¿Puertas traseras en OpenBSD por gentileza del FBI?

Según comenta Theo DeRaadt en la lista de OpenBSD, alguien le ha alertado de la posibilidad de que el código de la Pila IPSEC de este sistema operativo, tenga puertas traseras por gentileza del Gobierno de los EEUU.

He de decir, que Theo DeRaadt es una persona que tiene toda mi confianza y que cuando dice cosas tan graves, poderosos motivos ha de tener para ello, sobre todo, si tenemos en cuenta la elevada implicación de Theo en el proyecto OpenBSD…

Todo ha comenzado con un inquietante correo que ha recibido procedente de Gregory Perry, una persona que estuvo involucrada en el desarrollo de OpenBSD y que hacía tiempo que no tenía contacto con Theo. Perry que alega que ya ha expirado el acuerdo de confidencialidad que había firmado con el FBI, le ha avisado de que algunos desarrolladores de OpenBSD y la compañía para la que trabajaban en aquel momento, aceptaron dinero del Gobierno de los EEUU, entre los años 2000 y 2001, para poner puertas traseras en la Pila IPSEC de OpenBSD, que por cierto, es un código que hasta este momento gozaba de una buena fama a nivel mundial. La intención de estas puertas traseras era la de poder espiar las redes privadas virtuales (VPN) que se establecieran con OpenBSD. más concretamente, tenían la intención de “monitorizar” el sistema de cifrado de la VPN usada por la EOUSA (Executive Office for United States Attorneys), que todo hay que decirlo, es un organismo oficial del Departamento de Justicia, lo que no tiene demasiado sentido.

Hay que tener en cuenta, que desde el mismo momento que estuvo disponible la primera versión libre de la Pila IPSEC de OpenBSD, gran parte de este código ha sido utilizado en otros muchos proyectos y productos y lo que es peor, a lo largo de estos años, el código original también ha pasado por una gran cantidad de cambios y adaptaciones, así que es muy complicado estimar el alcance y el impacto en la seguridad que ha podido tener este inquietante hecho, si al final resulta que es cierto.

Una vez que Theo ha tenido constancia de esta posibilidad, ha tomado la decisión de no formar parte de una posible conspiración y en lugar de ponerse a discutir con Perry de este feo asunto por correo electrónico, ha decidido hacerlo público en la lista de correo de desarrollo de OpenBSD con la intención de que:

(a) Aquellos que usen el código, puedan auditarlo en busca de puertas traseras en él,
(b) de que aquellos que estén enfadados por esta historia, puedan tomar otras acciones,
(c) y de que si no es verdad, aquellos que son acusados injustamente, puedan defenderse públicamente.

Theo reconoce que a él no le gusta que se reenvíen por otras personas sus correos privados, pero también considera, que esta es una postura mucho más ética, que la de un gobierno que paga a empresas y a programadores de Software Libre (que son más un grupo de amigos), para que inserten puertas traseras con la intención de espiar a la gente.

Ahora me dirán, ¿cómo es posible que nadie se haya dado cuenta de esto en 10 años y más, cuando se trata de software libre?. Bien, lo cierto es que no tengo respuesta a esta interesante pregunta, pero ahora que se ha abierto la caja de los truenos, al ser libre, no hay problemas para auditar cuidadosamente todo este código, cosa que no se podría hacer si fuera software privativo. Claro que también podemos decir, si se confirma que hay puertas traseras, que el software libre no lo audita nadie y que su seguridad real es un banco pintado, pero no debemos olvidar que se han detectado algunos intentos para modificar maliciosamente aplicaciones libres y privativas, pero aunque el software libre puede ser más sencillo de modificar, también es más sencillo de auditar y modificar en caso de necesidad.

Desde que lo dijo Hugo Scolnik y lo denunció Andrew Fernandez, la existencia de puertas traseras en el software privativo, era algo más que una mera sospecha. Algunos gobiernos, conscientes del enorme riesgo que podría suponer la existencia de puertas traseras en los sistemas que contenían información sensible, decidieron tomar medidas urgentes sin necesidad de esperar a más confirmaciones ni debates estériles. Pero, ¿tomaron una buena decisión los que se decantaron por OpenBSD en aquel momento?

Uno de los primeros países que decidieron eliminar los productos privativos de los sistemas con información sensible fue Alemania. Este país, de forma inteligente y en un tiempo récord, eligió GNU/Linux alternativa para los sistemas relacionados con Seguridad Nacional. Otros países, allá por el año 2005, también mostraron su preocupación por la posibilidad de que se pudiera acceder a la información contenida en sus sistemas gubernamentales y algunos, como China, también tomaron medidas para evitarlo.

Pero lo más significativo y sorprendente de esta historia, es que hasta los EEUU, conscientes de los posibles problemas de seguridad del software privativo, también decidieron usar sistemas de fuentes abiertas en algunos de sus sistemas sensibles y en especial, en aquellos relacionados con la Defensa Nacional.

Ahora, esta interesante polémica entre la seguridad del software privativo y del libre vuelve a la palestra casi un lustro después, con nuevos e interesantes argumentos para los que defienden cada una de estas posturas enfrentadas.

“Copyleft 2010 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved. Quotation is allowed.”

Fuente: Kriptopolis

Anuncios

Operaciones bancarias… Sí, con GNU/Linux por favor.

El columnista de Washington Post Security Fix, Brian Krebs recomienda que los clientes de bancos consideráran usar un LiveCD de GNU/Linux para hacer sus consultas y transacciones bancarias en línea. Krebs relata la historia de dos negocios que perdieron $100 mil y $447 mil dólares, respectivamente, cuando ladrones, armados con malware en la PC de la compañía, fueron capaces de interceptar uno de los codigos de ingreso del controlador, atrasando el éxito del ingreso. Krebs señala que no está solo en recomendar el uso de máquinas con sistemas que no sean Windows para las consultas y transacciones bancarias en linea.

De hecho, el SANS Technology Institute, una organización dedicada a la investigación y educación en temas de seguridad retó a sus estudiantes a que crearan un informe (disponible en PDF aquí) para descubrir los métodos más efectivos para pymes a la hora de mitigar este tipo de ataques. ¿Sus conclusiones? La solución más barata y más segura ante esas amenazas es usar un sistema operativo arrancable de solo lectura, tales como Knoppix o como los LiveCD de instalación de Ubuntu.

Como explica Krebs, la mayoría de ciberataques están destinados a los desarrollos de Microsoft, que son los utilizados por la inmensa mayoría de usuarios y que por tanto son más probables que den como resultados filtraciones de datos y que tarde o temprano acaban abriendo las puertas de nuestros PCs a atacantes remotos.

Eso hace que las operaciones de banca electrónica sean especialmente sensibles, y para evitar los peligros, nada mejor que usar un LiveCD de Linux, un método que permite evitar prácticamente todos los riesgos de esas operaciones.

Estos CDs permiten arrancar sesiones totalmente “vírgenes” del sistema operativo, ya que tras cada sesión se eliminan todos los datos que pudiésemos haber introducido. Como muchos usuarios ya sabrán, es posible hacer que dichos discos dispongan de ciertas características “persistentes” que mantengan ciertos datos y configuraciones en otras sesiones, pero si inhabilitamos esa opción podremos tener aún mayor seguridad.

La primera regla, dice Krebs, es nunca clicar los hipervínculos a los sitios bancarios, y la segunda evitar usar Microsoft Windows.