Forums Últimos mensajes - Powered by IBM
 

Microsoft y la Agencia Nacional de Seguridad de los EE.UU.

24/10/2006 - 22:57 por Cyber | Informe spam
Desde el movimiento del software libre siempre se ha alertado que el
software privativo, distribuido en forma de código binario cerrado,
representa una grave amenaza contra la privacidad de las personas.

La reacción usual de muchos, cuando se les dice que si uno solamente recibe
el código binario no puede saber a ciencia cierta qué es lo que hace el
programa (y qué es lo que no hace), es de incredulidad. Generalmente se
muestran excépticos ante la posibilidad de que una empresa incluya
funciones ocultas en los programas cuyo código binario comercializa.

Aunque hay gran cantidad de casos demostrados de prácticas de este tipo
(inclusión de Spyware, Rootkits, etc.), ninguno alcanza la magnitud que
tendría, de ser cierta, la relación entre Microsoft y la Agencia Nacional
de Seguridad de los EE.UU. (NSA).

Un caso sospechoso
Las claves públicas de cifrado pueden ser usadas tanto para verificar la
integridad y el origen de los datos ("firmados" con la clave privada del
emisor), como así también para cifrar información de forma que sólo el
poseedor de la clave privada pueda descifrar.

En la versión 4.0 service pack 4 del sistema operativo Windows NT, se
encontraron dos claves públicas: una de ellas con la etiqueta _KEY y la
otra sin etiqueta. Supuestamente, ambas claves públicas pertenecían a la
empresa Microsoft y eran usadas para las funciones de seguridad del
sistema. Al aparecer la actualización service pack 5, Microsoft olvidó
quitar la etiqueta a la segunda clave, cuyo valor era _NSAKEY. Ni bien esto
fue descubierto, se alzaron voces de alarma ante la posibilidad de que la
NSA (la agencia de espionaje de los EE.UU.) hubiera introducido su clave
pública con el objetivo de romper la seguridad del sistema operativo.

La explicación oficial fue que esta segunda clave era un respaldo
introducido por Microsoft y que el nombre había sido una elección
desafortunada. A pesar de esto, quedó sembrada la duda. (Para más
información, puede leer el artículo de Wikipedia sobre el tema.)

Un testimonio importante
El Dr. Hugo Scolnik es un prestigioso investigador en criptografía, creador
del Departamento de Computación de la Universidad de Buenos Aires en 1984,
de gran trayectoria profesional en seguridad informática. En una entrevista
realizada en el año 2004, declaró que:

Cuando trabajamos con Microsoft, con cada cambio teníamos que enviar el
código fuente a la NSA, donde lo compilan y le agregan lo que quieren y
luego vuelve como producto que nosotros distribuimos. No sé qué es lo que
le pusieron.

El testimonio de Scolnik es claro: afirma que el software de Microsoft es
modificado por la NSA antes de ser distribuido. Una afirmación como esta
(proveniendo de alguien con la credibilidad de su autor) debería bastar
para encender varias alarmas en todos los usuarios de productos de
Microsoft (en particular de los gobiernos y las grandes empresas).

Sin embargo nada de esto ha ocurrido: aunque algunos gobiernos se están
alejando progresivamente de los productos privativos o cerrados (sean de
Microsoft o no), muchos siguen utilizando este tipo de software en sistemas
críticos para la seguridad nacional y la privacidad de las personas.

Conclusión
Más allá del caso Microsoft - NSA, esto demuestra que el software privativo
no permite garantizar la seguridad ni la confidencialidad. No pueden usarse
programas cerrados (cuyo código fuente no es público) para la manipulación
de información crítica.

