Bienvenido a Internet ■Volver al BBS■ Hilo completo ▼Bajar▼

■ Este hilo se encuentra guardado en el archivo

[Miedo] Linux implementa un módulo desarrollado por la NSA en su último commit (36 respuestas)

1 : root@bienvenidoainternet.org:~# : 10/06/18(dom)09:19:04 ID:mfv9zJ6V0

Simon and Speck es un módulo desarrollado por la NSA en el 2013 que apunta a:
i. encriptar el nivel más bajo del sistema operativo en dispositivos vulnerables (el kernel en Android, o esa era la idea inicial)
ii. establecerse como un estándar para reforzar la seguridad del kernel por defecto en los dispositivos donde viene incluido

Desde que fue anunciado en el 2013 el módulo fue duramente criticado por su potencial como backdoor (el módulo fue lanzado en medio del escándalo por PRISM). Las críticas no han disminuido con el tiempo: recientemente un doctorado en criptografía informática escribió una carta pública al respecto¹, expresando su escepticismo ante la implementación del módulo en Linux y criticando a la NSA por negarse a responder ciertas preguntas sobre el módulo ante la ISO (Organización Internacional de Normalización).

Por alguna razón el módulo fue incluido como módulo opcional en el último commit del kernel vanilla de Linux. Como saben, sin embargo, muchos módulos se activan automáticamente al utilizar ciertas funcionalidades del sistema operativo, así que la opción más segura es no compilar el módulo en el kernel. Finalmente pasó, todos creímos que iba a ser Systemd el que lo iba a hacer primero, pero al final resultó ser Linux, vaya giro. Pero bueno, para qué llorar por la leche derramada.

1. ¿Cómo sabemos que no hay una funcionalidad malévola implementada en este módulo?
Por ahora, nada es seguro. La respuesta del circlejerk de Linux es "la NSA es muy mediocre como para implementar un backdoor sin que nos demos cuenta". Gringos siendo estúpidos, nada nuevo.

2. En caso de que haya una funcionalidad malévola...
Cuando compilen el kernel (si es que usan Gentoo, SMGL, etc) no incluyan el módulo. Si usan Arch o una distro basada en Pacman están jodidos porque el módulo viene activado por defecto en linux_4.17-1⁰. Si usan una distro basada en Debian, no estoy seguro, aunque me imagino que ya saben la respuesta.

3. Probablemente hay una funcionalidad malévola
La NSA ya influenció a la NIST en el pasado para estandarizar un PRNG (algoritmo de encriptación) que funcionaba como backdoor², y la NSA también pagó 10 millones de dólares en una ocasión para incluir un backdoor mediante RSA (un sistema de encriptación)³. En el 2014 también se supo que la NSA corrompió otro protocolo de intercambio cifrado (IPSEC)⁴. No hay absolutamente ningún motivo para confiar en la NSA.

Pese a que la ISO, la organización internacional de estándares, rechazó al módulo como un sistema de cifrado viable, pues cuando la agencia fue increpada por las falencias de seguridad en el módulo el representante de la NSA designado se negó a declarar, Linux decidió incluir el módulo en su último commit. Por añadidura, no hay absolutamente ningún motivo para confiar en Linux.

Quiero aprovechar el hilo para contarles que desde el año pasado, Parabola (una distro basada en Arch) ha hecho esfuerzos mancomunales para abrirse cada vez más a un público más amplio de usuarios. El mantenimiento de paquetes en el repo oficial es muy activo, y han desarrollado más de cinco alternativas para instalar el sistema, entre ellas ofrecen una versión CLI similar a Arch, ofrecen una instalación por LXDE, otra instalación por Calamares (un menú gráfico similar al de Ubuntu o Linux Mint), y además ofrecen todas las opciones anteriores pero con OpenRC en vez de Systemd como init por defecto:

https://wiki.parabola.nu/Get_Parabola

Parabola, por supuesto, usa una variante completamente libre y abierta de Linux (Linux-libre).
__________________________________________
https://git.archlinux.org/svntogit/packages.git/commit/trunk?h=packages/linux&id=19e67dc25af64dcdc15c365fba6378db45a23d2f (CTRL+F "CONFIG_CRYPTO_SPECK")
¹ https://www.spinics.net/lists/linux-crypto/msg33291.html
² https://projectbullrun.org/dual-ec/documents/dual-ec-20150731.pdf
³ https://www.theverge.com/2013/12/20/5231006/nsa-paid-10-million-for-a-back-door-into-rsa-encryption-according-to
https://www.forbes.com/sites/thomasbrewster/2016/08/19/cisco-nsa-vpn-hack-shadow-brokers-leak/#4bcfe4085277

2 : : 10/06/18(dom)12:26:35 ID:???0

como se llama el modulo en el kernel? ????

