---------- Missatge reenviat ----------
Subject: [Socios-HispaLinux] Art�culo sobre seguridad.
Date: Dissabte 14 Febrer 2004 19:36
From: Fernando Acero Martin <facero+ensa�mada+teleline.es>
To: Lista Socios <socios+ensa�mada+listas.hispalinux.es>
Hola:
Soy Fernando Acero, el vocal de HispaLinux, os mando este art�culo
por si es de vuestro inter�s.
Un saludo, Fernando Acero.
***********************************************************************
Mentiras arriesgadas y sobre los gobiernos que se dejan seducir por ellas
Fernando Acero (Febrero 2004)
Se permite reproducir y distribuir este art�culo sin modificar e
indicando el autor del mismo.
En septiembre de 1999 el cript�grafo Andrew Fernandes,
http://www.fernandes.org/andrew.html mientras examinaba el c�digo de
un parche de seguridad de Windows, descubri� una etiqueta denominada
NSAKEY y a partir de ese momento, la pol�mica estaba servida. Como
consecuencia de esta noticia, aparecieron opiniones en todos los
idiomas y defendiendo todas las posturas posibles, incluso calificando
esta noticia como un
oax
(mentira difundida por Internet).
http://www.quepasa.cl/revista/1484/38.html
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/n
ews/backdoor.asp.
Sin esperar mucho, el d�a 3 de septiembre de 1999 la NSA (Agencia de
Seguridad Nacional de EEUU) y Microsoft lanzaron un comunicado
conjunto negando la noticia. Al d�a siguiente, Microsoft hizo unas
declaraciones en el Washington Post indicando que la etiqueta se usaba
para marcar que la clave en cuesti�n, cumpl�a con los est�ndares
t�cnicos de la NSA y que no se trataba de una puerta trasera. Pero a
muchas personas y gobiernos, como es l�gico, este turbio asunto les
pareci� como poco inquietante.
Con independencia de la pol�mica, muchos t�cnicos y expertos en
seguridad inform�tica de todo el mundo, comenzaron a temer que
realmente hubiera una alianza entre Microsoft y la NSA. De hecho,
parece algo tentador y plausible, si tenemos en cuenta que dicho
sistema operativo, o el conjunto de los productos de Microsoft,
representan casi un monopolio y est�n presentes en m�s del 97% de los
ordenadores de todo mundo. Para hacerlo m�s plausible a�n, basta con
revisar las referencias hist�ricas relativas a los esfuerzos de los
EEUU para conseguir informaci�n de inteligencia por todos los medios
posibles. Como muestra podemos hacer referencia a la cara, compartida
y sofisticada red Echelon, tan negada en su momento por los gobiernos
participantes y en especial por los EEUU, cuando ahora sabemos que es
algo muy real y tangible.
http://altavoz.nodo50.org/echelon2000.htm.
No cabe duda de que una puerta trasera en los productos de Microsoft
es algo muy tentador para cualquier gobierno, si se puede controlar a
voluntad. Su existencia representar�a una forma econ�mica, segura,
eficaz y r�pida de obtener cualquier tipo informaci�n de inteligencia
procedente de cualquier parte del mundo. Incluso se podr�a pensar en
la posibilidad de controlar remotamente sistemas inform�ticos y con
ello, los equipos o las instalaciones asociadas, sin necesidad de
moverse de casa. Recordemos tambi�n que las puertas traseras no est�n
restringidas a los productos de Microsoft y la existencia de puertas
traseras, con una u otra finalidad, ya han aparecido en algunas
aplicaciones inform�ticas, por lo que ese inquietante hecho no se
puede considerar como algo improbable.
Algunos gobiernos, conscientes del enorme riesgo que podr�a suponer la
existencia de esas puertas traseras para los sistemas que conten�an
informaci�n sensible, decidieron tomar medidas urgentes sin necesidad
de esperar a m�s confirmaciones ni debates. En la toma de decisiones,
al margen de la posibilidad m�s o menos cierta de que existieran
puertas traseras, tambi�n influye el hecho palpable de que productos
de Microsoft presentan otros problemas de seguridad igualmente graves.
Los virus o los troyanos, por ejemplo, son fuentes de muchos problemas
y motivo frecuente de graves p�rdidas econ�micas para los usuarios, lo
que es un problema adicional en los sistemas cr�ticos.
http://www.soportelinux.com/articulo.php?articulo_id=7.
