![[info]](http://l-stat.livejournal.com/img/userinfo.gif){kind=small}
El pasado día 8 de febrero y en un céntrico club madrileño, se escenificó cara al público, un nuevo acuerdo entre el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia y la Multinacional del software Microsoft. Esta relación entre el el CCN y Microsoft no es nueva, comenzó en el año 2004 con la firma del acuerdo para el acceso al código fuente de Windows. A esta firma, le siguió en 2006, la del acuerdo para acceder al código fuente de la “Suite” ofimática Office. La del pasado día 8, que abre una vía de colaboración entre la Administración y Microsoft, tiene la intención de prevenir y dar respuesta a incidentes de seguridad informática que puedan afectar a la seguridad pública y nacional. El objetivo sería garantizar el funcionamiento eficaz de las Tecnologías de la Información y las Comunicaciones (TIC) que están al servicio del ciudadano y de los intereses nacionales. Todas estas iniciativas se enmarcan en el “Goverment Security Program” (GSP), o en el “Security Cooperation Program” (SCP), que Microsoft ofrece a gobiernos de todo el mundo. En palabras de D. Luis Jiménez, subdirector general adjunto del Centro Criptológico Nacional:
Sin entrar a analizar los posibles beneficios del acuerdo firmado, da la impresión de que se piensan poner recursos públicos para mejorar los productos de una multinacional extranjera, al menos, en lo que se refiere a la seguridad. También es cierto, que este acuerdo ha sido firmado por otros 44 antes que España, países que se supone que harán lo mismo que nosotros, es decir, intentar colaborar para mejorar la seguridad de los programas de Microsoft. No obstante, dicho esfuerzo si se dedicase al Software Libre, podría tener efectos mutiplicadores cara a la seguridad global y al mismo tiempo, se tendría una mejor imagen en lo que se refiere al uso de los recursos públicos, pero parece que en este momento, nos encontramos a años luz de considerar que esto puede ser de este modo.
Durante el acto de firma, se hicieron varias declaraciones y las de Dña. Rosa García, Presidenta de Microsoft Ibérica, me hicieron reflexionar seriamente sobre los posibles problemas de seguridad nacional que se pueden derivar del uso masivo de determinado software. Doña Rosa dijo algo que considero que puede que no quisiera haber dicho en este foro, pero también es cierto que es rigurosamente cierto y no menos alarmante:
Cuando leí estas palabras en la prensa, me llamó la atención que dijera: “puede ayudar al Gobierno”, como si no estuviera segura de que la medida sirviera realmente para algo y al rato, me vinieron a la mente dos publicaciones muy relevantes al caso y que conozco bien. Por un parte, la Revisión Estratégica de la Defensa [PDF], que en su apartado “Otros Riesgos” dice lo siguiente:
La economía mundial, fuertemente globalizada, depende del intercambio amplio de información, cuya interrupción provocaría problemas comparables a los ocasionados por la alteración del flujo de los recursos básicos.
La vulnerabilidad estratégica que supone este tipo de amenazas comprende especialmente dos campos. Por un lado, los ataques contra los sistemas que regulan infraestructuras básicas para el funcionamiento de un país como el sabotaje de los servicios públicos, la paralización de la red de transporte ferroviario o la interrupción de la energía eléctrica a una gran ciudad suponen un serio quebranto para la normalidad y la seguridad de una sociedad avanzada.
En consecuencia, todas las infraestructuras básicas deben dotarse de elementos de protección suficientes para poder neutralizar este tipo de agresiones cuando su funcionamiento depende de complejos sistemas informáticos y de comunicaciones. Por otro lado, la penetración en la red de comunicación, mando y control de las Fuerzas Armadas, en el sistema nacional de gestión de crisis o en las bases de datos de los servicios de inteligencia puede suponer una amenaza directa a la seguridad nacional. Por tanto, las Fuerzas Armadas deben dotarse de las capacidades necesarias para impedir cualquier tipo de agresión cibernética que pueda amenazar la seguridad nacional.”