3 : : 10/06/18(dom)12:36:18 ID:???0!

¿Por qué mencionas a Systemd? No logro entender su relación con la noticia. ¿Podrías aclararlo, por favor?

4 : root@bienvenidoainternet.org:~# : 10/06/18(dom)15:25:50 ID:mfv9zJ6V0

>>2
No estoy seguro, lamentablemente no puedo ayudarte con eso baisanito. Yo estoy esperando a ver cómo reaccionan otras distros al tema, este escándalo se supo recién ayer y ningún medio de prensa ha hablado al respecto, ni siquiera la FSF se ha pronunciado lo cual extraña bastante.

>>3
No hay ninguna relación, era sólo un comentario baisano. Mucha gente no confía en Systemd, y ya se había especulado en el pasado que si la NSA llegaba a implementar un backdoor, se creía que podían aprovecharse de la alta complejidad que posee Systemd por la cantidad excepcional de tareas que abarca a diferencia de todos los demás runits disponibles para GNU/Linux.

Hay que entender algo sobre esta noticia y es que nadie acusa a la NSA de implementar un backdoor en Linux así como implementaron un backdoor en Windows. Como se imaginarán, esto sería un poco difícil visto y considerando que el kernel es casi completamente libre y su código es sometido al escrutinio de miles de personas a diario, a diferencia de Windows donde pueden llenar el código de toda la basura que quieran y el usuario nunca se va a enterar. De lo que se acusa a la NSA es que Speck posee exploits de seguridad, y que estos exploits no son un descuido sino que fueron meticulosamente implementados para que la agencia a futuro se pudiera aprovechar de ellos e implementar un backdoor. En el tercer punto mencionaba a IPSEC, pues bien, esta fue exactamente la misma estrategia que utilizaron durante el escándalo de IPSEC, y que la NSA se haya negado a responder por estas falencias de seguridad ante la ISO sólo acrecenta más el escepticismo alrededor de la noticia.

5 : : 10/06/18(dom)15:31:34 ID:???0!

>No hay ninguna relación
Entonces tu comentario viene a pito de nada y se basa en especulaciones cuyo único objetivo son soportar una narrativa sesgada. Gracias por tu respuesta, me quedó clarísimo.

6 : : 10/06/18(dom)15:35:46 ID:???0

En fin. Me corrijo a todo esto, encontré sólo a un medio hablando de la noticia:

https://www.developpez.com/actu/207666/Controverse-autour-de-Linux-4-17-la-derniere-mouture-du-kernel-supporte-Speck-un-algorithme-de-chiffrement-rejete-par-l-ISO/

Lamentáblemente está en francés. Seguramente explican bien cuál es la controversia, por si alguien entiende francés o quiere traducirlo.

7 : : 10/06/18(dom)16:04:02 ID:???0!

>2. En caso de que haya una funcionalidad malévola...
>Cuando compilen el kernel (si es que usan Gentoo, SMGL, etc) no incluyan el módulo. Si usan Arch o una distro basada en Pacman están jodidos porque el módulo viene activado por defecto en linux_4.17-1⁰. Si usan una distro basada en Debian, no estoy seguro, aunque me imagino que ya saben la respuesta.
Puedes compilar tu propio kernel con tus propios parches, opciones, etc., sin importar la distribución.

8 : : 10/06/18(dom)17:20:49 ID:???0

Qué agradable sujeto

9 : root@bienvenidoainternet.org:~# : 12/06/18(mar)15:36:56 ID:6i9gfUQq0!

