Fernando Acero
Kriptópolis
Según comenta Theo DeRaadt en la lista de OpenBSD, alguien le ha alertado de la posibilidad de que el código de la Pila IPSEC de este sistema operativo, tenga puertas traseras por gentileza del Gobierno de los EEUU.
He de decir, que Theo DeRaadt es una persona que tiene toda mi confianza y que cuando dice cosas tan graves, poderosos motivos ha de tener para ello, sobre todo, si tenemos en cuenta la elevada implicación de Theo en el proyecto OpenBSD…
Todo ha comenzado con un inquietante correo que ha recibido procedente de Gregory Perry, una persona que estuvo involucrada en el desarrollo de OpenBSD y que hacía tiempo que no tenía contacto con Theo. Perry que alega que ya ha expirado el acuerdo de confidencialidad que había firmado con el FBI, le ha avisado de que algunos desarrolladores de OpenBSD y la compañía para la que trabajaban en aquel momento, aceptaron dinero del Gobierno de los EEUU, entre los años 2000 y 2001, para poner puertas traseras en la Pila IPSEC de OpenBSD, que por cierto, es un código que hasta este momento gozaba de una buena fama a nivel mundial. La intención de estas puertas traseras era la de poder espiar las redes privadas virtuales (VPN) que se establecieran con OpenBSD. más concretamente, tenían la intención de «monitorizar» el sistema de cifrado de la VPN usada por la EOUSA (Executive Office for United States Attorneys), que todo hay que decirlo, es un organismo oficial del Departamento de Justicia, lo que no tiene demasiado sentido.
Hay que tener en cuenta, que desde el mismo momento que estuvo disponible la primera versión libre de la Pila IPSEC de OpenBSD, gran parte de este código ha sido utilizado en otros muchos proyectos y productos y lo que es peor, a lo largo de estos años, el código original también ha pasado por una gran cantidad de cambios y adaptaciones, así que es muy complicado estimar el alcance y el impacto en la seguridad que ha podido tener este inquietante hecho, si al final resulta que es cierto.
Una vez que Theo ha tenido constancia de esta posibilidad, ha tomado la decisión de no formar parte de una posible conspiración y en lugar de ponerse a discutir con Perry de este feo asunto por correo electrónico, ha decidido hacerlo público en la lista de correo de desarrollo de OpenBSD con la intención de que:
(a) Aquellos que usen el código, puedan auditarlo en busca de puertas traseras en él,
(b) de que aquellos que estén enfadados por esta historia, puedan tomar otras acciones,
(c) y de que si no es verdad, aquellos que son acusados injustamente, puedan defenderse públicamente.
Theo reconoce que a él no le gusta que se reenvíen por otras personas sus correos privados, pero también considera, que esta es una postura mucho más ética, que la de un gobierno que paga a empresas y a programadores de Software Libre (que son más un grupo de amigos), para que inserten puertas traseras con la intención de espiar a la gente.
Ahora me dirán, ¿cómo es posible que nadie se haya dado cuenta de esto en 10 años y más, cuando se trata de software libre?. Bien, lo cierto es que no tengo respuesta a esta interesante pregunta, pero ahora que se ha abierto la caja de los truenos, al ser libre, no hay problemas para auditar cuidadosamente todo este código, cosa que no se podría hacer si fuera software privativo. Claro que también podemos decir, si se confirma que hay puertas traseras, que el software libre no lo audita nadie y que su seguridad real es un banco pintado, pero no debemos olvidar que se han detectado algunos intentos para modificar maliciosamente aplicaciones libres y privativas, pero aunque el software libre puede ser más sencillo de modificar, también es más sencillo de auditar y modificar en caso de necesidad.
Desde que lo dijo Hugo Scolnik y lo denunció Andrew Fernandez, la existencia de puertas traseras en el software privativo, era algo más que una mera sospecha. Algunos gobiernos, conscientes del enorme riesgo que podría suponer la existencia de puertas traseras en los sistemas que contenían información sensible, decidieron tomar medidas urgentes sin necesidad de esperar a más confirmaciones ni debates estériles. Pero, ¿tomaron una buena decisión los que se decantaron por OpenBSD en aquel momento?
Uno de los primeros países que decidieron eliminar los productos privativos de los sistemas con información sensible fue Alemania. Este país, de forma inteligente y en un tiempo récord, eligió GNU/Linux alternativa para los sistemas relacionados con Seguridad Nacional. Otros países, allá por el año 2005, también mostraron su preocupación por la posibilidad de que se pudiera acceder a la información contenida en sus sistemas gubernamentales y algunos, como China, también tomaron medidas para evitarlo.
Pero lo más significativo y sorprendente de esta historia, es que hasta los EEUU, conscientes de los posibles problemas de seguridad del software privativo, también decidieron usar sistemas de fuentes abiertas en algunos de sus sistemas sensibles y en especial, en aquellos relacionados con la Defensa Nacional.