Nuestros gobiernos deberían protegernos de esto. Pero antes es necesario
que tomemos conciencia de la gravedad del asunto.


http://blog.smaldone.com.ar/2006/10...-los-eeuu/
 

Leer las respuestas

#1 Carlos Lasarte
24/10/2006 - 23:09 | Informe spam
Se te va a caer el pelo de tanto pensar en postear y falsificar

Espero que esto resuelva tu problema, sino, no dudes en preguntar de nuevo

Saludos
Carlos Lasarte
"Cyber" escribió en el mensaje
news:%23IrRG$
Desde el movimiento del software libre siempre se ha alertado que el
software privativo, distribuido en forma de código binario cerrado,
representa una grave amenaza contra la privacidad de las personas.

La reacción usual de muchos, cuando se les dice que si uno solamente
recibe
el código binario no puede saber a ciencia cierta qué es lo que hace el
programa (y qué es lo que no hace), es de incredulidad. Generalmente se
muestran excépticos ante la posibilidad de que una empresa incluya
funciones ocultas en los programas cuyo código binario comercializa.

Aunque hay gran cantidad de casos demostrados de prácticas de este tipo
(inclusión de Spyware, Rootkits, etc.), ninguno alcanza la magnitud que
tendría, de ser cierta, la relación entre Microsoft y la Agencia Nacional
de Seguridad de los EE.UU. (NSA).

Un caso sospechoso
Las claves públicas de cifrado pueden ser usadas tanto para verificar la
integridad y el origen de los datos ("firmados" con la clave privada del
emisor), como así también para cifrar información de forma que sólo el
poseedor de la clave privada pueda descifrar.

En la versión 4.0 service pack 4 del sistema operativo Windows NT, se
encontraron dos claves públicas: una de ellas con la etiqueta _KEY y la
otra sin etiqueta. Supuestamente, ambas claves públicas pertenecían a la
empresa Microsoft y eran usadas para las funciones de seguridad del
sistema. Al aparecer la actualización service pack 5, Microsoft olvidó
quitar la etiqueta a la segunda clave, cuyo valor era _NSAKEY. Ni bien
esto
fue descubierto, se alzaron voces de alarma ante la posibilidad de que la
NSA (la agencia de espionaje de los EE.UU.) hubiera introducido su clave
pública con el objetivo de romper la seguridad del sistema operativo.

La explicación oficial fue que esta segunda clave era un respaldo
introducido por Microsoft y que el nombre había sido una elección
desafortunada. A pesar de esto, quedó sembrada la duda. (Para más
información, puede leer el artículo de Wikipedia sobre el tema.)

Un testimonio importante
El Dr. Hugo Scolnik es un prestigioso investigador en criptografía,
creador
del Departamento de Computación de la Universidad de Buenos Aires en 1984,
de gran trayectoria profesional en seguridad informática. En una
entrevista
realizada en el año 2004, declaró que:

Cuando trabajamos con Microsoft, con cada cambio teníamos que enviar el
código fuente a la NSA, donde lo compilan y le agregan lo que quieren y
luego vuelve como producto que nosotros distribuimos. No sé qué es lo que
le pusieron.

El testimonio de Scolnik es claro: afirma que el software de Microsoft es
modificado por la NSA antes de ser distribuido. Una afirmación como esta
(proveniendo de alguien con la credibilidad de su autor) debería bastar
para encender varias alarmas en todos los usuarios de productos de
Microsoft (en particular de los gobiernos y las grandes empresas).

Sin embargo nada de esto ha ocurrido: aunque algunos gobiernos se están
alejando progresivamente de los productos privativos o cerrados (sean de
Microsoft o no), muchos siguen utilizando este tipo de software en
sistemas
críticos para la seguridad nacional y la privacidad de las personas.

Conclusión
Más allá del caso Microsoft - NSA, esto demuestra que el software
privativo
no permite garantizar la seguridad ni la confidencialidad. No pueden
usarse
programas cerrados (cuyo código fuente no es público) para la manipulación
de información crítica.

Nuestros gobiernos deberían protegernos de esto. Pero antes es necesario
que tomemos conciencia de la gravedad del asunto.


http://blog.smaldone.com.ar/2006/10...-los-eeuu/



Preguntas similares