¿Backdoor en Linux de la NSA? no invente señora…

people

Y es que no se me ocurre otro título, para describir la polémica: una puerta trasera en Linux, que presuntamente utilizaría un parche creado por intel para generar números aleatorios mediante hardware (con las implicaciones que tiene en el tema de cifrados y contraseñas) y que habría sido incluido por Linus en el Kernel en contra de la opinión de Matt Mackall, encargado de mantener /dev/random en aquel momento (2011) y a raíz de lo cual este habría dimitido.

Como sabéis el problema de incluir este tipo de soluciones con binarios, es que ese código es imposible de auditar y tal como explican en Linux Magazine entra dentro de lo técnicamente posible (aunque insisto en que no hay ninguna prueba de ello) que “Intel, a instancias de la NSA, colara una puerta trasera en su generador de números aleatorios, precisamente para permitir a la agencia de seguridad descifrar lo que se creía indescifrable.

El caso es que he intentado encontrar algo más de información y me he encontrado en el G+ de Theodore Ts’o, un interesante (y muy extenso) hilo en el que debate entre otros con David Johnston, el ingeniero de Intel que desarrollo este código RNG. Para los que no lo conozcáis el amigo Theo Ts’o trabaja en Google, pero es principalmente conocido por sus contribuciones al núcleo Linux y en este caso se da la casualidad de que es actual encargado de mantener /dev/random.

El debate en algunos momentos es muy técnico y escapa a mis conocimientos, pero creo que podemos destacar algunas cosas:

La primera es que esos parches de intel estuvieron incluidos en el kernel unicamente de Julio de 2011, (podéis leer la discusión completa en en este hilo y aunque en aquel momento ya se mencionaba a la NSA,  no parece como se ha insinuado que hubiera mala fe por parte de Linus al aceptar el parche, aunque si algo de ingenuidad “si Intel hizo algo mal…se va a ver muy avergonzada“…. al considerar únicamente las ventajas de utilizar un generador por hardware que es mucho más rapido) hasta Julio de 2012 que es cuando Theodore Ts’o se hace cargo de esa parte de desarrollo del kernel y decidió revertir la situación, evitando el uso de RNG exclusivamente por hardware, aun estando disponible.

dan

Situación que por suerte no tiene pinta de volver a cambiar (a pesar de recientes intentos), tal como comenta Ts’o

Estoy muy contento de haber resistido a la presión de los ingenieros de Intel para que / dev / random se basara únicamente en la instrucción RDRAND ….Basarse únicamente en el generador de números aleatorios del hardware, que está utilizando una aplicación sellado dentro de un chip que es imposible de auditar es una mala idea

Hay que señalar que David Johnston defendió en todo momento la limpieza del código de intel, pero el problema como dice Ts’o es que eso no se pruebe probar, y que las revelaciones del caso Snowden revelan que la NSA está trabajando de forma conjunta con algunos de los principales fabricantes de chips...(no necesariamente Intel, podría ser AMD, Qualcomm, o cualquier otra empresa la que ahora o más adelante se vea obligada a colaborar en el espionaje masivo en la red).

¿Esto significa que estamos seguros en nuestro Linux y que somos invulnerables?, ni mucho menos, el caso PRISM demuestra que el internet tal como lo conocemos esta podrido, la confianza se ha roto definitivamente y hay que dudar más que nunca de cualquier certeza, que teníamos en cuanto a seguridad, código y protocolos en la red.

Pero la buena noticia es que por lo menos este caso ,no parece tan alarmante como lo pintaban

😉

46 thoughts on “¿Backdoor en Linux de la NSA? no invente señora…”

  1. Rogger Ortega (@cronos426) says:

    A este paso a RS, ya no lo llamaran loco….

      1. six says:

        ni barbudo!