Ahora, esta interesante polémica entre la seguridad del software privativo y del libre vuelve a la palestra casi un lustro después, con nuevos e interesantes argumentos para los que defienden cada una de estas posturas enfrentadas.
«Copyleft 2010 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved. Quotation is allowed.»
http://www.kriptopolis.org/puertas-traseras-openbsd
Traducción correo electrónico:
Lista: openbsd-tecnología
Asunto: Denuncias sobre OpenBSD IPSEC
De: Theo de Raadt deraadt <() cvs! OpenBSD! org>
Fecha: 12/14/2010 22:24:39
Message-ID: 201012142224.oBEMOdWM031222 () cvs! OpenBSD! org
[Descargar mensaje RAW]
He recibido un correo electrónico sobre el desarrollo de la pila IPSEC en OpenBSD. Se dice que algunos ex desarrolladores ( y la empresa para la que trabajaban) aceptaron dinero del gobierno de los EE.UU para poner puertas traseras en nuestra pila de red, la pila IPSEC, en torno a 2000-2001.
Desde que se desarrolló la primer pila Ipsec estuvo disponible en código abierto, código que aparece ahora en muchos de nuestros proyectos y productos. Después de 10 años, el código IPSEC ha pasado por muchos cambios y correcciones, por lo que estas acusaciones suponen un auténtico mazazo.
El correo me llegó de forma privada de una persona con la que no hablaba desde hace casi 10 años. Me niego a formar parte de una conspiración, y a no hablar sobre esta asunto con Gregory Perry. Por este motivo publico este correo, teniendo en cuenta que:
A) aquellos que utilizan el código pueden realizar una auditoría de estos problemas
B) los que se sientan molestos por este motivo, pueden tomar otras decisiones
C) si lo que se dice no es cierto, los acusados deberían defenderse.
Por supuesto que no me gusta que mi correo privado se reenvíe. Sin embargo, la “ética” de un correo privado que se reenvíe es mucho menor que la “ética global” de un gobierno que paga a empresas para que los desarrallores de código abierto inserten agujeros en el sortware para invadir la intimidad.
– — — —- —
De: Gregorio <Gregory.Perry@GoVirtual.tv> Perry
Para: «deraadt@openbsd.org» <deraadt@openbsd.org>
Asunto: Marco Crypto OpenBSD
Thread-Topic: Marco Crypto OpenBSD
Thread-Index: AcuZjuF6cT4gcSmqQv + FO3 / 2 m80eg ==
Fecha: Sun, 11 de diciembre 2010 23:55:25 0000
Message-ID: <8D3222F9EB68474DA381831A120B1023019AC034@mbx021-e2-nj-5.exch021.domain.local>
Accept-Language: es-ES
Content-Language: es-ES
X-MS-Ha-Adjuntar:
X-MS-TNEF-Correlator:
Content-Type: text / plain; charset = «iso-8859-1»
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Status: RO
Hola Theo,
Hace mucho tiempo que no hablábamos. Si recuerdas, hace ya un tiempo fui el director de tecnología NetSec y responsable de la financiación y donaciones para el cifrado de OpenBSD. Durante este periodo también realicé auditorías para el FBI, para su Centro de Soporte Técnico GSA, que era un proyecto de ingeniería inversa destinado a puertas traseras y aplicación de los principales mecanismos de custodia de tarjetas electrónicas, y la computación basada en hadware de otras tecnologías.
Mi contrato con el FBI acaba de terminar, y quería que fuesen conscientes del hecho de que el FBI ha colocado una serie de puertas traseras para permitir agujeros de seguridad en el OCF, con el expreso propósito de monitorear los sistemas de encriptación de las redes VPN, implemementado por EOUSA, organización matriz del FBI. Jason Wright y otros desarrolladores fueron responsables de las puertas traseras, y harían bien en examinar todo el código insertado por Wright, así como el del resto de desarroladores que trabajaron con anterioridad en NetSec.
Quizás sea este el motivo por el que perdió la finanación por parte de DARPA, que viendo la probabilidad de que las puertas traseras se instalasen, no quería ningún productos derivado basado en el mismo.
También es la razón por la que varias personas del FBI han promovido el uso de OpenBSD para VPN, y cortafuegos implementados en entornos virtuales, por jemplo, Scott Lowe, que es un muy respetado en los círculos de virtualización, pero que forma parte de la nómina del FBI, habiendo publicado recientemente varios tutoriales para el uso de máquinas virtuales en OpenBSD en la empresa Vmware Sphere.
Feliz Navidad …
Gregorio Perry
Consejero Delegado
GoVirtual Educación
«Los productos VMware Formación y Servicios»
540-645-6955 x111 (local)
866-354-7369 x111 (llamada gratuita)
540-931-9099 (móvil)
877-648-0555 (fax)
http://www.facebook.com/GregoryVPerry
http://www.facebook.com/GoVirtual