¿Podría haber un backdoor en un sistema operativo de código abierto?

noviembre 19, 2013 § 2 comentarios

Que la NSA propuso a Linus Torvalds introducir una puerta trasera en Linux era un rumor que el propio creador del kernel ya reconoció en septiembre durante la conferencia LinuxCon. Ahora sin embargo ya es un hecho confirmado porque así se reveló durante la audiencia sobre la vigilancia de masas en el Parlamento Europeo de esta semana.

Nils Torvalds, padre de Linus y miembro del Parlamento Europeo de Finlandia, comentaba (minuto 3:09:06 del vídeo): “Cuando a mi hijo mayor le hicieron la misma pregunta: ‘¿te ha hecho la NSA alguna propuesta sobre backdoors’, dijo ‘No’ , pero al mismo tiempo él asintió. Era una clase de libertad legal. Le había dado la respuesta correcta, [pero] todos entendieron que la NSA se había acercado a él”.

La historia no nos dice todavía qué respondió Linus Torvalds a la NSA, pero supongo que les dijo que no sería capaz de inyectar puertas traseras, aunque quisiera, ya que el código fuente es abierto y todos los cambios son revisados por muchas personas independientes. Después de todo, esa es una de las ventajas del código fuente abierto y la razón por la que, en teoría, se podría confiar cuando se trata de seguridad.

Y digo en teoría porque en este mundo ya nadie se ríe y piensa que eres un paranoico si afirmas que, aun así, también podrían haber introducido un backdoor en Linux, aunque sea un sistema operativo de código abierto…

Descargar e instalar un paquete firmado de un sitio oficial sólo te garantiza de dónde viene y que no ha sido modificado en tránsito. Pero, ¿se puede confiar en que realmente haya sido compilado sin haberse modificado ningún fichero del repositorio público o se hayan introducido cambios reconocidos pero con funcionalidades adicionales ocultas?

Realmente la respuesta da un poco igual para la mayoría. Si lo piensas ¿quién descarga y compila el código de una distribución? Sólo algunos profesionales y entusiastas. Es más, aunque recompilen el código ¿cuantos lo han revisado? Seguramente no haya nadie o muy pocos que tengan la capacidad de analizar todos los componentes del sistema operativo.

Supongamos que alguien decide analizar exhaustivamente el código para verificarlo. Si recordáis hace poco en el blog hablábamos de una iniciativa de financiación colectiva sólo para auditar el código de Truecrypt. Imaginaros el coste de auditar una distribución Linux cuyo código es más de 10 veces mayor.

Pero vayamos un poco más allá. Pensemos por un momento que alguien asume la inversión y se lleva a cabo la revisión completa del código del sistema operativo. Lo lógico sería que la revisión se dividiera por partes ¿no sería factible controlar a una empresa o a algunos grupos de desarrolladores? Es más, ¿no sería posible ocultar un backdoor delante de sus narices?. Ya en 2003 se cambiaron en el kernel dos líneas de código que parecían un error tipográfico pero que al llamar la función sys_wait4 daban acceso como root…

Pensarlo por un momento. Yo amo a Linux porque ofrece más libertad y al menos te da la opción de revisar y modificar el código pero creo que sí sería posible introducir una puerta trasera en el sistema operativo, aunque sea de código abierto… ¿por qué si no la NSA se habría dirigido a Linus Torvalds?

Fuente: Hackplayers

"El código Open Source es inferior" [Oracle]

octubre 16, 2013 § 3 comentarios

Oracle tiene una relación de amor-odio con tecnologías Open Source. En el informe recientemente publicado “The Department of Defense (DoD) and Open Source Software” [PDF] y desarrollado para el Departamento de Defensa de EE.UU., Oracle dice que el TCO (Costo Total de Propiedad) aumenta con el uso de código abierto.

Esencialmente tratan de construir un caso que pruebe que es mejor el uso de sus propios productos dentro del gobierno. “A primera vista podría parecer que las organizaciones de defensa pueden evitar la compra de productos de software comercial a partir de software open source y desarrollar sus propias aplicaciones pero la habilidad necesaria para mezclar exitosa y económicamente código fuente en un producto comercialmente viable es relativamente escasa y no debe hacerse a costa del gobierno”.

Oracle también ataca el modelo de desarrollo basado en la comunidad (OpenOffice and MySQL), diciendo que es más inseguro que los productos desarrollados por la compañía: “El desarrollo comunitario no está sujeto a la misma presión del mercado a nivel de código empresarial.”

Increible las estupideces que hay que leer y sólo para intentar justificar el software basura que desarrollan y así poder venderlo.