  2. luweeds says:

    “Show me the code” que diría RMS 😉

    1. tannhausser says:

      está la cosa muy mal….así que cualquiera se fía
      😉

    2. Emiliano says:

      El problema es que esto ya no se puede ver en el código, sino que es algo producto de una implementación de hardware. Estamos al horno!!!

  3. aldobelus says:

    Esto no va a parar ya nunca…

  4. Rene Lopez says:

    Es lo que ya también en desde linux acabo de leer en los comentarios, que se evite los cotorreos sin estar seguros de que realmente existió o no esa puerta trasera..
    Gracias amigo Than, siempre es grato conocer tu punto de vista, más aún en casos como éste y el de Fedora..

    1. tannhausser says:

      Gracias Rene…es la diversidad de GNU/Linux que le llaman XD

  5. Yoyo says:

    Es hora de la sublevación mundial, cojan sus horcas y antorchas….

    1. tannhausser says:

      ¿Da tiempo a unas cañas y unos pinchos antes?

      1. Yoyo says:

        No hay tiempo que perder joven tannhausser, vayamos a por ellos ahora que son pocos y cobardes!!!

      2. hispalis70 says:

        Nada de pinchos, cerveza a palo seco, que borrachos ahorcamos mejor y sin remordimientos

      3. Rene Lopez says:

        Puedo ir con una Oz?
        Cortaré cabezas y Beberé su sangre!

        http://th02.deviantart.net/fs7/300W/i/2005/190/3/1/Seras_Victoria_by_rdx86.jpg

      4. Manuel says:

        leyendo todo lo que tiene que ver con “seguridad en linux” y me encuentro con tu frase de cañas y pinchos y me sonó muy gallego. Todos mis orígenes están en O’Grove, los tuyos no han de estar muy lonxe. Unha aperta, rapaz.

        1. tannhausser says:

          Non moi lonxe, non…Rías altas…Ferrol para ser máis exactos! Un abrazo!

  6. j2sg says:

    Buen post. Me alegro de que por fín se haya aclarado todo esto. 🙂

  7. Makova says:

    Me apunto a las cañas y los pinchos o una de tapillas xD

  8. Pingback: ¿Backdoor en Linux de la NSA? no invente señora…
  9. Trackback: ¿Backdoor en Linux de la NSA? no invente señora…
  10. tannhausser says:

    Como os conozco y que rápido os apuntáis a lo del drinking…después si os despertáis con dolor de cabeza y linux from scratch a medio instalar no digáis que es culpa mía ¿eh?

  11. MetalByte says:

    Confieso que con ese título me esperaba otro desarrollo, pero al final coincidimos bastante en cómo están las cosas. El problema es que estamos desayunando todos los días paladas de mierda made in USA y publicas este artículo y a más de uno le entra la histeria…

    En fin… Yo también me apunto a lo de las cañas y los pinchos, si va a llegar el fin del mundo por lo menos que nos coja con el estómago lleno y la mente alegre xD

    1. Rene Lopez says:

      Confieso que Casi me provoca una úlcera desayunarme esa noticia de parte de Perseo y ya enseguida en Muy Linux.. Jeje..

    2. tannhausser says:

      @metalbyte Y es que el título fue lo que más trabajo me costó…o era demasiado largo, o técnico o impreciso…así que me fui a lo fácil, es algo “choni” pero creo que se entiende…

      Y si claro que te apuntas…y porque no metimos mujeres en la ecuación que si no esto ya estaría lleno

      Un saludo colega

  12. SynFlag says:

    Me dejó un poco mas tranquilo leer esto y lo de Theodore, pero la verdad, ni de pedo vuelvo a utilizar algo de Red Hat, no se si vieron los comentario de Alan Cox en el mismo hilo de G+, y Alan estuvo 10 años en Red Hat.

    1. tannhausser says:

      Entre los casi 200 comentarios, eso se me paso! pero le voy a echar otro vistazo al hilo!
      Un saludo SynFlag!