Por otro lado, el excelente documento“CyberInsecurity: The Cost of Monopoly” de Bruce Schneier y otros, en el que se analizan los riesgos para la seguridad que se derivan de la adopción de un software es un monopolio global. De hecho, si atendemos a lo que dice el Informe Reina del 2007 y analizamos los sistemas operativos instalados en la Administración española en 2006, comprobamos lo siguiente:
El 50% de los sistemas grandes instalados en 2006 tenían sistema operativo Unix y el otros 50% Linux. En la gama de sistemas medios, disminuye muy significativamente el número de equipos Unix instalados en 2006, situándose tan solo en el 15%. Asistimos, por el contrario, a un importante incremento de equipos Windows que se sitúan en el 68% en total. También es de destacar, el 10% de equipos Linux instalados en 2006. En la gama de sistemas pequeños observamos un significativo incremento de equipos Windows XP que se sitúa en primera posición con una cuota del 40%. En conjunto los equipos Windows se sitúan en el 78%. Los equipos Linux bajan al 16% mientras que Unix alcanza una cuota inferior al 6%. Por último, la distribución de sistemas operativos instalados en ordenadores personales en 2006. Windows XP acapara el 71% de este parque y Windows 2000 el 22%. Un escandaloso 93% global para un parque de ordenadores personales que se usa principalmente para tareas ofimáticas y que podría funcionar sin problemas con Software Libre, como ya han hecho otros países.
Es decir, que la neutralidad tecnológica y la capacidad de protección “genética” en los sistemas de la Administración Española brillan por su ausencia. Quedando claro en este punto, que los sistemas medios, pequeños y personales, en su gran mayoría, funcionan con sistemas operativos y programas de Microsoft, o lo que es lo mismo, cuando aparece una vulnerabilidad, todos son vulnerables al mismo tiempo y se depende de la empresa fabricante para solucionar el problema. Si analizamos todo lo anterior debemos estar preocupados y la declaración de Dña. Rosa podría reescribirse de de este modo, para que sea más evidente lo que hemos visto:
Pero de un modo u otro, este acuerdo reconoce y pone en evidencia dos cosas que considero interesantes de destacar. En cierto modo, nos da la razón a los que defendemos el uso del Software Libre para mejorar la delicada seguridad de los sistemas de la Administración por estos dos motivos:
a) El uso masivo de sistemas basados en Windows, en determinadas circunstancias, pueden llegar a suponer un serio riesgo para la seguridad nacional, de las administraciones públicas y de los ciudadanos. Un fallo de seguridad durante la ventana de exposición, afectará a millones de ordenadores de forma simultánea. Por ello, se justifica que sea necesario tomar medidas extraordinarias, como por ejemplo, este acuerdo de colaboración firmado entre el CNI/CCN y Microsoft.
b) Del mismo modo, con estos acuerdos se reconoce y consagra como medida positiva e indispensable, para mejorar la seguridad de los sistemas informáticos de la Administración, el tener acceso al código fuente de los programas. Asimismo, también se considera como algo positivo la posibilidad de colaborar en la depuración y mejora del código por parte de las Administraciones Públicas. Objetivos que se logran directamente con el Software Libre y sin necesidad de firmar acuerdos, ni de disponer de tiempo, dinero y personal de la Administración, para solucionar los fallos de seguridad de productos informáticos de empresas, que todo hay que decirlo, no nos regalan el software.
Tampoco debemos olvidar otras ventajas del Software Libre, que no tienen equivalencia en el software propietario y que pueden ser muy interesantes para dar una respuesta rápida a incidentes de seguridad. Por mucha colaboración y comunicación que se establezca entre la Administración y las empresas de software privativo, la solución solamente depende y dependerá siempre, de la empresa y de sus políticas, o lo que es lo mismo, al final, estaremos poniendo la seguridad nacional, o de las administraciones publicas y los ciudadanos, en manos de una, o de varias empresas, que además, como es el caso que nos ocupa, pueden se extranjeras.