El soporte a Simon y Speck lo añadieron en febrero de este año, sólo que pasó desapercibido entonces:

https://www.mail-archive.com/linux-crypto@vger.kernel.org/msg30853.html

11 : root@bienvenidoainternet.org:~# : 14/06/18(jue)21:35:30 ID:cxSsBL1Q0

¿SELinux no es de la NSA?

12 : root@bienvenidoainternet.org:~# : 14/06/18(jue)21:39:32 ID:F2Q/5xaT0

Sí, NSA y Red Hat
Por eso no lo uso

13 : root@bienvenidoainternet.org:~# : 16/06/18(sab)14:25:10 ID:JCOojWg/0

Espera un minuto, ¿esto afecta a todas las distribuciones de Linux?

14 : root@bienvenidoainternet.org:~# : 16/06/18(sab)18:00:29 ID:RGPtsNjA0

Esa es una muy buena pregunta baisano. La respuesta es "sí", pero no es un sí absoluto. Si usas el kernel vanilla (o sea, Linux oficial, el que trae por defecto la mayoría de las distribuciones) entonces sí, te afectará apenas actualices a la versión 4.17-1. Si usas el kernel Linux-LTS (Long Term Support, algunas distros lo ofrecen por defecto), este cambio te vendría afectando en unos meses más, porque este kernel incluye los cambios una vez que han sido escrutinizados y probados debidamente. Si usas otro kernel forkeado de Linux, como Zen o Hardened, es difícil saberlo: hasta ahora no se han pronunciado sobre este módulo y lo más seguro es intentar contactar por correo a los devs o abrir un issue en el repositorio. Si usas Linux-libre, que es lo que recomendaba al final de >>1, también hay que averiguar si van a incluir el módulo. Estuve buscando en las mailing-lists de la FSF y en el sitio web de Stallman, pero no encontré ni una referencia a este tema. Voy a averiguar si hay un mailing-list de Linux-libre.

15 : root@bienvenidoainternet.org:~# : 16/06/18(sab)18:03:46 ID:hrTb0+lX0!

Que alguien le mande un correo a RMS al respecto, que yo no uso.

16 : : 16/06/18(sab)18:05:16 ID:???0!

>>13
A todas las que posean esa versión de kernel con el módulo incluido, o una más reciente. En todo caso, como mencioné antes, siempre vas a tener la opción de compilar un kernel sin incluir ese módulo.

17 : : 16/06/18(sab)18:08:58 ID:???0

Y con la paja que es compilar un puto kernel, por la chucha.

18 : : 16/06/18(sab)18:11:31 ID:???0!

¿Qué parte de compilar uno es "paja", según tú?

19 : : 16/06/18(sab)21:32:12 ID:???0

Yo creo que se refiere a la espera. A la fecha, la versión 4.16.13-2 del kernel pesa 113.86 MiB según pacman, esas son varias horas de compilado en una CPU promedio.

20 : : 16/06/18(sab)21:43:06 ID:???0

estos conchas no implementan un controlador para que me funcione el bluetooth y van a meter en cambio un módulo de la nsa ????

21 : : 17/06/18(dom)07:06:35 ID:???0!

>>19
>esas son varias horas de compilado en una CPU promedio
No es cierto.

22 : root@bienvenidoainternet.org:~# : 18/06/18(lun)01:37:55 ID:mLpgHG++i

Casi una hora con un i5 de laptop para reconstruir un paquete de kernel en debian testing. ¿Te parece eso poco?

23 : root@bienvenidoainternet.org:~# : 18/06/18(lun)01:41:40 ID:ZxgYkTEE0

Menos de una hora te tomó mientras que a mí compilar un navegador (Firefox) me tomó como seis horas.

24 : root@bienvenidoainternet.org:~# : 18/06/18(lun)03:03:19 ID:cgYb23i20

Compilar el kernel no se me demora mas de 20 minutos en un procesador de casi 10 años. Recuerda usar -j para compilar con multiples hilos o si no ahí se demora. Firefox se me demoró como 1 hora y media.

>>19
Eso es el peso del kernel con TODOS los módulos. Nunca vas a compilar todo, probablemente compilas el 15% de eso. Recuerda que el kernel trae soporte hasta para las hueás más extrañas y antiguas.

25 : : 18/06/18(lun)04:51:58 ID:???0!

