Computación confiada


Una de las noticia más perturbadoras de los últimos días fue ver al presidente Chino, Hu Jintao, reuniéndose con el Sr. Bill Gates en la Mansión Gates, aún antes que con el Presidente Bush. Un sonriente Jintao mencionó como el usa el sistema operativo del Sr. Gates todos los días, mientras Bill prometió ayudarle con soporte técnico. Pero, al parecer, Bill y la gente de Redmond podría estar ayudándolo con más que un simple soporte técnico, y no exactamente para ayudar al gobierno Chino.





Permítanme una pequeña desviación del tema recordando lo ocurrido
hacia el año 1982.

La más grande explosión no nuclear algunas vez registrada por un
satélite ocurrió en Rusia, en 1982. Fue una explosión en un gaseoducto
en Siberia. La perturbadora y poco conocida verdad acerca de esta
catástrofe es que fue causada directamente por la CIA, después de
haber modificado deliberadamente el software a la Unión Soviética
(sólo en formato binario, desde luego). Software que estaba diseñado
para destruir el acueducto.

Ustedes pueden pensar que es otra fantasía paranoica (suena así sin
duda y yo lo sé), pero esto fue documentado en el libro "At the abyss:
An Insider's History of the Cold War", by Thomas C. Reed, anterior
secretario de la Fuerza Aerea, quien sirviera en el Consejo de
Seguridad Nacional, y también fue reportado por el Washington Post en
el 2004 e, inclusive, mencionado en una artículo de la revista de la
CIA "Stustedies in Intelligence".

Esto no fue simplemente un ataque a la Unión Soviética, sino que
afectó también los precios del gas en Europa Occidental (ese
gaseoducto estaba destinado a transportar gas a Europa), como efecto
colateral de los intentos de los EE UU por impedir los ingresos de
divisas soviéticos.

Me pregunto si los chinos estudiarán esta parte de la historia. A
juzgar por su inclinación a usar Windows en su infraestructura, y por
las recientes promesas de los fabricantes de ordenadores personales
en China de incluir "Windows genuino" en las computadoras enviadas
desde China, pareciera que no.

Este único incidente de un software solo en binario, causando un
enorme daño económico, debería ser de estudio obligatorio para los que
tomen las decisiones de cualquier nación que pudiera tener conflictos
de intereses con los EE UU. Eso es todo el resto del mundo, por
ejemplo, la usualmente dócil mascota usamericana, el Reino Unido, ha
rechazado el software de control, sólo en binario, para el nuevo avión
caza de fabricación conjunta, y han amenazado con cancelar la orden de
compra si no obtienen acceso al código fuente.

Quizás es que el Reino Unido no es tan dócil como parece, puesto que
los militarres británicos parece entender la necesidad de controlar el
software en, al menos, algunas partes críticas de su propia
infraestructura.

Así que, ¿En quien se puede confiar en computación? y ¿Por qué?.

Me encantaría decir que las compañías de código abierto son dignas de
confianza, puesto que te dan el código fuente, mientras que las
compañías de código privativo no son de confianza, puesto que el
código fuente no está disponible. Pero no es tan simple así.

Microsoft anuncia ampliamente que le dará el código fuente de Windows
a la China y a cualquier país que se queje de la posibilidad de tales
amenazas por la vía del código sólo binario.

¿Es usted de los que esperan que un distribuidor de Linux le diga NO
al gobierno de los EE UU si se les pidiera (amablemente, desde luego)
que colocaran una puerta-trasera a las imágenes binarias de Linux que
se entregan como parte de su producto?

¿Quienes de nosotros, de hecho, usan el código fuente, tan gentilmente
incluido en los CD adicionales, para compilar su propia versión?.

Con Windows, desde luego, ya hay tantas puertas traseras, conocidas y
desconocidas, que el gobierno de los EE UU quizás ni se molestará de
pedirle nada a Microsoft. Puede que ya hayan conseguido una, lista
para ser aprovechada a su antojo. ¿Qué hay de Intel o AMD y el
microcódigo que viene en el propio procesador?.

Aún con acceso al código fuente de Windows, todavía no es digno de
confianza, a menos que usted lo compile y sólo instale las versiones
binarias que usted crea en su propia máquina.

Tener un código fuente que declara ser el que corresponde con un
producto de software, no prueba nada acerca de la versión binaria de
ese producto que usted está usando, a menos que usted la haya creado
usted mismo. ¿Cuantas versiones de Windows, instaladas en computadores
del Gobierno Chino fueron, de hecho, compiladas por los mismos
Chinos?. Ninguna, es mi apuesta.

Lo mismo vale, por supuesto, para el Reino Unido.

Lo que esto significa es que muchos gobiernos en todo el mundo, que
aceptan software binario empaquetado por compañías de software de los
EE UU, están a la merced de de los servicios de inteligencia de los EE
UU quienes podrían haber decidido agregarle "un extra" al código. Si
usted cree que me estoy poniendo paranoico, hable con los Rusos.

Sin embargo, para el verdadero paranoico, inclusive compilar usted
mismo el código NO es suficiente para asegurar que usted obtiene
computación "confiable".

