Desde hace unos meses se apunta a Intel como una de las empresas que colaborarían con la NSA y que habrían emplazado puertas traseras en sus chips para la agencia de espionaje estadounidense. El kernel de Linux se vale de un recurso, precisamente, diseñado por Intel y algunas voces apuntan a que, quizás, el kernel de Linux podría incluir una de estas supuestas puertas traseras
10-09-2013 - Las revelaciones de Edward Snowden sobre PRISM y el resto de programas de espionaje de la NSA han provocado un clima de desconfianza sobre muchos de los servicios que operan en la red (sobre todo si tienen base en Estados Unidos). Hemos llegado a un punto en el que miramos con recelo aportaciones tecnológicas de empresas o entidades públicas vinculadas al Gobierno de Estados Unidos y, como prueba de ello, hoy mismo se está hablando mucho de Linux y una posible puerta trasera que la NSA habría escondido en el kernel de Linux.
Honestamente, creo que esta información hay que tomarla con mucha cautela y, sobre todo, hay que intentar que no cunda el pánico porque, a veces, las cosas pueden terminar siendo mucho más simples de lo que parecen y las teorías de la conspiración se pueden terminar convirtiendo en un cúmulo de errores o decisiones no demasiado meditadas.
El hecho es que, desde el mes de julio, viene circulando por los foros (y también por Reddit) un mensaje bastante inquietante que dejaría entrever que, en el kernel de Linux, existiría un backdoor al servicio de la NSA. El encargado de dejar este regalo en el núcleo de Linux habría sido Intel y, precisamente, no es la primera vez que se asocia el nombre de Intel (y también el de AMD) a la NSA puesto que, en términos prácticos, es mejor controlar el hardware que ponerse a descifrar un código.
Según parece, hace un par de años, Matt Mackall dejó el proyecto /dev/random (el generador de números aleatorios del kernel de Linux) porque Linus Torvalds decidió que no era práctico abrir un proyecto para desarrollar esta funcionalidad desde cero y que, por tanto, en vez de «reinventar la rueda», era mejor apostar por una solución que ya estuviese implementada. ¿Su decisión? Apostar por la generación de números aleatorios que ya se incluía en los chips de Intel, un sistema que, en la práctica, es cerrado y, por tanto, no se puede revisar ni tampoco auditar.
Si tomamos como referencia que los generadores aleatorios se suelen usar como semilla para generar claves que se usan a la hora de cifrar datos y comunicaciones, dejar esta función en manos de un tercero genera suspicacias. Si a estas suspicacias le sumamos las vinculaciones de Intel con la NSA, parece que el resultado es pensar en posibles puertas traseras y huecos que permitirían a la NSA controlar lo que se considera incontrolable.
Evidentemente, hay muchas cosas aún por demostrar y afirmar que Linux posee una puerta trasera, en mi opinión, es temerario y alarmista puesto que se tienen que demostrar bastantes cosas. Como bien me comentaba Yago Jesús de Security by Default, Linus Torvalds suele actuar de manera muy pragmática y en vez de complicar el proyecto desarrollando algo desde cero que, precisamente, no es sencillo, apostó por usar algo que ya existía y funcionaba bien. Si se ha equivocado o no, evidentemente, necesitará un análisis pero, con todo el ruido generado por los casos de espionaje de la NSA y su vinculación a las empresas tecnológicas, parece que todo el mundo va a mirar con recelo cualquier aportación que proceda de una empresa:
«Creo, sinceramente, que la gente es muy ingenua, pero mucho mucho. Si crees que Estados Unidos te va a dar herramientas para que uses criptografía de una forma en la que ellos no puedan interceptar la comunicación, estás pensando en un mundo totalmente irreal».
En los últimos meses hemos comentado que la seguridad de nuestros datos es una utopía si estos se terminan almacenando en Estados Unidos. Muchas empresas están viendo una oportunidad y, por ejemplo, Orange anunció durante el Encuentro de las Telecomunicaciones de Santander que iban a ofrecer un servicio de almacenamiento alojado en Europa; sin embargo, el cifrado de los datos, quizás, no es tan seguro como pensamos. En este sentido, Yago Jesús me comentaba un detalle bastante curioso y sobre el que vale la pena reflexionar:
«Hay que asumir que la criptografía es genial para el 99,99% de los casos ya que hace inaccesible tus datos / comunicaciones ante ataques maliciososos; sin embargo, siempre tienes que pensar que, si está ahí y se puede usar es porque la NSA y Estados Unidos tienen muy claro que no va a ser obstáculo para ellos».
¿Y entonces? ¿Existe una puerta trasera en el kernel de Linux? En mi opinión, la duda es razonable y si tenemos en cuenta las vinculaciones de Intel con la NSA, no me parece descabellado pensarlo aunque, eso sí, creo que afirmarlo sin un análisis podría generar una alarma innecesaria.
Actualización: Como bien decía Spanishbizarro en los comentarios, Linus Torvalds ha contestado a estos rumores siguiendo su personal estilo (carente de tacto) para negar que exista ninguna puerta trasera en el kernel y, por tanto, con su tajante respuesta da el asunto por zanjado.
Por tanto, según Torvalds no hay ninguna puerta trasera ni nada por el estilo.
ALT1040