Uno de los primeros pa�ses que dieron el paso para eliminar los
productos de Microsoft de los sitios sensibles, fue Alemania. Este
pa�s de forma inteligente y en un tiempo r�cord, eligi� GNU/Linux como
una alternativa l�gica, madura y segura a sus problemas de seguridad.
Otros pa�ses, como China por ejemplo, mostraron su preocupaci�n por la
posibilidad de que se pudiera acceder a la informaci�n contenida en
sus sistemas gubernamentales y posteriormente, tomaron medidas
diversas. Pero lo m�s significativo y sorprendente, es que hasta los
EEUU, conscientes de la posible inseguridad y de los problemas
relacionados con los productos de Microsoft, decidieron usar sistemas
de fuente abierta en sus sistemas sensibles y en especial, en los
relacionados con la defensa nacional. No cabe duda de que eso lo
hicieron al margen de la posibilidad de las puertas traseras, puesto
que en teor�a las controlaban ellos.
http://www.noticiasdot.com/publicaciones/2002/0602/0206/noticias0206/noticias
0206-16.htm.
En un intento de eliminar esas dudas razonables y razonadas hasta la
saciedad sobre la seguridad de sus productos y recuperar as�, parte de
su deteriorada imagen de seguridad, Microsoft, entre otras medidas,
dise�� un proyecto de compartici�n de c�digo que se denomin� GSP
(Government Security Program)
http://www.microsoft.com/presspass/features/2003/Jan03/01-14gspmundie.asp.
Seg�n este proyecto, Microsoft permitir�a, a los pa�ses interesados en
ello, el acceso controlado y autentificado a aparte de su c�digo
fuente. Recientemente parte del c�digo de Windows se ha filtrado y
cuelga en Internet. Microsoft defiende la necesidad de no mostrar
c�digo para que nadie, que cuente con los conocimientos adecuados,
pudiera atacarlo y explotar las vulnerabilidades que encontrara, cosa
que es l�gica puesto que el modelo de desarrollo de la empresa es
cerrado y no colaborativo.
La compartici�n de este c�digo se ha criticado duramente y en muchas
ocasiones, por expertos de seguridad de todo el mundo y a la vista del
desarrollo posterior de los hechos, hemos de pensar que esas cr�ticas
deber�an haberse tenido en cuenta por m�s gobiernos. La iniciativa GSP
sido considerada por lo expertos de dudosa eficacia, peligrosa y poco
rentable para los gobiernos que la pudieran suscribir.
http://www.hispalinux.es/noticias/160
http://www.hispalinux.es/noticias/159. A cualquier experto en
inform�tica se le ocurren muchas t�cnicas para que la revisi�n del
c�digo fuente de un programa revele lo que no interesa. En este caso,
es m�s sencillo puesto que se establecen limitaciones al acceso y no
se controla todo el proceso de generaci�n del c�digo ejecutable, que
incluye el c�digo fuente de las librer�as y compiladores, o a la
posibilidad de generar, ejecutar y probar el programa de forma local.
Aclaremos que la propuesta de Microsoft no tiene nada que ver con el
software de fuentes abiertas, o con el software Libre, aunque
Microsoft ha intentado vender algunas similitudes para mayor confusi�n
de los usuarios.
Uno de los pa�ses que se prest� a la maniobra de Microsoft fue Espa�a
http://iblnews.com/noticias/01/98285.html y el CNI (Centro Nacional de
Inteligencia) ha obtenido acceso reciente al c�digo fuente incompleto
de los productos de Microsoft. Si tenemos en cuenta que en la
administraci�n espa�ola mantiene sistemas y programas de Microsoft
desde la versi�n 95 a la versi�n XP, podemos pensar que el CNI tiene
un trabajo de titanes puesto que cada versi�n tiene millones de l�neas
de c�digo fuente. No cabe duda de que la responsabilidad asumida es
grande. Si el CNI no es capaz de encontrar puertas traseras, o fallos
de seguridad que pudieran ser explotados, o si los encuentra, no los
publica y los usa en beneficio propio, estar�a creando una falsa
sensaci�n de seguridad altamente peligrosa. Pero como veremos
seguidamente, las puertas traseras aunque las haya en los ejecutables,
no se encontrar�n por el CNI, ni por nadie que acceda a c�digo fuente
de Microsoft.