No entraremos aquí en la vana discusión sobre si el Software Libre es más seguro que el propietario o viceversa, simplemente diremos algo que parece evidente a la vista de lo visto anteriormente, el Software Libre hace que sea mucho más sencillo, rápido y transparente, el lograr la seguridad deseada en los sistemas de la Administración.
Si queremos mejorar la seguridad de los sistemas y poder responder rápidamente a los incidentes de seguridad, debemos considerar que hay informes y estudios que demuestran que los incidentes y los fallos de seguridad asociados, se solucionan más rápidamente con el Software libre. Asimismo, el diseño modular de los sistemas Libres, como ya destacaba la OTAN en un estudio sobre nuevas tecnologías aplicables a la defensa, nos permite desactivar los programas comprometidos, hasta lograr una solución adecuada, minimizando así el impacto de estos fallos sobre nuestra seguridad.
Sin embargo, como se pudo comprobar con los ataques que sufrió Estonia, que en su mayoría fueron denegaciones de servicio dirigidas desde “bootnets”, la falta de seguridad en los sistemas domésticos, también puede afectar y muy seriamente, a la seguridad nacional. Recordemos que en el ámbito doméstico también es evidente que la mayoría de los sistemas están ejecutando software de Microsoft. Es posible que las hipotéticas mejoras en la seguridad que se logren con este y otros acuerdos, redunden a la larga en la seguridad de los ciudadanos, pero debe quedar claro que la seguridad de los sistemas domésticos, o de las empresas, no es competencia directa del CCN.
Desgraciadamente, según informe del Inteco, el 70% de los ordenadores domésticos está infectado por malware. Y en esta complicada y penosa situación, ¿podemos estar medianamente seguros de que no acabará siendo un serio problema el uso de la firma electrónica?. También es cierto, que en la historia reciente se han producido incidentes de seguridad que han afectado a la seguridad nacional de países de nuestro entorno, países que también disponen de acuerdos similares al suscrito por España y en los que han intervenido de forma decisiva los programas y los sistemas operativos de Microsoft.
El acuerdo firmado entre el CCN y Microsoft, no dudo de que sea necesario dada la enorme predominancia de los sistemas de Microsoft y la manifiesta e injustificable falta de neutralidad tecnológica de la Administración española, algo que cara a la seguridad, se debería corregir de algún modo y con la máxima urgencia. Pero la migración al software libre, es algo que recomiendan muchos informes independientes [PDF] y es algo que ya están haciendo algunos países, que al parecer, tienen las ideas más claras que nosotros. Un ejemplo lo tenemos en los EEUU, que ha decidido usar software de código abierto en el sistema operativo que usarán sus ejércitos en las guerras del futuro. Sin embargo, está por comprobar que este y otros acuerdos suscritos con las empresas de software propietario, tengan el impacto deseado en la mejora de la seguridad real de los sistemas informáticos de la Administración. De hecho, los incidentes de seguridad, algunos graves, se suceden casi a diario y en las estadísticas ordenadores comprometidos, los españoles comenzamos a tener un predominante y peligroso puesto.
No me cabe la menor duda, de que este y otros acuerdos serían innecesarios si se apostase firmemente por el uso del Software Libre en la Administración y sociedad española. Estas libertades, que se materializan en estos acuerdos y que se consideran tan interesantes y positivas para la seguridad nacional, no debemos olvidar que están plenamente incluidas en las licencias libres como la GPL. Al igual que otras muchas libertades igualmente interesantes, que no estarán, ni podrán estar nunca en estos acuerdos firmados entre las administraciones o gobiernos y las empresas de software privativo. El mero hecho de poder eliminar el estorbo que pueden suponer las licencias propietarias y otras regalías, a la hora de tomar medidas de seguridad rápidas y contundentes, debería ser considerado seriamente si pensamos en la seguridad de sistemas críticos de la Administración.
Por ello, estoy plenamente de acuerdo con lo que dice D. Carlos Castro de la Junta de Extremadura, no apostar por el Software Libre en España, es una estupidez, algo que bien se puede aplicar a los sistemas de la Administración y a los domésticos, pero que tampoco estaría mal que el ejemplo viniera de la Administración.
