queremos hacerlo en español, sin embargo tenemos que
implementar el soporto multi-idioma en la página. Esto ya llegará en su
momento, un poquito de paciencia. Sobre lo de otros idiomas, incluido el
esperanto, creo que será más fácil aceptar contribuciones de la
comunidad. Por ahí nos ayudas con esa traducción


Saludos,

Rafael





Más información sobre la lista de distribución Asociacion