Para desgracia de nuestro gobierno y el CNI, en el CiberPa�s del 12 de
Febrero de 2004 hay una esclarecedora entrevista a un eminente experto
en seguridad inform�tica, que ha trabajado en ocasiones para
Microsoft. Se trata de Hugo Scolnik, una persona madura y de prestigio
internacional, que es Doctor en matem�ticas por la Universidad de
Zurich (Suiza) y consultor de la Unesco. Scolnik que ha colaborado en
la Ley de Firma Digital de Argentina, pa�s en el que reside, tambi�n
ha desarrollado proyectos de criptograf�a y seguridad, para los
principales bancos de ese pa�s. Esta persona sobre la que no cabe
ninguna duda de su honestidad y que goza de prestigio internacional,
ha contestado a algunas preguntas de la periodista del CiberPa�s y
entre ellas, hay dos muy significativas, que aclaran muchas dudas y
que implican la toma de acciones inmediatas por los responsables de
seguridad de muchos pa�ses y empresas.
Peridodista: �No son los Gobiernos quienes quieren controlar a los
ciudadanos y conocer la clave de acceso al cifrado?
Scolnik: La pol�tica de EEUU durante mucho tiempo ha sido tratar de
que no hubiera criptograf�a fuerte para las personas comunes.
Discutimos much�simo con autoridades de EEUU tanto por el proyecto que
hicimos con Microsoft como con el FBI y otras agencias. Mi posici�n
particular es que la gente peligrosa tiene acceso a la criptograf�a
fuerte.
Peridista: �Tienen puerta trasera?
Scolnik: Nosotros hemos fabricados m�todos que no pasan por el control
de ning�n Gobierno. Cuando trabaj�bamos con Microsoft, con cada cambio
ten�amos que enviar el c�digo fuente a la NSA, donde lo compilan y
agregan lo que quieren y luego vuelve como producto que nosotros
distribuimos. No se que es lo que pusieron. En paralelo se han hecho
muchos m�todos sin puerta trasera, algo que es muy importante para
asegurar la privacidad de las personas.
Estas afirmaciones son bastante claras, se corresponden a sospechas
que ya se ten�an y representan un motivo suficiente como para que se
tomen medidas urgentes por parte de los particulares, empresas,
gobiernos y administraciones que usan software de Microsoft.
Analicemos la situaci�n. Est� claro que el programa de GSP (Government
Security Program) es una falacia, es in�til y representa una p�rdida
de tiempo y esfuerzos. Esfuerzos que se podr�an dedicar a mejorar y
adaptar los programas de fuentes abiertas a necesidades espec�ficas de
los gobiernos e instituciones. Los motivos son obvios:
1)El problema no est� en el c�digo fuente de Microsoft ni en el de
ninguna de las aplicaciones que corren sobre los sistemas operativos
de esta empresa, est� en el ejecutable modificado por la NSA, que es
lo que le llega al usuario. Esto implica que lejos de ver el c�digo
fuente, lo que hay que hacer es desensamblar el que se ejecuta, lo que
no siempre es sencillo ni viable.
2)A la luz de las declaraciones de Scolnik, el �mbito de b�squeda se
ampl�a a cualquiera de las aplicaciones que se ejecutan sobre los
distintos sistemas operativos de Microsoft y no sirve de nada disponer
del c�digo fuente de Microsoft o sus socios tecnol�gicos para poder
comprobarlo.
Esta es la maniobra perfecta de inteligencia, se permite el acceso a
la criptograf�a fuerte por los usuarios y se crea un falso clima de
seguridad. Cuando los sistemas tienen la informaci�n que se desea, se
accede a ella, ya sea mediante puertas traseras, claves maestras, o
explotado vulnerabilidades no publicadas. Por su fuera poco, este
software adem�s de los problemas e incertidumbres de seguridad que
crea, por los costes asociados supone una enorme sangr�a econ�mica
para las empresas y las administraciones que lo usan, lo que
contribuye, con cifras astron�micas, al desequilibrio de la balanza de
pagos de muchos pa�ses con los EEUU, es el c�rculo perfecto. Es
curioso que se intente conseguir el d�ficit cero, pero no se tomen en
cuenta otras medidas para lograrlo.