Cristian de la Redacción de Segu-Info

¿Una ‘puerta trasera’ de la NSA en Linux? Podría ser (II)

septiembre 10, 2013 § Deja un comentario

Mismo título, nuevo capítulo. Porque nada ha cambiado desde ayer en lo que al fondo del asunto respecta. Y éste no es, como advertimos en varias ocasiones, si Intel pudo haber jugado sucio o no, al no ser posible demostrarlo. El fondo del asunto es lo enturbiado que está todo el mundo de Internet por los excesos de la NSA y demás agencias gubernamentales de Estados Unidos.

No obstante, volvemos a retomar la historia de ayer, ya que hay informaciones complementarias que os pueden interesar. Sin ir más lejos, la respuesta airada de Linus Torvalds a este asunto, en concreto a una petición iniciada y concluida ayer mismo en Change.org para eliminar RdRand de /dev/random:

¿Dónde empiezo una petición para elevar el cociente intelectual y del kernel de las personas? Chicos, id a leer drivers/char/random.c. Entonces, aprended sobre criptografía. Por último, volved aquí y admitid ante el mundo que estabais equivocados. Respuesta corta: sabemos lo que estamos haciendo. Vosotros no. Respuesta larga: utilizamos RdRand como una de muchas “entradas en la piscina de entropía” [Ndt: Se refiere a un método para conseguir números aleatorios], y lo usamos como una manera de mejorar ese grupo al azar. Así que incluso si la NSA puso una puerta trasera en RdRand, nuestro uso de RdRand realmente mejora la calidad de los números aleatorios que obtiene de /dev/random. Respuesta muy corta: sois ignorantes”.

Como siempre, Torvalds responde de manera contundente y afilada. Sin embargo, no es su palabra la última a la que vamos a atender hoy. Theodore Ts’o, un veterano y reconocido desarrollador de Linux también ha mostrado su desconfianza en este asunto, vía Google+:

Estoy muy contento de haber resistido la presión de los ingenieros de Intel para que /dev/random se basara únicamente en la instrucción RdRand.

Basarse únicamente en el generador de números aleatorios del hardware que está utilizando una aplicación sellada dentro de un chip que es imposible de analizar, es una mala idea.

Así comienza una conversación que ya va por los 180 y pico comentarios donde encontraréis un poco de todo, desde usuarios preguntando a otros veteranos de Linux, como Alan Cox, dando su opinión o exponiendo detalles técnicos. Y tela. Un hilo de discusión muy jugoso, si es que os interesa el tema. Asimismo, acaban de publicar un artículo en Espacio Linux de muy recomendable lectura, donde explican en qué consiste el componente de la discordia, RdRand.

Aquí mismo pueden ver y descargar el código fuente original de Linux:
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/tree

Y aquí tienen el código fuente de Linux Libre:
http://linux-libre.fsfla.org/pub/linux-libre/releases/3.11-gnu/linux-libre-3.11-gnu.tar.xz

Las instrucciones relativas al uso de RdRand las encuentran en los archivos:
arch/x86/kernel/cpu/common.c
arch/x86/kernel/cpu/rdrand.c

La instrucción que inicializa RdRand se encuentra en common.c y su definición en rdrand.c. Y ambos kernels hacen uso de las mismas instrucciones sin modificación alguna.

Como muchos expertos explican, uno de los usos más importantes de los generadores de números aleatorios es la encriptación, por lo tanto, en teoría, si se conoce la secuencia de números obtenidos sería posible romper cualquier tipo de clave de encriptación.

En conclusión, por muy vehemente que haya sido la respuesta de Linus Torvalds y sin quitarle razón a lo que dice porque la tiene (no es incompatible con nada de lo expuesto), hay otros expertos del mismo nivel que no están tan a gusto con este asunto. A las referencias nos remitimos.

De hecho, remendamos ipso facto el error de no haber publicado una cita realmente descriptiva de Matt Mackall, el protagonista de la historia de ayer, en el comentario de la polémica. Pero solo el final, en el que, a modo de despedida y entre paréntesis, decía: “Y mientras tanto, mi desconfianza en la criptografía de Intel se ha movido de “paranoia profesional estándar” a “legítima preocupación real“.

Para terminar, repetimos una vez más que no está confirmado que RdRand -o cualquier otro de los componentes privativos que se utilizan o distribuyen con el kernel, ya que estamos- contenga una “trampa” de la NSA (también hay código de la NSA en SELinux). E incluso aunque así fuera, como indica el propio Torvalds y las fuentes enlazadas, se trata de un elemento complementario que solo funcionaría con chips Intel (a partir de Ivy Bridge) el cual, además, se puede desactivar.

¿Cómo desactivar esta característica? Sí, y en la misma documentación dice perfectamente como desactivarla: Documentation/kernel-parameters.txt

Basta con agregar la opción nordrand a la linea de booteo del kernel, y listo, problema solucionado.

