El espionaje de USA ensucia también al software libre: ¿es de fiar Red Hat?
Red Hat, la compañía Open Source de los mil millones de dólares y una de las que más contribuye al desarrollo del kernel Linux y otras tecnologías abiertas, no está libre de sospecha. Esa es la conclusión de Roy Schestowitz de Techrights, conocido evangelista del software libre que insiste en “no utilizar nunca Red Hat Enterprise Linux (RHEL), ya que no es de fiar debido a la implicación de la NSA“.
¿Pero RHEL no es software libre? Te preguntarás. Lo es. Sin embargo, se distribuye a base de binarios, lo que, en efecto, ofusca el contenido. La recomendación de Schestowitz, pues, es utilizar CentOS, al que siempre se presenta como un clon a nivel binario de RHEL, pero, ojo, construido a partir del código fuente.
Schestowitz hace mención a las leyes estadounidenses que atan de pies y manos a las empresas radicadas en el país, y ejemplos hemos tenido unos cuantos desde la explosión del escándalo de PRISM en un segmento muy concreto: el de los servicios y/o aplicaciones de seguridad. Así funciona “la cosa”:
- Empresa desarrolla o implementa sistema de protección realmente fiable (llámalo cifrado…).
- Autoridades contactan con esa empresa para obtener acceso al sistema o introducir vulnerabilidades de seguridad que les permitan explotarlo posteriormente.
- Si la empresa acepta, no puede comunicar en ningún caso a sus clientes que su producto no cumple las garantías de seguridad acordadas.
- Si la empresa rechaza, debe cesar sus operaciones de inmediato, o será enjuiciada criminalmente por “delitos contra el pueblo estadounidense“.
Es por ello que la desconfianza se cierne sobre cualquier producto que provenga de Estados Unidos…, y Red Hat no es la excepción, por mucho software libre que desarrollen. Porque, y esto es crucial, si algunas compañías “rebeldes” han caído enfrentándose al poder -y nunca mejor dicho-, ¿qué ha pasado con las que no han dicho ni pío?
A este respecto Schestowitz cita alguna que otra vulnerabilidad reciente descubierta en los paquetes de OpenSSL y GNUGP de RHEL, preocupante a su parecer. Y tampoco se olvida de Fedora, la distribución comunitaria de Red Hat, de sobra conocida por ser algo así como una versión prealfa de RHEL: “En base a las filtraciones de la NSA, Fedora está siendo utilizada por la propia NSA para ejecutar sus operaciones de espionaje (por ejemplo, recogiendo señales de radio).”
¿A qué se refiere exactamente Schestowitz cuando dice eso? Yo no lo sé, desde luego, y por más que he buscado, no he encontrado nada (si alguien tiene más información, le agradeceremos que la comparta en los comentarios). Sí sabemos que la NSA y otros organismos oficiales estadounidenses colaboran en el desarrollo de Linux y componentes de seguridad como SELinux, y como no podía ser de otra manera, la sospecha cayó sobre ellos al instante, aunque no se ha sabido mucho más.
Retomando la opinión de Schestowitz, ni RHEL es de fiar, ni lo es Fedora… pero sí CentOS, la cual utiliza en sus servidores. Asimismo, hace especial hincapié en evitar los servicios de alojamiento de Amazon y cualquier cosa que se ejecute en ellos…, por ejemplo RHEL. Y aquí es donde este artículo cambia de tercio, porque si bien hace unos meses manifestamos en estas páginas que la única receta factible contra el espionaje es software libre y cifrado, convendría matizar una afirmación que se sostiene más en su parte teórica que en la práctica.
En la teoría, el software libre puede ser auditado -y lo es en muchos casos- por entidades externas con total transparencia. En la práctica, se descubre por casualidad una vulnerabilidad de hace 23 años en un componente crítico del sistema. Ergo, el software libre siempre será más seguro y fiable que el privativo, pero si buscas una sentencia en totales, solo hay una: deja de utilizar Internet y apaga el ordenador. Sobre todo si no te interesa preocuparte por el software que utilizas.
En otras palabras, puedes desconfiar de RHEL, pero, en ese caso, también sería prudente desconfiar de su código fuente. Si no prudente, coherente. Si juegan sucio ahora, podían jugar sucio antes, y nada mejor que una puerta trasera ofuscada por miles de líneas de código para tal fin. Además, si se descubre será solo “otra vulnerabilidad”.
Por esta razón publicamos en su momento que, guste o no, existe la posibilidad de haya una puerta trasera en Linux, o más de una. Al igual que existe la posibilidad de que no la haya. La cuestión es cómo se demuestra fehacientemente tal o cual.
Por lo pronto, sabemos que la NSA contactó con Linus Torvalds para “algo”. ¿Para qué, exactamente? ¿En qué quedó la cosa? ¿Se conformó la NSA con el -supuesto- “no, esto es Open Source y las tácticas trampa no funcionan con este modelo de desarrollo” (aunque ya hemos visto que, en potencia, no siempre es así)? De cómo sigue la historia no tenemos constancia.
Volviendo con Schestowitz y Red Hat, no obstante, basa toda su argumentación en sospechas, que por muy fundadas que estén -que lo están-, no han sido demostradas. Es decir, todos sabemos que la NSA nos espía… por la prensa. Hasta eso nos los tenemos que creer -que nos lo creemos-, y las campañas de desinformación han sido una constante de las administraciones estadounidenses desde los días de la Guerra Fría. Eso es lo más triste del asunto: es imposible verificar nada.
¿Entonces…? Entonces, llegamos a la conclusión de que no te puedes fiar de nada que provenga de Estados Unidos, seas un individuo o una empresa, si es que quieres mantener la absoluta confidencialidad de tus datos. Recuerda: nada de Google, nada de Microsoft, de Apple, Facebook,… y nada de Amazon, claro. Y cuando hablamos de Amazon, lo hacemos de cien y un servicios diferentes, incluido Ubuntu One (sí, querido lector, renegar de Dropbox “por yanqui” y autocomplacerse por utilizar Ubuntu One, es una estupidez).
Y, por supuesto, nada de software creado en USA, sea libre o cerrado (de nuevo, a no ser que tengas la capacidad de revisar TODO el código por ti mismo).
Llegados a este punto y tras haber leído todo esto, hay quien podría pensar que la paranoia es excesiva. Y vaya si lo es. Se estima que las compañías tecnológicas estadounidenses perderán unos 35.000 millones de dólares de aquí a 2016 por la desconfianza generada por el espionaje gubernamental.
Ahora bien, puestos a ser rigurosos y coherentes, desconfiar solo de Estados Unidos suena un poco infantil, como si el resto de naciones no tuviese servicios de inteligencia que van, si no por el mismo camino, por uno similar que depende, en parte esencial, de sus capacidades (no todos los gobiernos tienen a su disposición a las tecnológicas más grandes del mundo, a los gigantes de Internet).
En resumen, lo dicho hasta la extenuación: deja de utilizar Internet y apaga el ordenador. No hay otra manera de proceder salvo esa. O lo que quieras mantener TOTALMENTE en privado, no lo subas a la Red, y disfruta de todo lo que ésta ofrece sin malos rollos. Pero no dejes de informarte. Ni de quejarte.
En cuanto a RHEL, Fedora, GNU/Linux… la vida te da sorpresas, dice la canción. Pero incluso aunque tal cosa llegase a suceder, siempre será preferible confiar en el modelo del software libre por razones obvias.
Fuente: MuyLinux