"Copyleft 2008 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved" ,
- Ubicación:Casa
Cosas sobre Linux y la seguridad en Internet
Como todos sabéis, soy un feliz usuario del sistema operativo Linux desde hace mucho tiempo y siempre he recomendado su uso en la Administración, hogar y empresas; pero recientes acontecimientos relacionados con la seguridad de los sistemas Windows, no han hecho más que confirmarme que Linux puede ser la mejor opción (si no la única en este momento), si no queremos tener problemas serios, con nuestro banco, o incluso con la Justicia.
La realidad puede ser demasiado cruda para los usuarios del omnipresente sistema operativo de Microsoft, según un reciente informe del INTECO “El 70% de los ordenadores domésticos contiene virus y programas espías”, algo que es muy preocupante si realizamos operaciones bancarias, o queremos usar sin riesgos nuestro flamante DNI electrónico. Pero ¿qué pasaría si además de peligrar nuestra cuenta corriente, peligrase nuestra integridad física?.
Pues lo cierto es que esto ya ha pasado. En un informe publicado en relación con la operación “Ore”, iniciada en 1999 contra la pornografía infantil en Internet, se cuenta como algunos usuarios fueron encarcelados por tener pornografía infantil en sus ordenadores. El problema es que dicha pornografía había sido introducida por los delincuentes en sus ordenadores “zombi” a través de Internet y sin que ellos lo supieran. Lo peor es que dichos ordenadores habían sido configurados para que se comportasen como servidores de pornografía infantil en beneficio de los delincuentes que comerciaban con ella. Para la policía, que no comprendía que se pudieran “esclavizar” de ese modo los ordenadores, los usuarios afectados eran culpables de distribuir la pornografía y por ello, fueron encarcelados. Es decir, que como están las cosas, nadie nos garantiza que nuestro sistema no acabe cometiendo delitos en nuestro nombre y que por ello acabemos siendo procesados.
Muchos usuarios creen que teniendo el sistema operativo y el antivirus actualizado, no tendrán problemas con su Windows. Lo cierto es que así se minimiza mucho el riesgo, siempre hay una ventana de exposición entre el momento en el que aparece código malicioso y en el que se actualiza el antivirus y además, por las políticas de actualización de los fabricantes de software, no todos los fallos se seguridad se corrigen en un tiempo razonablemente corto, lo que hace que nuestro sistema sea vulnerable. Digamos que siempre estamos en el filo de la navaja si somos usuarios de Windows y no tenemos mucho cuidado con lo que hacemos en Internet.
Pero seamos realistas, algo falla cuando la realidad es que hay un 70% de ordenadores domésticos comprometidos, sin que sus usuarios sepan lo que están haciendo, la información que contienen, o la que les están robando. Algo que tampoco es de extrañar, cuando en otro reciente informe se dice que el 10% de páginas web están preparadas para infectar a los usuarios que acceden a ellas. Desgraciadamente, muchas páginas con reclamos tan jugosos como, los programas gratis, la música, las películas, la pornografía, o los contactos personales, suelen ser las más peligrosas, pudiendo convertir nuestro ordenador en un “zombi” a las órdenes de cualquier desalmado, en una milésima de segundo.
También hay que decir, que al igual que hay almas cándidas en el mundo de los ordenadores domésticos, también las hay en el de las páginas web empresariales y páginas de empresas muy importantes y solventes, también han sido preparadas por los delincuentes para infectar a los sistemas que las visitan, llegando a representar un no despreciable 40% del total [4] de las páginas maliciosas. Por ello, no podemos estar seguros cuando visitamos páginas que consideramos “legales”.
No repetiré aquí las indudables y contrastadas ventajas para la seguridad que tiene el sistema operativo Linux, pero a pesar de esta realidad palpable, lo cierto es que la gente usa de forma mayoritaria Windows, algo que considero inexplicable y casi irresponsable, si tenemos en cuenta las estadísticas y las terribles consecuencias que puede tener para el usuario un ordenador infectado y conectado a Internet.
Puede que el problema esté en que los usuarios domésticos no se atrevan a instalar Linux por considerar que es muy complicado, o por otros prejuicios que lanzan las multinacionales para que no cambie su cuenta de resultados y que sinceramente, creo que no tienen mucho fundamento actualmente. Por ello, he decidido hablar de algunas alternativas que considero muy interesantes y viables para los usuarios de Windows que deseen probar, o tener Linux funcionando en su sistema, sin que esto sea demasiado traumático.
Lo primero que hay que decir, es que Linux no es más complicado que Windows, simplemente es diferente. Sí es cierto que requiere cierto grado de aprendizaje por parte del usuario, pero para usar Windows también es necesario aprender cosas. Y todo hay que decirlo, lo que aprendemos de Windows puede que no nos valga con la siguiente versión que salga al mercado, algo que no ocurre con Linux. Por otra parte, han aparecido nuevas tecnologías que han logrado que la instalación del sistema operativo Linux y todas sus aplicaciones asociadas, sea mucho más sencillo y rápido que instalar Windows, por lo que cada vez tenemos menos excusas.
La primera tecnología son las distribuciones “Live”. Estas distribuciones permiten arrancar y ejecutar un sistema Linux completo desde un CD o un DVD, sin tener que instalar nada en el ordenador. Algunas de estas distribuciones Live también disponen de una opción para instalar en el disco duro el sistema completo, si es que es de nuestro agrado. Normalmente, esta instalación se realiza de forma automática después de contestar a una serie de preguntas sencillas y seleccionar algunas opciones igualmente simples, lo que está al alcance de casi cualquier usuario.
En Internet podemos encontrar una gran cantidad de estas distribuciones, que cara a la seguridad también son muy interesantes, ya que al residir los programas en un CD/DVD, no hay posibilidad de que nada ni nadie modifique nada de su contenido. Cada vez que arranquemos el sistema desde el CD/DVD, es como si se hubiera instalado desde cero, lo que también es muy bueno para hacer experiencias, ya que nunca podremos dañar nuestro sistema. Para usarlas, solamente hay que descargarlas de Internet, grabarlas como una imagen ISO con cualquier programa de grabación de CD/DVD y configurar la BIOS del ordenador para que arranque desde el CD/DVD. Después, bastará con introducir el disco en el lector de CD/DVD que hemos configurado como de arranque en la BIOS del sistema y reinicializaremos el ordenador. A los pocos segundos del arranque, tendremos una distribución Linux completa funcionando y que habrá reconocido automáticamente todo el hardware de nuestro sistema, más simple imposible.
La última variedad son las distribuciones Live que están instaladas en una memoria flash USB. La principal ventaja de esa opción, es que se ejecutan mucho más rápidamente y además, permiten guardar información personal y configuraciones en la memoria flash USB. Una de las más famosas es la Mandriva Flash, que tiene 1 Gb de programas Linux y deja para el usuario 3 Gb de espacio libre, algo nada desdeñable si consideramos que solamente cuesta 89 euros. Para poder usarla, la BIOS de nuestro ordenador debe permitir arrancar desde un dispositivo USB, algo que está disponible en la mayoría de los ordenadores actuales. Esta opción, por su reducido tamaño y portabilidad, es la mejor, si queremos disponer de un sistema Linux completo, con nuestra configuración y datos en cualquier parte del mundo y sin tener que instalar nada, solamente configurar la BIOS introducir el dispositivo USB y arrancar el sistema. Esta opción tiene dos problemas; tenemos que añadir el precio del soporte físico (aunque actualmente no es muy elevado y está en continuo descenso) y la vida limitada en ciclos de borrado/escritura de las memorias flash.
Otra interesante opción para usar aplicaciones típicas de Linux en Windows y sin tener que instalar nada en el sistema, son las versiones “portables”. Estas no son maś que versiones para Windows de estas aplicaciones típicas de Linux y que se distribuyen como un único archivo “.exe” y que por lo tanto, no necesitan instalación alguna. Esta es una opción muy interesante cuando nuestro “administrador” no nos deja instalar nada en el ordenador, o cuando queremos usar en cualquier parte nuestro programa ofimático OpenOffice, sin tener que instalarlo en el ordenador del trabajo o del instituto. Las aplicaciones portables, son muy útiles y fáciles de usar, basta con bajarlas de Internet, guardarlas en una memoria flash, o disco duro USB y ejecutarlas haciendo doble clic sobre ellas en el navegador de archivos de Windows, parece magia.