Más allá de este caso particular, la gran desazón que se respira estos días, como sugiere la frase citada de Mackall, es la pérdida de confianza en todo lo que pasa por Estados Unidos. Y por Estados Unidos pasa todo. Eso tomándola en un sentido general, porque él apunta a un objetivo bastante más específico.

En cualquier caso, el titular de este artículo y su primera parte, ¿Una ‘puerta trasera’ en Linux? Podría ser, no iba en exclusiva por RdRand, como supongo que muchos de nuestros lectores ya habrán comprendido a estas alturas e incluso antes. No hace falta rebuscar demasiado para encontrarte con “puertas traseras” en Linux, ahí tienes Skype. Y tampoco es cuestión de desmoralizar a todo el mundo. Simplemente, las cosas están como están. Conviene saberlo y, si es menester, ir depurando la información hasta que se comprenda.

Fuente: Muy Linux y Espacio Linux

¿Una ‘puerta trasera’ de la NSA en Linux? Podría ser

septiembre 10, 2013 § 2 comentarios

¿Una ‘puerta trasera’ de la NSA en Linux? El asunto de PRISM, el espionaje masivo llevado a cabo por las autoridades de Estados Unidos y la tan en boca de todos estos días NSA, la Agencia de Seguridad Nacional, roza a estas alturas el delirio. Ni de Linux te puedes fiar ya, a tenor de lo publicado por Linux Magazine en Google+.

Hace un par de años Matt Mackall abandonó el proyecto de /dev/random porque Linus Torvalds sobreseyó su decisión de crear un generador de números aleatorios desde cero para, en vez de ello, utilizar el que proporciona los chipsets de Intel:

http://comments.gmane.org/gmane.comp.security.cryptography.randombit/4689

Mackall protestó la decisión ya que el mecanismo de generación de Intel es “inauditable” y por tanto, siguiendo las ideas de Richard Stallman, no se le podía confiar algo tan importante. Hay que entender  que los generadores de números aleatorios a menudo se usan para generar entropía para la generación de claves que luego se utilizan en el cifrado de datos y comunicaciones.

A grandes rasgos, hay un elemento privativo -es decir, de código cerrado, sin la posibilidad de ser analizado- en Linux, creado por Intel e impuesto en el kernel por el mismo Linus Torvalds, en contra de la opinión de Matt Mackall, mantenedor de ese área. Ese elemento se encarga de generar números aleatorios para distinto tipo de operaciones, entre otras, el cifrado de datos y comunicaciones. Y se sospecha que ha pasado una de esas “cosas que pasan“: Linux podría estar ‘troyanizado’ por la NSA.

Así, hace dos años que el Mackall dimitió precisamente por la negativa de Torvalds, que estaba convencido de la superioridad técnica del aporte de Intel. Pero Mackall volvió en julio a protagonizar una conversación que no ha levantado mucha polvareda -la prueba es que nos hemos enterado a través de una red social más de un mes después- pero que sería todo un mazazo para el sistema del pingüino de llegar a confirmarse. Porque no está confirmado.

A la dura sentencia que hacen desde Linux Magazine: “Ahora sabemos que Intel, a instancias de la NSA, coló una puerta trasera en su generador de números aleatorios…”. Solo podemos repetir que no está confirmado. El gran, grandísimo problema en este caso, es que va a ser prácticamente imposible de demostrar, por la naturaleza privativa del componente, que además ya no se utiliza de la misma forma.

Asimismo, se trata de un tema muy complejo, solo apto para expertos en la materia, y es que no se ponen de acuerdo ni ellos en las posibles implicaciones de este asunto. De hecho, ni siquiera está claro si este agujero negro afecta solo a dispositivos Intel o no, ya que el proceso de cocinado de distribuciones crea sus lagunas a este respecto.
En lo que sí parecen coincidir la mayoría es que en estos términos confiar en Intel es como tirarse a un pozo ciego, por lo que tampoco se descarta nada, todo lo contrario. Sea como fuere, sea verdad o mentira este caso en particular, parece que ya no hay nada de lo que fiarse.

¿Qué hacemos ahora? Os contábamos poco antes de verano, en plena explosión del escándalo PRISM, que una receta, tal vez la única receta para evitar el espionaje gubernamental en Internet, era software libre y cifrado. Sin embargo, el devenir de los acontecimiento lo ha puesto todo patas arriba. Porque muchos nos temíamos lo peor, pero verlo sobre el papel impacta… Y no hablamos solo de Linux o el software libre, que también.

Veamos: la NSA no solo controla todas las comunicaciones (teléfono, Internet) que pasan por Estados Unidos. Ahora sabemos que también puede espiar cualquier dispositivo móvil, y que obliga a las empresas a incluir puertas traseras en su software. ¿No te sorprende? Pues debería. Como muestra, el completo resumen publicado ayer por el reconocido experto en seguridad informática Chema Alonso en su blog (imperdible ese artículo).

