¿Backdoor en Linux de la NSA? no invente señora…

por | 9 septiembre, 2013

people

Y es que no se me ocurre otro título, para describir la polémica: una puerta trasera en Linux, que presuntamente utilizaría un parche creado por intel para generar números aleatorios mediante hardware (con las implicaciones que tiene en el tema de cifrados y contraseñas) y que habría sido incluido por Linus en el Kernel en contra de la opinión de Matt Mackall, encargado de mantener /dev/random en aquel momento (2011) y a raíz de lo cual este habría dimitido.

Como sabéis el problema de incluir este tipo de soluciones con binarios, es que ese código es imposible de auditar y tal como explican en Linux Magazine entra dentro de lo técnicamente posible (aunque insisto en que no hay ninguna prueba de ello) que «Intel, a instancias de la NSA, colara una puerta trasera en su generador de números aleatorios, precisamente para permitir a la agencia de seguridad descifrar lo que se creía indescifrable. »

El caso es que he intentado encontrar algo más de información y me he encontrado en el G+ de Theodore Ts’o, un interesante (y muy extenso) hilo en el que debate entre otros con David Johnston, el ingeniero de Intel que desarrollo este código RNG. Para los que no lo conozcáis el amigo Theo Ts’o trabaja en Google, pero es principalmente conocido por sus contribuciones al núcleo Linux y en este caso se da la casualidad de que es actual encargado de mantener /dev/random.

El debate en algunos momentos es muy técnico y escapa a mis conocimientos, pero creo que podemos destacar algunas cosas:

La primera es que esos parches de intel estuvieron incluidos en el kernel unicamente de Julio de 2011, (podéis leer la discusión completa en en este hilo y aunque en aquel momento ya se mencionaba a la NSA,  no parece como se ha insinuado que hubiera mala fe por parte de Linus al aceptar el parche, aunque si algo de ingenuidad «si Intel hizo algo mal…se va a ver muy avergonzada«…. al considerar únicamente las ventajas de utilizar un generador por hardware que es mucho más rapido) hasta Julio de 2012 que es cuando Theodore Ts’o se hace cargo de esa parte de desarrollo del kernel y decidió revertir la situación, evitando el uso de RNG exclusivamente por hardware, aun estando disponible.

dan

Situación que por suerte no tiene pinta de volver a cambiar (a pesar de recientes intentos), tal como comenta Ts’o

Estoy muy contento de haber resistido a la presión de los ingenieros de Intel para que / dev / random se basara únicamente en la instrucción RDRAND ….Basarse únicamente en el generador de números aleatorios del hardware, que está utilizando una aplicación sellado dentro de un chip que es imposible de auditar es una mala idea

Hay que señalar que David Johnston defendió en todo momento la limpieza del código de intel, pero el problema como dice Ts’o es que eso no se pruebe probar, y que las revelaciones del caso Snowden revelan que la NSA está trabajando de forma conjunta con algunos de los principales fabricantes de chips...(no necesariamente Intel, podría ser AMD, Qualcomm, o cualquier otra empresa la que ahora o más adelante se vea obligada a colaborar en el espionaje masivo en la red).

¿Esto significa que estamos seguros en nuestro Linux y que somos invulnerables?, ni mucho menos, el caso PRISM demuestra que el internet tal como lo conocemos esta podrido, la confianza se ha roto definitivamente y hay que dudar más que nunca de cualquier certeza, que teníamos en cuanto a seguridad, código y protocolos en la red.

Pero la buena noticia es que por lo menos este caso ,no parece tan alarmante como lo pintaban

😉

46 pensamientos en “¿Backdoor en Linux de la NSA? no invente señora…

    1. Emiliano

      El problema es que esto ya no se puede ver en el código, sino que es algo producto de una implementación de hardware. Estamos al horno!!!

      Responder
  1. Rene Lopez

    Es lo que ya también en desde linux acabo de leer en los comentarios, que se evite los cotorreos sin estar seguros de que realmente existió o no esa puerta trasera..
    Gracias amigo Than, siempre es grato conocer tu punto de vista, más aún en casos como éste y el de Fedora..

    Responder
      1. Manuel

        leyendo todo lo que tiene que ver con «seguridad en linux» y me encuentro con tu frase de cañas y pinchos y me sonó muy gallego. Todos mis orígenes están en O’Grove, los tuyos no han de estar muy lonxe. Unha aperta, rapaz.