>>19,22 lean lo que escribió el amigo >>24, por favor.

26 : root@bienvenidoainternet.org:~# : 18/06/18(lun)09:38:32 ID:gVwmVnlk0

No caché, esto significa que van a colocar backdoors en Linux? Si uso Linux Mint igual me afecta?

27 : : 18/06/18(lun)15:37:26 ID:???0

Nos afectaría a todos eventualmente a menos que compiles el kernel tú mismo como dijeron y detallaron más arriba.

28 : root@bienvenidoainternet.org:~# : 18/06/18(lun)17:50:14 ID:3ssdCS3Da

>>24
>implicando que no lo sé
Lo de la hora no es chiste, eso me demora a mi en un dual Core del 2012 siguiendo el manual de Debían y pasando los parámetros de concurrencia.

29 : : 18/06/18(lun)18:07:08 ID:???0!

¿a quién estás citando? porque 24 no dijo eso

30 : root@bienvenidoainternet.org:~# : 20/06/18(mie)01:00:32 ID:Z9daqwnQi

Habló del parametro de concurrencia -jN.

Los tiempos una hora que obtuve fueron pasando ese parámetro a los scripts de debian que compilan el kernel.
>scripts de debian
Ya tu sabes, Debian le gusta hacer las cosas de forma diferente.

31 : : 20/06/18(mie)10:38:11 ID:???a!

¿Quién habló? Lo siento amigo pero no se te entiende nada.

32 : root@bienvenidoainternet.org:~# : 06/08/18(lun)11:59:08 ID:WHjStaKmQ

¿será la hora de considerar no irónicamente usar hurd?

entiendo que la referencia a systemd haya sido solo porque se pensó inicialmente que sería el portador del backdoor. Hace unos días leí sobre systemd y las personas que están en contra de su uso y, la verdad, es que da para pensar... systemd lo que hace es agrupar un montón de conexiones entre software y hardware y resolverlas todas reunidas (a diferencia de initd, que las procesaba de a una). La complejidad interna de systemd es, por lo tanto, mayor. Tal vez fue el distractor que se usó para poder entrar precisamente por otro lado como por ejemplo, LA parte no software libre de GnuLinux: Linux.

En todo caso, considero que todo esto lo único que hace es reforzar la idea de que las operaciones afk son las más indicadas para asuntos sensibles.

PS: mi "explicación" sobre systemd e initd es bastante imprecisa, si alguien se da la paja, agradecería correcciones. Gracias.

33 : : 06/08/18(lun)18:25:11 ID:???0

>Heil BSD!!!!!!!

Pero verdah que no tienen tanto soporte (aunque si mejor docs, dicen)

34 : root@bienvenidoainternet.org:~# : 06/08/18(lun)18:47:03 ID:rRi9KPBW0!

>>32
Por eso en el último párrafo comentaba lo de Parabola. Primero, es importante recordar que Hurd aún no ha lanzado una versión oficial y estable, todo lo que tenemos es una alpha relativamente estable. Sin embargo, hay muchas distros libres que usan una variante libre de Linux (Linux-libre), como Parabola, Trisquel, PureOS, y Dragora. Personalmente esta me parece la mejor opción. Por otra parte están BSD y próximamente Haiku. La compatibilidad, sin embargo, va disminuyendo de esta manera.

35 : : 06/08/18(lun)20:01:33 ID:???0

Alguien ha probado el RedoxOs?? (Si, ese que está hecho en Rust)

36 : root@bienvenidoainternet.org:~# : 07/08/18(mar)12:16:05 ID:Y5EamhgW0!

Hablamos un poco de eso acá:
https://bienvenidoainternet.org/tech/read/1524593608/
Pero la discusión rápidamente degeneró en ideología política ww. Hace tiempo he querido probarlo, no sé qué tal será la compatibilidad con programas para Linux (es un sistema POSIX entiendo, así que imagino que incluye herramientas para construir paquetes para Linux), yo por lo menos con un navegador, VLC y Wine me conformo para usarlo como OS primario.
17 KB

■ Este hilo se encuentra guardado en el archivo

weabot.py ver 0.10.9 Bienvenido a Internet BBS/IB