10 abr 2014

Julian Assange: Debian Is Owned By The NSA

Declaraciones fuertes, luego de que se le atribuyo tanto a RHEL con SELinux, a Google con el tema del fallo de rdandr de Android y a Intel con el generador de numeros aleatorios, parece que ahora, Debian cae en la volteada y otros mas, por no decir, que todos.
No voy a traducir la nota entera, pero brevemente, lo que dice Assange es que el fallo ese de hace unos años, que estuvo durante AÑOS presente en el openssl de Debian, donde un chico dijo remover una linea porque le parecia de mas, no fue accidental sino intencional, lo mismo con el reciente fallo de openssl que estuvo expuesto 2 años, asi es como nadie se salva, ni red hat.

http://igurublog.wordpress.com/2014/04/08/julian-assange-debian-is-owned-by-the-nsa/

http://www.youtube.com/watch?v=UFFTYRWB0Tk

9 comentarios:

  1. Hora resulta que usar Linux y Windows es casi lo mismo porque acá el tema de los Backdoors no se salva nadie.
    Lo que si me a puesto a pensar es el control tan tremendo que tiene RedHat en este momento en el ecosistema Gnu/Linux, esto no me da buena espina, y muchos criticando a Canonical por querer tomar su propio camino, si esta empresa tuviera convicción en sus declaraciones y su futuro como empresa, era mejor que hicieran su propio camino, por lo menos habría un sistema diferenciador.

    ResponderEliminar
    Respuestas
    1. Si, lo dije en el post anterior creo, con el tema de Kay Sievers, redhat de a poco toma control de todo, udev, systemd en todas las distro, nadie se opone, selinux en el kernel, y una lista larga, que pasaria si redhat es la proxima microsoft?.

      Por las declaraciones de Assange, usar Windows o Linux, es lo mismo... nadie esta a salvo, quien te dice que alguno de los developer de systemd o udev no metieron algo?.

      Usar Windows Phone o Android, quien dice que Google es un santo?.

      La unica solucion a esto es volver a los origenes......

      1.- Nada de smartphone, a usar nokia1100 o cosas asi de rudimentarias
      2.- Usar LFS o hacer tu propio OS o usar alguno que la NSA tenga fuera de la mira, como ReactOS, RiscOS o alguno de esos, dado que la NSA tiene en mira los sistemas "seguros" como BSD y Linux

      Eliminar
  2. Un punto en contra del software libre. En el fondo, no es controlable por su propia naturaleza colaborativa (cualquiera puede llegar a colaborar, se porta bien con el resto, aporta código... y ya se ganó la confianza, se infiltró en un proyecto X donde puede meter una vulnerabilidad Y que sólo conocerán Z y por tanto será explotada tan sigilosamente en el sistema de un alejado negocio en alguna parte del mundo, y luego en otro, quizás en dos o veinte a la vez, que pasarán desapercibidos durante años). Ya lo he dicho antes, que el código sea abierto no quiere decir que sea seguro, cualquier organización con recursos (que no infiltre elementos en la propia organización) puede dedicarse a rastrear vulnerabilidades para explotarlas en su beneficio en objetivos (computadores) tan específicos (nada de ataques masivos) que podrán obtener provecho por mucho tiempo (mientras no se autodelaten u otro listillo descubra el error y lo haga público). O bien, la gente detrás de esas derivadas de derivada de distro, que crean su propia distribución por amor al arte y sus usuarios las disfrutan pero no hay garantía de seguridad (puedes auditar el código, tarea titánica, pero aún así no sirve si instalas siempre paquetes precompilados). Si hay una ventaja del software no libre esa es la ocultación pues las vulnerabilidades se encuentran a ciegas lo que las hace más escasas (no me soltéis lo de windows, hablo en general, si hago mi propio programa y sólo te doy el binario tardarás más en encontrar errores que si además te entregara el código, digamos de miles de líneas que por alguna razón no he revisado o porque ha sido modificado por tantas personas que se suponen que hacen bien su trabajo y llegamos a los infiltrados). ¿Será esta una de las razones por las cuales los bancos se niegan a usar linux en sus cajeros o algunos gobiernos usan sus propias versiones de SO libres?

    ResponderEliminar
    Respuestas
    1. Es muy cierto, el tema es que teoricamente, se puede auditar el 100% del codigo, pero.. quien lo hace? nadie, mas seguro es soft privativo que no se deje comprar por la NSA o no admita presiones, pero... quien es el valiente? quizas Rusia o Corea del Norte, nadie mas.

      Para no usar precompilados, estan las distro como Gentoo.

      Eliminar
  3. Soy bastante precavido, pero creo que esto esta llegando demasiado lejos, SynFlag.
    El problema de OpenSSL lo ha reportado dos trabajadores de Google. No puede haber empresa más sospechosa que Google. Por otra parte pocos sistemas operativos pueden dar la confianza que da Debian: la mayoría de programas que vas a instalar directamente de su repositorio, sin país de procedencia y sin intereses económicos.
    ¿Hay defectos en el software libre? Si. ¿Es posible que alguna persona dentro de Debian o de la distro o proyecto X tenga conexiones con la NSA u otra organización? Si. Pero de ahí a Windows o Mac hay un mundo de distancia. Por mi parte no me cabe duda de que Debian en general intenta hacerlo bien, parchea la seguridad cuando pueden y analizan cada nuevo paquete y actualización (obviamente no se leen cada línea de código, pero no entra sin más en el sistema). Windows y Mac no, hacen lo que les da la puta gana y su meta es ser lo más rentables posible, si eso incluye bajarse los pantalones ante la ¿justicia? norteamericana lo van a hacer sin más. Con esta ola de desconfianza podríamos llegar a pensar que ya que estamos Facebook y Google son el bien, y ya finalmente pues no nos preocuparíamos del malware, en total, van a espiarnos de todas formas...
    Y el código cerrado no puede ser más seguro que el abierto: la mayoría de las personas que detectan un fallo de seguridad en Windows no lo reportan, porque lo están haciendo por beneficio propio; cuando ocurre en software libre, se darán casos en los que no hay aviso y muchas más veces sí que darán toque. Y el número de gente en proyectos de envergadura del software libre es mayor que los programadores de una empresa.

    Por cierto, el artículo que enlazas matiza las palabras de Assange con una actualización, diciendo más bien que Debian esta siendo atacada por la NSA, no controlada.

    ResponderEliminar
  4. Y mientras tanto preocupándonos si el CEO de Firefox está en contra de los matrimonios gays

    ResponderEliminar
  5. mejor optar por Manjaro Linux ;)

    ResponderEliminar

Dejá tu comentario