Las conclusiones son muy claras. Espa�a no deber�a haber entrado en el
peligroso juego de Microsoft. Esta empresa, aunque no ha mentido
nunca, no ha contado toda la verdad sobre lo que se ejecuta en los
ordenadores. Es cierto que su c�digo fuente no tiene puertas traseras
y que est� intentando mejorar la seguridad de sus programas, pero de
lo dem�s no dice nada y lo que no nos creemos, nos cuesta mucho
probarlo. El Centro Nacional de Inteligencia no deber�a hacerle el
juego a una empresa privada extranjera, colaborar con ellos en la
mejora de la seguridad de sus productos y al mismo tiempo, crear
falsas expectativas de seguridad en los ciudadanos, en la
administraci�n, o en las empresas.
No entraremos en el an�lisis del cuerpo legal aplicable en este caso,
que est� bastante claro y es prolijo en lo que respecta a la
protecci�n de la informaci�n y la intimidad de los ciudadanos. Por el
momento, nos basta con recordar un art�culo de nuestra Carta Magna:
Art�culo 18
1. Se garantiza el derecho al honor, a la intimidad personal y
familiar y a la propia imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podr�
hacerse en �l sin consentimiento del titular o resoluci�n judicial,
salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de
las postales, telegr�ficas y telef�nicas, salvo resoluci�n judicial.
4. La ley limitar� el uso de la inform�tica para garantizar el honor y
la intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos.
No cabe ninguna duda en la interpretaci�n de este claro art�culo y es
deseable que los responsables gubernamentales tomen conciencia de
estos problemas y sean capaces de tomar las medidas adecuadas de forma
que el art�culo 18 de la Constituci�n Espa�ola se cumpla en toda su
dimensi�n. No se pueden anteponer los derechos b�sicos de los
ciudadanos, a los intereses de una empresa extranjera, o las
maquinaciones de otros gobiernos, aunque sean amigos. Si no se hace
as�, se pueden derivar consecuencias negativas para la Seguridad
Nacional, para los intereses econ�micos de la naci�n y evidentemente,
no se garantizar�n las libertades fundamentales de los ciudadanos
contenidas en la Constituci�n.
Afortunadamente hay una alternativa, segura, r�pida, eficaz y
econ�mica a este y otros muchos problemas relacionados con el
software. Se trata de una alternativa altamente recomendada y debatida
en foros de reconocido prestigio internacional. La soluci�n se llama
Software Libre, o Software de Fuentes Abiertas, que es posible que
acabe declar�ndose como Patrimonio de la Humanidad. Este es software
que no est� controlado por ninguna empresa o gobierno, permite un
control absoluto de lo que se est� ejecutando en un ordenador y
permite corregir, si fuera necesario, cualquier fallo de seguridad que
se pudiera presentar. Por sus virtudes, el Software Libre se est�
usando con un gran �xito en muchos sitios y todas las experiencias
indican que es deseable su uso a todos los niveles y en especial, en
las aplicaciones en las que las necesidades de seguridad son m�ximas.
Puede que no sea necesario ni aconsejable recurrir a la confirmaci�n
de que existan o no puertas traseras en el software de Microsoft, la
simple sospecha de ello deber�a bastar para tomar las medidas
adecuadas, como le bast� a Alemania en su momento. Que no se pueda
demostrar la existencia de puertas traseras, o que no se puedan
encontrar, puede que no sean motivos suficientes para no tener en
cuenta tal posibilidad. Por si fuera poco, todos los indicadores,
incluidos los econ�micos y los sociales, marcan que el Software Libre
es el camino a seguir y as� se est� asumiendo en muchos sitios.
Hemos de ir pensando en instalar Software de Fuentes Abiertas en todos
nuestros sistemas de la Administraci�n y en especial, los relacionados
con la Seguridad Nacional, si queremos estar seguros de que nadie
accede a nuestros datos y que las garant�as constitucionales est�n
garantizadas. Del mismo modo, el Ministerio de Ciencia y Tecnolog�a
deber�a tomar conciencia de este asunto y sus consecuencias negativas,
e iniciar campa�as institucionales recomendando a los particulares y
las empresas, la necesidad de mejorar su seguridad. Puede la mejor
forma de hacerlo sea recomendando y fomentando el uso de Software Libre.
-------------------------------------------------------
--
Benjam�
http://bitassa.com
.
smime.p7s
Description: S/MIME Cryptographic Signature
_______________________________________________ Lista Socios Para DESUSCRIBIRTE escribe a [EMAIL PROTECTED] https://listas.hispalinux.es/mailman/listinfo/socios