  13. Pingback: ¿Backdoor en Linux de la NSA? no invente señora… | Los antisistema son:
  14. Trackback: ¿Backdoor en Linux de la NSA? no invente señora… | Los antisistema son:
  15. Anonimo says:

    No tenéis ni puñetera idea aquellos que restáis importancia a este hecho. El problema de la seguridad informática, tema que seguro que desconocéis, es que no se puede dejar ningún resquicio que no permita asegurar la inviolabilidad de los cifrados y hablo de que se pruebe matemáticamente/formalmente. Si no se produce, no hay seguridad, sino lo que no puede ser peor, una falsa sensación de seguridad. El problema de la generación de números aleatorios por hardware, mediante el chip de Intel, es que esta empresa no ha facilitado el mecanismo de creación, siendo por tanto una parte obscura del proceso y consecuentemente no auditable. Y eso que según ellos cumple las certificaciones de seguridad, creadas por ellos mismos, colaboradores de la NSA.

    Aunque pudiera ser que la NSA no estuviera detrás, es mucho mas que probable que se interese por cualquier método posible para vulnerar cifrados. Y este es un método razonable. No sabéis hasta que punto está comprometida la seguridad cuando se dan colabraciones entre empresas y la NSA, bajo el falso pretexto de asegurar sus ordenadores frente a potenciales riesgos de seguridad.

    1. tannhausser says:

      y es por eso que se quitó ese parche del kernel de Linux…de lo que te hubieras dado cuenta si hubieras leído aunque fuera por encima el artículo…aunque lo de leer es algo que seguramente desconoces…

      1. Anonimo says:

        Disculpa, pero ¿cuándo he dicho yo lo contrario? o algo sobre la fiabilidad del kernel. Este es tan solo un ejemplo de por que funciona el software libre, en casos muy importantes como para la administración pública. Hay gente muy válida en el desarrollo del kernel y que no se vende a grandes empresas por que no tienen intereses comerciales. Pero eso puede fallar, hay que mantenerse alerta. Pero es importante que todo el mundo (en la medida en que le afecta) que se interese por estos temas y tenga presente los principios y los mecanismos por los que se pierde la seguridad, y que actúe en consecuencia. En este sentido la administración pública debería jugar un papel importante. En la seguridad informática el eslabón más débil es el factor humano, incluso en el desarrollo.

      2. Anonimo says:

        Mmmm, creo que el tono de mi primer post era propio de alguien que no duerme lo que le toca….no era el adecuado… Estoy deacuerdo con la mayor parte del post, no me dirigía exclusivamente a él, si no a alguna de las respuestas…

        Fijaros que Theodore se vanagloria de haber resistido la presión por parte de Intel… y la postura prepotente de Linus es erronea de partida… aunque la generación provenga de mas fuentes y no solo por el hardware es una via, y la asunción de que Intel no va a ser “evil” es tambien muy inocente…

        Ya paro… ya paro…

  16. xman says:

    Saludos Tannhausser, como siempre magnifico tu comentario, veo que me distes tus Gracias por el Foro (gvcastellon), yo solo traslade la noticia, que en aquel momento no tenia muy clara, pero ahora me siento mejor.
    Y si vamos a la Guerra por defender nuestra Libertad, cuenten conmigo, y si no hay guerra y solo hay pinchos y Licor cuenten conmigo también. LOL

    Salu2

    1. tannhausser says:

      Hola xman gracias por comentar…pero me he perdido un poco con el tema del foro y gvcastellon…creo que no era yo…

      Aunque como de memoria ando fatal…tampoco te lo aseguro al 100 % XD

      Un saludo!

      1. xman says:

        Pues el que anda muy jodido de memoria soy yo….. XD, fue “Toniem” del Bolg “Guia del Camaleón”, mis disculpas, pero igual te agradezco.