Ya está. Olvídate de la privacidad de tus datos para con las autoridades estadounidenses -y seguramente para con muchos otros gobiernos a lo largo y ancho del globo-, porque no puedes estar seguro de nada. Repetimos: no puedes estar seguro de NADA… En Internet.

¿Utilizas solo software libre? Ya sabes, una de esas distribuciones 100% libres. No importa. Es imposible revisar todo el código que incluyen, y aunque así fuese, lo podrido te puede llegar vía hardware. O vía vulnerabilidad descubierta -o abierta, ojo- por la NSA hace vaya usted a saber cuánto y vaya usted a saber dónde, todavía sin resolver. Desgraciadamente, hemos alcanzado ese punto de no retorno en la confianza.

Llegados, pues, a este punto de no retorno, se hace harto difícil continuar escribiendo, porque la única conclusión viable es deprimente: si eres una persona normal, es decir, no eres un criminal de altos vuelos, un terrorista, el presidente de una gran multinacional o un alto cargo gubernamental, y en estos casos ya se ocupará alguien de tu seguridad, pasa de todo.

Y más si no eres ciudadano estadounidense, que ni pinchas, ni cortas. Ellos al menos pueden castigar con el voto, aunque ese cáncer llamado bipartidismo que impera en esa nación -y en otras muchas, como España- hace realmente difícil que algo tan enraizado en el sistema pueda cambiar. Como tantas otras veces ha pasado, se maquillará de cara al público, y todo seguirá igual.

Aún así, parece que hay cosas que sí funcionan. Ahí está Wikileaks para demostrarlo. O el cierre de Lavabit, el servicio de correo electrónico utilizado por Edward Snowden, el cual no solo parece que funcionaba como debía, sino que no se dejó ‘troyanizar” por las autoridades y se vio forzado a cerrar y a defenderse en los tribunales en una guerra que puede durar años.

En definitiva, quéjate públicamente, haz piña con las iniciativas populares que surjan demandando transparencia… Pero que algo vaya a cambiar no se lo imagina ni el guionista de Matrix. Así que mejor preocúpate de mantener tus datos seguros de los malos de siempre que pululan por Internet, que a la NSA no le interesan tus “trapos sucios”. ¿Es indignante que puedan hacer lo que les de la gana? Sí. ¿Consiguió John Connor salvar al mundo de Skynet?

Fuente: Muy Linux

Para Linux permítame sugerirle el exploit…

septiembre 6, 2013 § Deja un comentario

¡Linux Exploit Suggester es un sencillo Script en Perl que, basándose en la versión del kernel, identifica rápidamente las vulnerabilidades conocidas y sugiere exploits para conseguir root en una prueba de intrusión legítima.

# wget https://github.com/PenturaLabs/Linux_Exploit_Suggester/raw/master/Linux_Exploit_Suggester.pl

# uname -r
3.7-trunk-686-pae

# perl ./Linux_Exploit_Suggester.pl

Kernel local: 3.7.

Searching among 63 exploits...

Possible Exploits:
[+] msr (3.7.0)
    CVE-2013-0268
    Source: http://www.exploit-db.com/exploits/27297/

Fuente: Hackplayers

Ubuntu Forums: Robo de 1,82m de logins

julio 22, 2013 § 1 comentario

Ubuntu Forums sufrió una violación masiva de datos. En un comunicado publicado en su página principal, Canonical confirmó que hubo un fallo de seguridad y que el equipo está trabajando para restablecer las operaciones normales.

El sitio sufrió un deface durante la tarde del sábado y el aviso dice que “el nombre de usuario, la contraseña y la dirección de correo electrónico de cada usuario de la base de datos fueron robados”. La compañía confirmó que a pesar de las contraseñas no se almacenan en texto plano, los usuarios deberían cambiar las contraseñas.

Se estima que 1,82 millones de usuarios están suscritos a los foros, con más de 1,96 millones de temas. El foro en sí se encuentra sobre vBulletin y actualmente está en mantenimiento.

“Ubuntu One, Launchpad y otros servicios de Ubuntu no se ven afectados por la violación”, dijo la empresa.

Cristian de la Redacción de Segu-Info

eBook "The Linux command line"

julio 16, 2013 § Deja un comentario

The Linux command line es un libro totalmente orientado a enseñarnos a usar la línea de comandos en sistemas Linux. Éste recoge el contenido de linuxcommand.org, pero en mayor detalle. Toca desde temas básicos, hasta temas más avanzados como la programación de scripts.

El libro está publicado por la prestigiosa editorial no startch press, desde donde puedes comprarlo, pero el autor ha liberado una versión totalmente gratuita en formato PDF con licencia Creative Commons.

Fuente: Cyberhades

¿Dónde estoy?

Actualmente estás explorando la categoría Software libre en Seguridad Informática.