        Responder
  2. Pingback: ¿Backdoor en Linux de la NSA? no invente señora…

  3. tannhausser

    Como os conozco y que rápido os apuntáis a lo del drinking…después si os despertáis con dolor de cabeza y linux from scratch a medio instalar no digáis que es culpa mía ¿eh?

    Responder
  4. MetalByte

    Confieso que con ese título me esperaba otro desarrollo, pero al final coincidimos bastante en cómo están las cosas. El problema es que estamos desayunando todos los días paladas de mierda made in USA y publicas este artículo y a más de uno le entra la histeria…

    En fin… Yo también me apunto a lo de las cañas y los pinchos, si va a llegar el fin del mundo por lo menos que nos coja con el estómago lleno y la mente alegre xD

    Responder
    1. Rene Lopez

      Confieso que Casi me provoca una úlcera desayunarme esa noticia de parte de Perseo y ya enseguida en Muy Linux.. Jeje..

      Responder
    2. tannhausser

      @metalbyte Y es que el título fue lo que más trabajo me costó…o era demasiado largo, o técnico o impreciso…así que me fui a lo fácil, es algo «choni» pero creo que se entiende…

      Y si claro que te apuntas…y porque no metimos mujeres en la ecuación que si no esto ya estaría lleno

      Un saludo colega

      Responder
  5. SynFlag

    Me dejó un poco mas tranquilo leer esto y lo de Theodore, pero la verdad, ni de pedo vuelvo a utilizar algo de Red Hat, no se si vieron los comentario de Alan Cox en el mismo hilo de G+, y Alan estuvo 10 años en Red Hat.

    Responder
  6. Pingback: ¿Backdoor en Linux de la NSA? no invente señora… | Los antisistema son:

  7. Anonimo

    No tenéis ni puñetera idea aquellos que restáis importancia a este hecho. El problema de la seguridad informática, tema que seguro que desconocéis, es que no se puede dejar ningún resquicio que no permita asegurar la inviolabilidad de los cifrados y hablo de que se pruebe matemáticamente/formalmente. Si no se produce, no hay seguridad, sino lo que no puede ser peor, una falsa sensación de seguridad. El problema de la generación de números aleatorios por hardware, mediante el chip de Intel, es que esta empresa no ha facilitado el mecanismo de creación, siendo por tanto una parte obscura del proceso y consecuentemente no auditable. Y eso que según ellos cumple las certificaciones de seguridad, creadas por ellos mismos, colaboradores de la NSA.

    Aunque pudiera ser que la NSA no estuviera detrás, es mucho mas que probable que se interese por cualquier método posible para vulnerar cifrados. Y este es un método razonable. No sabéis hasta que punto está comprometida la seguridad cuando se dan colabraciones entre empresas y la NSA, bajo el falso pretexto de asegurar sus ordenadores frente a potenciales riesgos de seguridad.

    Responder
    1. tannhausser

      y es por eso que se quitó ese parche del kernel de Linux…de lo que te hubieras dado cuenta si hubieras leído aunque fuera por encima el artículo…aunque lo de leer es algo que seguramente desconoces…

      Responder
      1. Anonimo

        Disculpa, pero ¿cuándo he dicho yo lo contrario? o algo sobre la fiabilidad del kernel. Este es tan solo un ejemplo de por que funciona el software libre, en casos muy importantes como para la administración pública. Hay gente muy válida en el desarrollo del kernel y que no se vende a grandes empresas por que no tienen intereses comerciales. Pero eso puede fallar, hay que mantenerse alerta. Pero es importante que todo el mundo (en la medida en que le afecta) que se interese por estos temas y tenga presente los principios y los mecanismos por los que se pierde la seguridad, y que actúe en consecuencia. En este sentido la administración pública debería jugar un papel importante. En la seguridad informática el eslabón más débil es el factor humano, incluso en el desarrollo.

