Hey !!! :) Juan Erbes wrote:
El 24/11/05, miguel gmail
escribió:
[...]
Hay que tener en cuenta 3 cosas: 1-Los patches de selinux-nsa, no vienen en los fuentes del kernel oficial. 2-Los patches de selinux-nsa, disponibles en la web, probablemente muestren muy poco para quejarse. 3-Los patches que puede suministrar en forma directa y por imposición la NSA a las companías usanianas, no son de conocimiento publico.
O sea que el punto critico, es el 3, donde quizas hasta comparando un kernel precompilado, con uno compilado desde los fuentes, quizas no lo detectes, ya que la unica diferencia puede radicar en alguna puertita trasera con su nsa-key, y el dia que se detecta, se divulga como un bug, y no como algo intencional.
Entonces, dependerá de nosotros (comunidad) de denunciar esto y una de dos (dependiendo de cómo seamos cada uno): - ayudar a Novell a ir por el buen camino y dejarse de milongas y recordarle ciertas leyes de la CEE (o de otros países no usanianos) en las que ciertas ocsas no se permiten - o bien cambiar de distro, quejarse y postear en todos los blogs, portales y listas de correo lo tiranos que son los de Novell Personalmente opto por la primera opción e intentar mejorar la distro. He puesto estas dos opciones ya que son las más típicas (por desgracia el ser humano es muy radical ;) De todas maneras, vuelvo a la pregunta anterior, en el caso del kernel es relativamente sencillo detectar estas "trampas" (tenemos las fuentes y, lo que es más importante, tenemos la GPL) mientras que en otro SW que todo el mundo se instala y todo el mundo usa sin quejarse, no tenemos ni GPL ni fuentes, vease: Flash, Java, AcrobatReader, ... Y recordemos que cualquier distro nos la puede colar ya que si alguien se cuela y modifica los paquetes ... mal asunto. ¿Cuántos revisamos las firmas y md5 de los paquetes, orígenes, ficheros instalados, config de los ficheros, puertos abiertos, librerías cargadas, ... por un binario cualquiera instalado en nuestra distro? ¿Cuántos instalamos lo justo y necesario para evitar problemas de seguridad? ¿Cuántos revisamos los logs de nuestros sistemas? ¿Cuántos entendemos realmente cómo y cuándo parchear (recordemos que a lo mejor un parche no es necesario tenerlo instalado)? ¿Cuántos configuramos correctamente nuestros servidores? Todas estas rpeguntas lo que quiero es que nos hagan pensar que hay más que un simple NSA-key o un simple espionaje indurstrial/gubernamental posible. Hace un tiempo hubo un hilo en el que se comentaba que Acrobat hacía cosas raras. Si mal no recuerdo era porque tiene un parser de JavaScript que te hacía no sé qué historias al arrancarlo de conectar a la web del fabricante (Adobe) y bla, bla, bla, ... Si alguien se acuerda del hilo o lo tiene a mano que me corrija. Y, por lo que sigo recordando, no causó tanta problemática como está causando el hecho de que Novell sea empresa gringa y la NSA sea una entidad por encima de la CIA, FBI y del bien y del mal. Con esto NO estoy defendiendo a Novell ni estoy diciendo que tenemos que creernos todo lo que nos dice sino todo lo contrario: el que no esté a gusto que COMPRUEBE lo que usa y que lo DEMUESTRE luego. Que el SW libre es más que un simple código que hay en algún sitio: el SW libre es un trabajo en equipo que hacemos todos y que mejoramos entre todos por lo que si hay un error (intencionado o no) es cosa nuestra el corregirlo y avisar a los demás. El SW libre es una actitud activa y proactiva, no pasiva (como en el caso del SW cerrado). También acepto que somos Humanos y que nos dejamos llevar por nuestros sentimientos (es una de las cosas que nos difiere de estos artefactos que tanto queremos ;). IMHO Rafa -- Rafa Grimán Systems Engineer Silicon Graphics Spain Santa Engracia , 120 - Planta Baja 28003 Madrid, Spain Tel: +34 91 3984200 Fax: +34 91 3984201 Móvil: +34 628 117 940 http://www.sgi.com