En su artículo fundamental de 1984, "Reflections on Trusting Trust",
(Reflexiones acerca de confiar en la confianza) Ken Thompson, uno de
los autores originales de Unix, cuenta la historia del cómo él
"hackeo" el compilador C del sistema Unix, el software usado para
crear el nuevo código binario a partir del código fuente, para agregar
una completamente indetectable puerta trasera a Unix. Una vez montada,
no habia rastro de la puerta trasera que el agregó en ninguno de los
códigos fuente públicamentes disponibles de Unix. Estaba
ingeniosamente escondida en los binarios y fue diseñada para
reproducirse y propagarse a sí misma en cualquier nuevo binario creado
en ese sistema.

Ese fue un ataque teórico. No es algo que él hiciera de hecho, sino
algo que podría haber hecho. Al menos eso es lo que yo espero, pero me
inclino por confiar en él.

La única manera de tener código confiable es diseñar el procesador
usted mismo (Sí, puede haber puertas traseras en el microcódigo del
procesador tanto como en el código binario), escribir su propio
compilador y editar todo el código fuente abierto que crea usted mismo
para usar en sus comandos y sistemas de control. Cualquier otra cosa
es confiar en lo no confiable.

Les dejo con unas palabras del artículo de Ken Thompson que son tan
ciertas hoy como en 1984. "La moraleja es obvia. usted no puede
confiar en un código que usted no creó usted mismo (especialmente
código de compañías que emplean gente como yo). Ninguna medida de
verificación del código fuente o escrutinio le protegerá de usar
código no confiable. Para demostrar la posibilidad de esta clase de
ataques, yo elegí el compilador C. Usted puede haber escogido
cualquier programa que manipule otros programas, tales como un
ensamblador, un cargador o incluso el hardware del micródigo. En la
medida en que el nivel de los programas baje, esos gazapos serán más y
más difíciles de detectar. Un gazapo instalado en el micródigo será
casi imposible de detectar".

Jeremy Allison es desarrollador líder del Equipo Samba.
LinuxUser www.linuxuser.co.uk

Traducido por Jacinto Dávila para Rebelión

Enviado por: Decio Rodriguez
Vaslibre.org.ve



Otras noticias de interés:

Apple evitará gran parte de los hackintosh en Mac OS X 10.6.2
La próxima actualización de Mac OS X, la 10.6.2, que estos momentos se encuentra en fase Beta, elimina el soporte para procesadores Intel Atom, lo que impedirá la instalación de Mac OS X sobre computadoras no Apple. Estos procesadores suelen esta...
Hackeado el sistema de seguridad de iTunes
El noruego Jon Lech Johansen, más conocido como DVD Jon por burlar la protección anticopia de las películas en ese formato, ha reincidido en su ataque al sistema de descarga de música en línea iTunes, según el periódico digital IT-Avisen....
Document Freedom Day, ¿estás seguro de que tu .doc será legible en 10 años?
El Document Freedom Day (DFD), a celebrarse el próximo miércoles 31 de marzo, será el día dedicado a la liberación de documentos; es decir, será el día dedicado a dar a conocer la importancia de los formatos y estándares abiertos en la creaci...
La ley #SOPA posee desventajas para la seguridad
La aprobación de la ley antipiratería de Estados Unidos SOPA podría acarrear graves problemas de seguridad. La compañía Sophos ha alertado que con SOPA, se podría disparar el uso de DNS conflictivas y que se restaría herramientas de los provee...
¿Son los filtros antispam demasiado estrictos?
No faltan voces que aseguran que los filtros y programas de bloqueo del spam funcionan demasiado bien, lo cual puede llegar a ser un problema. Si AOL, por ejemplo, o cualquier otro ISP deciden que tal individuo es un spammer, ninguno de sus correos p...
ODF y PDF en Office 2007 con el Service Pack 2
Microsoft ha anunciado oficialmente que Office 2007 soportará ODF, PDF y XPS, no ya vía plug-in sino de forma directa con el segundo service pack que verá la luz a principios del año que viene. El soporte de PDF era muy esperado y estaba en los p...
Hotmail quiere acabar con el correo basura.
El Gigante de los correos Web tiene planes para acabar con el molesto correo basura....
Cómo evitar las contraseñas peligrosas
Una gran parte de los usuarios todavía crea sus contraseñas de manera simplista, haciéndolas carne de cañón para hackers. La presente infografía indica cómo evitar estas prácticas peligrosas y recoge los términos más utilizados en las passw...
Actualización para Google Chrome resuelve dos vulnerabilidades
A pesar de que no ha pasado mucho tiempo desde la última actualización (poco más de dos semanas), Google ha tenido que publicar una nueva versión de Chrome para solucionar dos vulnerabilidades catalogadas como críticas....
Aplicaciones sociales, principal amenaza de seguridad
La popularidad tiene su precio. Así, aunque Facebook puede ser el sitio de networking social más popular, con más de medio millón de usuarios activos, también encabeza la lista de las peores aplicaciones para las redes corporativas, según Watch...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computacion
  • computer
  • confiada
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra