[eside-ghost] Cibercontrol

[txipi]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Mentiras arriesgadas y sobre los gobiernos que se dejan seducir por
ellas

Fernando Acero  (Febrero 2004)

Se permite reproducir y distribuir este artículo sin modificar e
indicando el autor del mismo.

En septiembre de 1999 el criptógrafo Andrew Fernandes, mientras
examinaba el código de un parche de seguridad de Windows, descubrió una
etiqueta denominada NSAKEY y a partir de ese momento, la polémica estaba
servida. Como consecuencia de esta noticia, aparecieron opiniones en
todos los idiomas y defendiendo todas las posturas posibles, incluso
calificando esta noticia como un ?oax? (mentira difundida por Internet).
   .

Sin esperar mucho, el día 3 de septiembre de 1999 la NSA (Agencia de
Seguridad Nacional de EEUU) y Microsoft lanzaron un comunicado conjunto
negando la noticia. Al día siguiente, Microsoft hizo unas declaraciones
en el Washington Post indicando que la etiqueta se usaba para marcar que
la clave en cuestión, cumplía con los estándares técnicos de la NSA y
que no se trataba de una puerta trasera. Pero a muchas personas y
gobiernos, como es lógico, este turbio asunto les pareció como poco
inquietante.

Con independencia de la polémica, muchos técnicos y expertos en
seguridad informática de todo el mundo, comenzaron a temer que realmente
hubiera una alianza entre Microsoft y la NSA. De hecho, parece algo
tentador y plausible, si tenemos en cuenta que dicho sistema operativo,
o el conjunto de los productos de Microsoft, representan casi un
monopolio y están presentes en más del 97% de los ordenadores de todo
mundo. Para hacerlo más plausible aún, basta con revisar las referencias
históricas relativas a los esfuerzos de los EEUU para conseguir
información de inteligencia por todos los medios posibles. Como muestra
podemos hacer referencia a la cara, compartida y sofisticada red
Echelon, tan negada en su momento por los gobiernos participantes y en
especial por los EEUU, cuando ahora sabemos que es algo muy real y
tangible.

.

No cabe duda de que una puerta trasera en los productos de Microsoft, si
se pudiera controlar a voluntad, sería algo muy tentador para cualquier
gobierno. Su existencia representaría una forma económica, segura,
eficaz y rápida de obtener cualquier tipo información de inteligencia
procedente de cualquier parte del mundo. Incluso se podría pensar en la
posibilidad de controlar remotamente sistemas informáticos y con ello,
los equipos o las instalaciones asociadas, sin necesidad de moverse de
casa. Recordemos también que las puertas traseras no están restringidas
a los productos de Microsoft y su existencia, con una u otra finalidad,
ya han aparecido en algunas aplicaciones informáticas, por lo que ese
inquietante hecho no se puede considerar como algo improbable.

Algunos gobiernos, conscientes del enorme riesgo que podría suponer la
existencia de esas puertas traseras para los sistemas que contenían
información sensible, decidieron tomar medidas urgentes sin necesidad de
esperar a más confirmaciones ni debates. En la toma de decisiones, al
margen de la posibilidad más o menos cierta de que existieran puertas
traseras, también influye el hecho palpable de que productos de
Microsoft presentan otros problemas de seguridad igualmente graves. Los
virus o los troyanos, por ejemplo, son fuentes de muchos problemas y
motivo frecuente de graves pérdidas económicas para los usuarios, lo que
es un problema adicional en los sistemas críticos. .

Uno de los primeros países que dieron el paso para eliminar los
productos de Microsoft de los sitios sensibles, fue Alemania. Este país
de forma inteligente y en un tiempo récord, eligió GNU/Linux como una
alternativa lógica, madura y segura a sus problemas de seguridad. Otros
países, como China por ejemplo, mostraron su preocupación por la
posibilidad de que se pudiera acceder a la información contenida en sus
sistemas gubernamentales y posteriormente, tomaron medidas diversas.
Pero lo más significativo y sorprendente, es que hasta los EEUU,
conscientes de la posible inseguridad y de los problemas relacionados
con los productos de Microsoft, decidieron usar sistemas de fuente
abierta en sus sistemas sensibles y en especial, en los relacionados con
la defensa nacional. No cabe duda de que eso lo hicieron al margen de la
posibilidad de las puertas traseras, puesto que en teoría las
controlaban ellos. .

En un intento de eliminar esas dudas razonables y razonadas hasta la
saciedad sobre la seguridad de sus productos y recuperar así, parte de
su deteriorada imagen de seguridad, Microsoft, entre otras medidas,
diseñó un proyecto de compartición de código que se denominó GSP
(Government Security Program) .

Según este proyecto, Microsoft permitiría, a los países interesados en
ello, el acceso controlado y autentificado a aparte de su código fuente.
Recientemente parte del código de Windows se ha filtrado y cuelga en
Internet. Microsoft defiende la necesidad de no mostrar su código, para
que nadie que cuente con los conocimientos adecuados, pueda atacarlo y
explotar las vulnerabilidades que encuentre, algo lógico puesto que el
modelo de desarrollo de la empresa es cerrado y no colaborativo.

La compartición de este código se ha criticado duramente y en muchas
ocasiones, por expertos de seguridad de todo el mundo y a la vista del
desarrollo posterior de los hechos, hemos de pensar que esas críticas
deberían haberse tenido en cuenta por más gobiernos. La iniciativa GSP
sido considerada por lo expertos de dudosa eficacia, peligrosa y poco
rentable para los gobiernos que la pudieran suscribir. . A cualquier
experto en informática se le ocurren muchas técnicas para que la
revisión del código fuente de un programa no revele lo que no interesa.
En este caso, es más sencillo puesto que se establecen limitaciones al
acceso y no se controla todo el proceso de generación del código
ejecutable, que incluye el código fuente de las librerías y
compiladores, o la posibilidad de generar, ejecutar y probar el programa
de forma local. Aclaremos que la propuesta de Microsoft no tiene nada
que ver con el software de fuentes abiertas, o con el software Libre,
aunque Microsoft ha intentado vender algunas similitudes para mayor
confusión de los usuarios.

Uno de los países que se prestó a la maniobra de Microsoft fue España y
el CNI (Centro Nacional de Inteligencia) ha obtenido acceso reciente al
código fuente incompleto de los productos de Microsoft. Si tenemos en
cuenta que en la administración española mantiene sistemas y programas
de Microsoft desde la versión 95 a la versión XP, podemos pensar que el
CNI tiene un trabajo de titanes puesto que cada versión tiene millones
de líneas de código fuente. No cabe duda de que la responsabilidad
asumida es grande. Si el CNI no es capaz de encontrar puertas traseras,
o fallos de seguridad que pudieran ser explotados, o si los encuentra,
no los publica y los usa en beneficio propio, estaría creando una falsa
sensación de seguridad altamente peligrosa. Pero como veremos
seguidamente, las puertas traseras aunque las haya en los ejecutables,
no se encontrarán por el CNI ni por nadie que acceda a código fuente de
Microsoft.

Para desgracia de nuestro gobierno y el CNI, en el CiberPaís del 12 de
Febrero de 2004 hay una esclarecedora entrevista a un eminente experto
en seguridad informática, que ha trabajado en ocasiones para Microsoft.
Se trata de Hugo Scolnik, una persona madura y de prestigio
internacional, que es Doctor en matemáticas por la Universidad de Zurich
(Suiza) y consultor de la Unesco. Scolnik que ha colaborado en la Ley de
Firma Digital de Argentina, país en el que reside, también ha
desarrollado proyectos de criptografía y seguridad, para los principales
bancos de ese país. Esta persona sobre la que no cabe ninguna duda de su
honestidad y que goza de prestigio internacional, ha contestado a
algunas preguntas de la periodista del CiberPaís y entre ellas, hay dos
muy significativas, que aclaran muchas dudas y que implican la toma de
acciones inmediatas por los responsables de seguridad de muchos países y
empresas.

Periodista: ¿No son los Gobiernos quienes quieren controlar a los
ciudadanos y conocer la clave de acceso al cifrado?

Scolnik: La política de EEUU durante mucho tiempo ha sido tratar de que
no hubiera criptografía fuerte para las personas comunes. Discutimos
muchísimo con autoridades de EEUU tanto por el proyecto que hicimos con
Microsoft como con el FBI y otras agencias. Mi posición particular es
que la gente peligrosa tiene acceso a la criptografía fuerte.

Periodista: ¿Tienen puerta trasera?

Scolnik: Nosotros hemos fabricados métodos que no pasan por el control
de ningún Gobierno. Cuando trabajábamos con Microsoft, con cada cambio
teníamos que enviar el código fuente a la NSA, donde lo compilan y
agregan lo que quieren y luego vuelve como producto que nosotros
distribuimos. No se que es lo que pusieron. En paralelo se han hecho
muchos métodos sin puerta trasera, algo que es muy importante para
asegurar la privacidad de las personas.

Estas afirmaciones son bastante claras, se corresponden a sospechas que
ya se tenían y representan un motivo suficiente como para que se tomen
medidas urgentes por parte de los particulares, empresas, gobiernos y
administraciones que usan software de Microsoft.

Analicemos la situación. Está claro que el programa de GSP (Government
Security Program) es una falacia, es inútil y representa una pérdida de
tiempo y esfuerzos. Esfuerzos que se podrían dedicar a mejorar y adaptar
los programas de fuentes abiertas a necesidades específicas de los
gobiernos e instituciones. Los motivos son obvios:

   1. El problema no está en el código fuente de Microsoft ni en el de
ninguna de las aplicaciones que corren sobre los sistemas operativos de
esta empresa, está en el ejecutable modificado por la NSA, que es lo que
le llega al usuario. Esto implica que lejos de ver el código fuente, lo
que hay que hacer es desensamblar el que se ejecuta, lo que no siempre
es sencillo ni viable.

   1. A la luz de las declaraciones de Scolnik, el ámbito de búsqueda se
amplía a cualquiera de las aplicaciones que se ejecutan sobre los
distintos sistemas operativos de Microsoft y no sirve de nada disponer
del código fuente de Microsoft o sus socios tecnológicos para poder
comprobarlo.

Esta es la maniobra perfecta de inteligencia, se permite el acceso a la
criptografía fuerte por los usuarios y se crea un falso clima de
seguridad. Cuando los sistemas tienen la información que se desea, se
accede a ella, ya sea mediante puertas traseras, claves maestras, o
explotando vulnerabilidades no publicadas. Por su fuera poco, este
software además de los problemas e incertidumbres de seguridad que crea,
por los costes asociados supone una enorme sangría económica para las
empresas y las administraciones que lo usan, lo que contribuye, con
cifras astronómicas, al desequilibrio de la balanza de pagos de muchos
países con los EEUU, es el círculo perfecto. Es curioso que se intente
conseguir el déficit cero, pero no se tomen en cuenta otras medidas para
lograrlo.

Las conclusiones son muy claras. España no debería haber entrado en el
peligroso juego de Microsoft. Esta empresa, aunque no ha mentido nunca,
no ha contado toda la verdad sobre lo que se ejecuta en los ordenadores.
Es cierto que su código fuente no tiene puertas traseras y que está
intentando mejorar la seguridad de sus programas, pero de lo demás no
dice nada y lo que no nos creemos, nos cuesta mucho probarlo. El Centro
Nacional de Inteligencia no debería hacerle el juego a una empresa
privada extranjera, colaborar con ellos en la mejora de la seguridad de
sus productos y al mismo tiempo, crear falsas expectativas de seguridad
en los ciudadanos, en la administración, o en las empresas.