        Responder
      2. Anonimo

        Mmmm, creo que el tono de mi primer post era propio de alguien que no duerme lo que le toca….no era el adecuado… Estoy deacuerdo con la mayor parte del post, no me dirigía exclusivamente a él, si no a alguna de las respuestas…

        Fijaros que Theodore se vanagloria de haber resistido la presión por parte de Intel… y la postura prepotente de Linus es erronea de partida… aunque la generación provenga de mas fuentes y no solo por el hardware es una via, y la asunción de que Intel no va a ser «evil» es tambien muy inocente…

        Ya paro… ya paro…

        Responder
  8. xman

    Saludos Tannhausser, como siempre magnifico tu comentario, veo que me distes tus Gracias por el Foro (gvcastellon), yo solo traslade la noticia, que en aquel momento no tenia muy clara, pero ahora me siento mejor.
    Y si vamos a la Guerra por defender nuestra Libertad, cuenten conmigo, y si no hay guerra y solo hay pinchos y Licor cuenten conmigo también. LOL

    Salu2

    Responder
    1. tannhausser

      Hola xman gracias por comentar…pero me he perdido un poco con el tema del foro y gvcastellon…creo que no era yo…

      Aunque como de memoria ando fatal…tampoco te lo aseguro al 100 % XD

      Un saludo!

      Responder
      1. xman

        Pues el que anda muy jodido de memoria soy yo….. XD, fue «Toniem» del Bolg «Guia del Camaleón», mis disculpas, pero igual te agradezco.

        Tendré que cambiar el Chip de memoria??? XD XD XD.. 😉

        Responder
  9. 3rn3st0

    Que si, que no, que si ahora ya saben cuando cago… No creo que Torvalds rompa con sus propios valores y principios. Leerlo de alguien con tus conocimientos y valía dentro de la comunidad FOSS es algo que alivia los ánimos.

    Los gringos seguirán espiando, acciones como esas son las que los convierten en la nación más poderosa del orbe. Sin embargo hay algo contra lo que no pueden luchar, gente organizada, gente pensante. Ahora, más que nunca debemos involucrarnos en el desarrollos de las herramientas que usamos a diario. ¿Y si no es ese módulo desarrollado por Intel (que ya sabemos, tuvo una vida útil de un mes), y si resulta que en LibreOffice, en alguno de las miles de líneas de código hay oculto un regalito dejado ahí por la gente de Oracle, o si en el propio MySQL (la BDs más usada en el mundo), o si fuera en VLC o en Amarok? ¿Alguno ha revisado aunque sea sólo por curiosidad esos fuentes? ¡Yo no, lo admito con vergüenza!

    Ahora bien, no todos tenemos los conocimientos técnicos para llegar allá, lo cual no significa que no estemos pendientes de todo lo que ocurre.

    Sigo creyendo en Torvalds, crm es y seguirá siendo un luchador por la libertad del conocimiento y los putos gringos de la NSA, la CIA, y toda la sarta de dependencias del tinglado del espionaje y la «inteligencia» estadounidense, que se jodan.

    Desde Venezuela (y no soy chavista), levanto mi copa, que yo empecé sin esperarlos a la salud del FOSS y de la libertad del conocimiento. ¡Salud!

    Responder
    1. Rene Lopez

      Me saco el sombrero (y todo lo que tenga que ver con Fedora.. Jaja) ante tu comentario, con el cual estoy más que de acuerdo..

      Responder
    1. 3rn3st0

      Más que interesante es, como dijiste, un complemento perfecto al artículo de Tannhausser. Así pues, tenemos un supuesto troyano que no tiene manera de hacernos daño puesto que no se usa en el propio kernel Linux.

      Responder
  10. D'Artagnan

    Después de todo lo aquí publicado, no se me ocurre que mas puedo añadir yo, cuando gente mas preparada que yo ha dado su opinión mas que acertada.

    No obstante me quedo con la siguiente frase, habida cuenta de que coincide con mi pensamiento, y define muy claramente y en general la motivación de gran parte de lo que acontece en este mundo que nos ha tocado vivir :
    «Los gringos seguirán espiando, acciones como esas son las que los convierten en la nación más poderosa del orbe. Sin embargo hay algo contra lo que no pueden luchar, gente organizada, gente pensante.»

    Responder
  11. Miguel

    Un problema que no se plantea es que la mayoría de los mantenedores del Kernel además son empleados de grandes empresas, como IBM, HP, Intel..etc, que en algunos casos pueden ser subcontratistas de la NSA.
    En ese momento aparece un conflicto de intereses, en la honradez de las personas, y por otro lado, esta la presión que las autoridades, y las empresas para las que trabajan puedan hacer sobre ellos.
    El único lado positivo, es que existan otras personas que puedan auditar lo que se añade, y llegado el caso eliminarlo, si hay dudas.

    Responder
  12. Pingback: Software Libre, Estamos Realmente Seguros? -

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.