Entre estas aplicaciones portables más famosas encontramos el programa OpenOffice, el navegador Firefox, el cliente de correo Thunderbird, el programa de retoque fotográfico El Gimp, el programa de mensajería instantánea Gaim y muchas otras más. Si buscamos un poco en Google, incluso podemos encontrar versiones portables en castellano de todas estas aplicaciones, por lo que esta es otra excusa menos para no probarlas.
Un caso interesante de aplicaciones portables, es la combinación entre aplicaciones Live Linux y portables Windows, desarrollada por la Comunidad de Madrid y que se denomina Nano Max. Esta distribución mixta Linux/Windows, que está orientada al ámbito educativo, se puede instalar en cualquier memoria flash USB que tenga como mínimo 1 Gb de tamaño. En el archivo PDF que hay en el directorio de descarga de Nano Max, se explica la forma de crear una distribución Nano Max en un dispositivo flash USB desde cualquier sistema Linux.
He de decir, que dispongo de una Nano Max y me la llevo a todas partes. Es muy útil para salir de un apuro cuando el sistema Windows se niega a funcionar, o cuando tenemos la sospecha de que un sistema Windows está comprometido y queremos acceder a Internet con cierta seguridad, pero lo mejor de todo, es que tengo a mi disposición mis aplicaciones favoritas con solamente hacer clic con el ratón. Una interesante aplicación portable es la combinación del navegador Firefox y el sistema de navegación anónima Tor para Windows, que se denomina Torpark [9], nunca fue tan sencillo navegar de forma anónima y segura desde Windows, realmente es algo muy recomendable, que también llevo en mi dispositivo USB a todas partes.
Finalmente, tenemos la opción de instalar Linux como si se tratase de un programa Windows normal y corriente. Para ello, bastará con descargarnos un instalador de 9 Mb de tamaño denominado Wubi y ejecutarlo en nuestro sistema como si se tratase de un programa Windows. Wubi es un instalador de la famosa distribución Ubuntu, que permite a los usuarios de Windows entrar en el mundo Linux tras unas pocas pulsaciones del ratón. Como es lógico, para usar esta opción hay que tener una buena conexión a Internet ya que todo el sistema de tiene que descargar desde los servidores de Ubuntu y es algo que nos puede llevar un buen rato.
Lo mejor que tiene Wubi es que permite instalar y desinstalar Ubuntu como si fuera una aplicación Windows, algo que se logra manteniendo todos los archivos de la distribución Linux en un único directorio de Windows. Wubi es ideal para los usuarios que no se quieren complicar la vida, ya que no es necesario modificar las particiones, ni cambiar el arranque del sistema, cosas que pueden dar pánico a muchos usuarios de Windows.
Otra ventaja de Wubi, es que no es necesario grabar ningún CD/DVD, basta con tener una conexión a Internet, lanzar el programa de instalación y esperar a que el sistema de transfiera y se instale en su carpeta de Windows, más sencillo imposible. Por todo lo anterior, creo que esta es una de las mejores formas de entrar en el mundo Linux para los usuarios de Windows. Es una instalación simple y que en nada se aparta de lo que conoce un usuario de Windows cuando desea instalar un programa en su sistema.
Como se puede ver, no hay muchas excusas para no usar Linux y correr riesgos innecesarios cuando nos conectamos y navegamos por Internet. Solamente hay que tener un poco de voluntad y el deseo de no formar parte de esa peligrosa red global de ordenadores esclavizados a las órdenes de delincuentes cibernéticos y que en la actualidad se cifra en el 70% de todos los ordenadores domésticos. Si no me quieres hacer caso, solamente te deseo suerte y de verdad, también te deseo que no te pase nada malo...
"Copyleft 2007 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".