        Tendré que cambiar el Chip de memoria??? XD XD XD.. 😉

  17. tannhausser says:

    @xman no íbamos muy descaminados…entre suseros andaba la cosa XD

  18. 3rn3st0 says:

    Que si, que no, que si ahora ya saben cuando cago… No creo que Torvalds rompa con sus propios valores y principios. Leerlo de alguien con tus conocimientos y valía dentro de la comunidad FOSS es algo que alivia los ánimos.

    Los gringos seguirán espiando, acciones como esas son las que los convierten en la nación más poderosa del orbe. Sin embargo hay algo contra lo que no pueden luchar, gente organizada, gente pensante. Ahora, más que nunca debemos involucrarnos en el desarrollos de las herramientas que usamos a diario. ¿Y si no es ese módulo desarrollado por Intel (que ya sabemos, tuvo una vida útil de un mes), y si resulta que en LibreOffice, en alguno de las miles de líneas de código hay oculto un regalito dejado ahí por la gente de Oracle, o si en el propio MySQL (la BDs más usada en el mundo), o si fuera en VLC o en Amarok? ¿Alguno ha revisado aunque sea sólo por curiosidad esos fuentes? ¡Yo no, lo admito con vergüenza!

    Ahora bien, no todos tenemos los conocimientos técnicos para llegar allá, lo cual no significa que no estemos pendientes de todo lo que ocurre.

    Sigo creyendo en Torvalds, crm es y seguirá siendo un luchador por la libertad del conocimiento y los putos gringos de la NSA, la CIA, y toda la sarta de dependencias del tinglado del espionaje y la “inteligencia” estadounidense, que se jodan.

    Desde Venezuela (y no soy chavista), levanto mi copa, que yo empecé sin esperarlos a la salud del FOSS y de la libertad del conocimiento. ¡Salud!

    1. Rene Lopez says:

      Me saco el sombrero (y todo lo que tenga que ver con Fedora.. Jaja) ante tu comentario, con el cual estoy más que de acuerdo..

      1. 3rn3st0 says:

        Honor que me haces 🙂

    1. 3rn3st0 says:

      Más que interesante es, como dijiste, un complemento perfecto al artículo de Tannhausser. Así pues, tenemos un supuesto troyano que no tiene manera de hacernos daño puesto que no se usa en el propio kernel Linux.

  19. D'Artagnan says:

    Después de todo lo aquí publicado, no se me ocurre que mas puedo añadir yo, cuando gente mas preparada que yo ha dado su opinión mas que acertada.

    No obstante me quedo con la siguiente frase, habida cuenta de que coincide con mi pensamiento, y define muy claramente y en general la motivación de gran parte de lo que acontece en este mundo que nos ha tocado vivir :
    “Los gringos seguirán espiando, acciones como esas son las que los convierten en la nación más poderosa del orbe. Sin embargo hay algo contra lo que no pueden luchar, gente organizada, gente pensante.”

  20. Miguel says:

    Un problema que no se plantea es que la mayoría de los mantenedores del Kernel además son empleados de grandes empresas, como IBM, HP, Intel..etc, que en algunos casos pueden ser subcontratistas de la NSA.
    En ese momento aparece un conflicto de intereses, en la honradez de las personas, y por otro lado, esta la presión que las autoridades, y las empresas para las que trabajan puedan hacer sobre ellos.
    El único lado positivo, es que existan otras personas que puedan auditar lo que se añade, y llegado el caso eliminarlo, si hay dudas.

  21. 3rn3st0 says:

    Aquí les dejo dos artículos, uno de ayer y una continuación hecha hoy, donde podremos ampliar, aún más, la visión sobre éste problema.
    ¿Una “puerta trasera” de la NSA en Linux? Podría ser¿Una “puerta trasera” de la NSA en Linux? Podría ser (II)

  22. Pingback: Software Libre, Estamos Realmente Seguros? -
  23. Trackback: Software Libre, Estamos Realmente Seguros? -

Deja un comentario