¿Puertas traseras en OpenBSD por gentileza del FBI?

Según comenta Theo DeRaadt en la lista de OpenBSD, alguien le ha alertado de la posibilidad de que el código de la Pila IPSEC de este sistema operativo, tenga puertas traseras por gentileza del Gobierno de los EEUU.

He de decir, que Theo DeRaadt es una persona que tiene toda mi confianza y que cuando dice cosas tan graves, poderosos motivos ha de tener para ello, sobre todo, si tenemos en cuenta la elevada implicación de Theo en el proyecto OpenBSD…

Todo ha comenzado con un inquietante correo que ha recibido procedente de Gregory Perry, una persona que estuvo involucrada en el desarrollo de OpenBSD y que hacía tiempo que no tenía contacto con Theo. Perry que alega que ya ha expirado el acuerdo de confidencialidad que había firmado con el FBI, le ha avisado de que algunos desarrolladores de OpenBSD y la compañía para la que trabajaban en aquel momento, aceptaron dinero del Gobierno de los EEUU, entre los años 2000 y 2001, para poner puertas traseras en la Pila IPSEC de OpenBSD, que por cierto, es un código que hasta este momento gozaba de una buena fama a nivel mundial. La intención de estas puertas traseras era la de poder espiar las redes privadas virtuales (VPN) que se establecieran con OpenBSD. más concretamente, tenían la intención de “monitorizar” el sistema de cifrado de la VPN usada por la EOUSA (Executive Office for United States Attorneys), que todo hay que decirlo, es un organismo oficial del Departamento de Justicia, lo que no tiene demasiado sentido.

Hay que tener en cuenta, que desde el mismo momento que estuvo disponible la primera versión libre de la Pila IPSEC de OpenBSD, gran parte de este código ha sido utilizado en otros muchos proyectos y productos y lo que es peor, a lo largo de estos años, el código original también ha pasado por una gran cantidad de cambios y adaptaciones, así que es muy complicado estimar el alcance y el impacto en la seguridad que ha podido tener este inquietante hecho, si al final resulta que es cierto.

Una vez que Theo ha tenido constancia de esta posibilidad, ha tomado la decisión de no formar parte de una posible conspiración y en lugar de ponerse a discutir con Perry de este feo asunto por correo electrónico, ha decidido hacerlo público en la lista de correo de desarrollo de OpenBSD con la intención de que:

(a) Aquellos que usen el código, puedan auditarlo en busca de puertas traseras en él,
(b) de que aquellos que estén enfadados por esta historia, puedan tomar otras acciones,
(c) y de que si no es verdad, aquellos que son acusados injustamente, puedan defenderse públicamente.

Theo reconoce que a él no le gusta que se reenvíen por otras personas sus correos privados, pero también considera, que esta es una postura mucho más ética, que la de un gobierno que paga a empresas y a programadores de Software Libre (que son más un grupo de amigos), para que inserten puertas traseras con la intención de espiar a la gente.

Ahora me dirán, ¿cómo es posible que nadie se haya dado cuenta de esto en 10 años y más, cuando se trata de software libre?. Bien, lo cierto es que no tengo respuesta a esta interesante pregunta, pero ahora que se ha abierto la caja de los truenos, al ser libre, no hay problemas para auditar cuidadosamente todo este código, cosa que no se podría hacer si fuera software privativo. Claro que también podemos decir, si se confirma que hay puertas traseras, que el software libre no lo audita nadie y que su seguridad real es un banco pintado, pero no debemos olvidar que se han detectado algunos intentos para modificar maliciosamente aplicaciones libres y privativas, pero aunque el software libre puede ser más sencillo de modificar, también es más sencillo de auditar y modificar en caso de necesidad.

Desde que lo dijo Hugo Scolnik y lo denunció Andrew Fernandez, la existencia de puertas traseras en el software privativo, era algo más que una mera sospecha. Algunos gobiernos, conscientes del enorme riesgo que podría suponer la existencia de puertas traseras en los sistemas que contenían información sensible, decidieron tomar medidas urgentes sin necesidad de esperar a más confirmaciones ni debates estériles. Pero, ¿tomaron una buena decisión los que se decantaron por OpenBSD en aquel momento?

Uno de los primeros países que decidieron eliminar los productos privativos de los sistemas con información sensible fue Alemania. Este país, de forma inteligente y en un tiempo récord, eligió GNU/Linux alternativa para los sistemas relacionados con Seguridad Nacional. Otros países, allá por el año 2005, también mostraron su preocupación por la posibilidad de que se pudiera acceder a la información contenida en sus sistemas gubernamentales y algunos, como China, también tomaron medidas para evitarlo.

Pero lo más significativo y sorprendente de esta historia, es que hasta los EEUU, conscientes de los posibles problemas de seguridad del software privativo, también decidieron usar sistemas de fuentes abiertas en algunos de sus sistemas sensibles y en especial, en aquellos relacionados con la Defensa Nacional.

Ahora, esta interesante polémica entre la seguridad del software privativo y del libre vuelve a la palestra casi un lustro después, con nuevos e interesantes argumentos para los que defienden cada una de estas posturas enfrentadas.

“Copyleft 2010 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved. Quotation is allowed.”

Fuente: Kriptopolis

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s