En Slashdot, Digg y Barrapunto se hacen eco de una noticia que aparece en news.com sobre la detención de un menor americano, acusado de amenazas de bomba hechas a través de una cuenta de MySpace.
La detención fue posible gracias a la instalación por parte de agentes del FBI de una herramienta spyware propia, denominada CIPAV (Computer and Internet Protocol Address Verifier), que permitió descubrir quién estaba detrás de la cuenta de MySpace. Todo fue hecho con una orden judicial de la corte federal.
Hasta aquí todo normal: una investigación policial en la que se accede a datos gracias a una orden judicial.
Pero, ¿cuánto tiempo llevará el FBI, la CIA, la NSA, el CNI,… realizando este tipo de investigaciones y otras muchas, relacionadas tanto con peligros “de moda” como son el terrorismo, el ciberterrorismo,… y otras como espionaje industrial, militar,… sin ningún tipo de permiso judicial.
Son organismos de inteligencia e investigación al “margen” de la ley, y, al igual que pinchan teléfonos, colocan dispositivos de escucha, rastreo,… también se tienen que actualizar y apuntarse a las nuevas tecnologías.
Pero, ¿cómo consiguen estos programas saltarse los programas antispyware, antivirus, firewalls,… y demás medios de protección?
En esta noticia indican que “desde la NSA se asegura que el papel de la agencia en ese desarrollo ha sido secundario, y que en todo caso, detrás de esta participación está su propio interés. Con cientos de miles de funcionarios del departamento de Defensa utilizando Windows, protegerles a ellos es protegerse la seguridad nacional“. Yo más bien pienso que es al revés, que controlando Windows Vista controlan mucha información de gran cantidad de países. Bueno, si Vista se difunde igual que le Windows XP.
Otra noticia, con más años, rebelaba el nombre de una clave criptográfica que viene de serie en todos los sistemas operativos Windows, de nombre “NSAKey”. Los de Microsoft se salieron por la tangente diciendo que esta clave no pertenecía a la NSA (National Security Agency), si no que la arquitectura del sistema criptográfico cumplía los requisitos de la NSA. A mi me da que es una clave criptográfica usada conjuntamente con un backdoor en Windows por parte de la NSA.
En definitiva, cualquier software “cerrado” puede tener este tipo de “argucias” para poder espiarnos, por lo que la contramedida parece clara: usar software libre, software de código abierto, que podamos revisar, compilar y luego instalar.
Esto está claro que es inviable para una persona o una empresa, pero sí que lo es para una comunidad.
Ahora unas pregunta que dejo en el aire.
¿No nos puede dar una falsa sensación de seguridad usar distribuciones empaquetadas tipo Ubuntu? ¿Qué pasa si empresas como Ubuntu, Red Hat, Suse, Mozilla, OpenOffice,… llegan a acuerdos con las agencias de seguridad y dejan “puertas traseras” en sus binarios? Sé que la solución es compilar las fuentes, realizarles un md5 y contrastarlo con el binario de la distribución. Pero, ¿no puede estar pasando?.