No entraremos en el análisis del cuerpo legal aplicable en este caso,
que está bastante claro y es prolijo en lo que respecta a la protección
de la información y la intimidad de los ciudadanos. Por el momento, nos
basta con recordar un artículo de nuestra Carta Magna:

Artículo 18

1. Se garantiza el derecho al honor, a la intimidad personal y familiar
y a la propia imagen.

2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse
en él sin consentimiento del titular o resolución judicial, salvo en
caso de flagrante delito.

3. Se garantiza el secreto de las comunicaciones y, en especial, de las
postales, telegráficas y telefónicas, salvo resolución judicial.

4. La ley limitará el uso de la informática para garantizar el honor y
la intimidad personal y familiar de los ciudadanos y el pleno ejercicio
de sus derechos.

No cabe ninguna duda en la interpretación de este claro artículo y es
deseable que los responsables gubernamentales tomen conciencia de estos
problemas y sean capaces de tomar las medidas adecuadas, de forma que el
artículo 18 de la Constitución Española, se cumpla en toda su dimensión.
No se pueden anteponer los derechos básicos de los ciudadanos a los
intereses de una empresa extranjera, o las maquinaciones de otros
gobiernos, aunque sean amigos. Si no se hace así, se pueden derivar
consecuencias negativas para la Seguridad Nacional, para los intereses
económicos de la nación y evidentemente, no se garantizarán las
libertades fundamentales de los ciudadanos contenidas en la
Constitución.

Afortunadamente hay una alternativa, segura, rápida, eficaz y económica
a este y otros muchos problemas relacionados con el software. Se trata
de una alternativa altamente recomendada y debatida en foros de
reconocido prestigio internacional. La solución se llama Software Libre,
o Software de Fuentes Abiertas y es posible que acabe declarándose como
Patrimonio de la Humanidad. Este es software que no está controlado por
ninguna empresa o gobierno, permite un control absoluto de lo que se
está ejecutando en un ordenador y permite corregir, si fuera necesario,
cualquier fallo de seguridad que se pudiera presentar. Por sus virtudes,
el Software Libre se está usando con un gran éxito en muchos sitios y
todas las experiencias indican que es deseable su uso a todos los
niveles y en especial, en las aplicaciones en las que las necesidades de
seguridad son máximas.

Puede que no sea necesario ni aconsejable recurrir a la confirmación de
que existan o no puertas traseras en el software de Microsoft, la simple
sospecha de ello, debería bastar para tomar las medidas adecuadas, como
le bastó a Alemania en su momento. Que no se pueda demostrar la
existencia de puertas traseras, o que no se puedan encontrar, puede que
no sean motivos suficientes para no tener en cuenta tal posibilidad. Por
si fuera poco, todos los indicadores, incluidos los económicos y los
sociales, marcan que el Software Libre es el camino a seguir y así se
está asumiendo en muchos sitios.

Hemos de ir pensando en instalar Software de Fuentes Abiertas en todos
nuestros sistemas de la Administración y en especial, los relacionados
con la Seguridad Nacional, si queremos estar seguros de que nadie accede
a nuestros datos y que las garantías constitucionales están
salvaguardadas. Del mismo modo, el Ministerio de Ciencia y Tecnología
debería tomar conciencia de este asunto y sus consecuencias negativas, e
iniciar campañas institucionales recomendando a los particulares y las
empresas, la necesidad de mejorar su seguridad. Puede que la mejor forma
de hacerlo sea recomendando y fomentando el uso de Software Libre.

- -- 
Agur
  txipi

wget -O - http://sindominio.net/~txipi/txipi.gpg.asc | gpg --import
Key fingerprint = CCAF 9676 B049 997A 96D6  4D7C 3529 5545 4375 1BF4

Long life is in store for you.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFAMQqzNSlVRUN1G/QRAiwBAJ9caUaF1H+MVAjZjCQuFK1/lLCqGACfS7Sb
2kq9ULDSzYFdpT15uoksM1Q=
=PR5b
-----END PGP SIGNATURE-----