.

....ANTES, UN COMENTARIO

Las noticias trascendidas sobre la posibilidad de que Microsoft y el Gobierno de U.S.A. estuvieran de acuerdo para que este último le facilitara el acceso a los equipos de aquellos usuarios que utilicen sus sistemas mediante una "puerta trasera", como suelen llamarle los informáticos, plantea como mínimo algunas interrogantes bastante desconcertantes.

La primera, y resulta sorprendente, es la que se refiere al nombre de la propia "clave" de acceso, la cual, incomprensiblemente, lleva "nombre y apellido". Me consta que el ser humano es un individuo impredecible pero, supongo que estarán de acuerdo conmigo en que, en medio de una operación secreta que, no se olvide, pone en riesgo la fiabilidad de Microsoft, se identifique al "partner" de la operación asignando una clave que lleva sus siglas...

Como si no fuera suficiente, la clave se identifica como tal incluyendo en su denominación la palabra "key", que es precisamente la identificación corriente de las contraseñas. ¿No resulta en su conjunto exageradamente obvio y chapucero?

La otra cuestión que no se ve en absoluto transparente es por qué causa una información de esta trascendencia y que se conoce desde hace casi dos años sale a la luz recién ahora.

Para colmo, la noticia incluye un comentario, sin identificar la fuente, en el que se asegura que, la única novedad, es el nombre de la clave ya que -siempre según el autor de dicho comentario- se trata de una vieja noticia, incluido el hecho de que existía la disponibilidad de cargar módulos criptográficos ajenos a los de Microsof.

Uno vuelve a preguntarse: ¿Qué c... nos ha vendido Microsoft?

El verdadero significado de todo esto no tiene porqué ser el que parece más evidente. Es más, podría estar perfectamente programado desde el principio para que fuera descubierta y para que produjera el efecto que ha producido. La verdad, no me sorprendería nada que en los próximos días quedara demostrado que no ha sido más que una "falsa alarma": con tres o cuatro jugadas como esta el usuario terminaría por no hacer ni caso del tema y quedaría totalmente indefenso ante una acción verdaderamente intencionada en dirección al espionaje.

Lo más preocupante de todo esto es que pasa el tiempo y el porcentaje de paranoicos que no cejan de esforzarse por espiar, seleccionar, clasificar, controlar y oprimir al prójimo va en franco aumento. No se si es porque los recursos informáticos se lo han puesto en bandeja o porque se hacen más visibles que antes, pero el número parece ascender en función geométrica. El lector verá qué es lo que hace al respecto.

.

.

Alarma en la red por el espionaje informático del Gobierno norteamericano
Los expertos polemizan sobre si Windows tiene un "puerta trasera" a disposición de los espías.

Mercè Molist
La red vivió el pasado fin de semana en estado de alarma. Y es que el tema se las traía: un clave criptográfica con el infausto nombre NSAKey, que viene de serie en todos los sistemas operativos de Windows. NSA son la siglas de la agencia de seguridad nacional norteamericana dedicada al espionaje y la existencia de esta clave se interpretó como un pacto con Microsoft, según el cual el fabricante de Windows les abría una puerta trasera para facilitar su tarea de espionaje y poder entrar en cualquier sistema operativo.

Nada más conocerse la noticia, los nervios o , como describía Wired, "Karakatoa de sentimiento anti-Microsoft", inundaban el pasado viernes los foros electrónicos de Internet.

Tuvo que ser necesaria la intervención de pesos pesados como el divulgador criptológico Bruce Schneider para recordar que, aunque la clave se llame NSAKey, no significa que sea una puerta de la agencia de espionaje National Security Agency (NSA) abierta en todos los ordenadores del mundo que utilizan Windows.

La historia de la NSAKey se remonta a dos años atrás, cuando algunos investigadores descubrieron que el sistema Cripto API (Aplication Progammer's Interface) de Windows venía con dos claves criptográficas en vez de una. La función de esta clave es validar, en nombre de Microsoft, las firmas digitales de los nuevos programas que se quieran instalar en Cripto API. Pero, ¿y la otra clave? Nadie conocía su función hasta que Andrew Fernandes, investigador jefe de la empresa canadiense Cryptonym, anunció haber descubierto, en un fragmento de código de Windows NT4, el nombre de la clave, que supuestamente alguien había olvidado borrar: NSAkey.


La noticia saltaba el pasado viernes, con la publicación de una nota en la web de Cryptonym donde se asegura que "la segunda clave es una puerta trasera que pertenece a la NSA. Lo que significa que la NSA puede cargar programas, en tu máquina, sin autorización".

Los precedentes de la red de espionaje Echelon o los informes de programas en los que la NSA tiene puertas traseras, junto a los sonados fallos de seguridad de Microsoft - esta misma semana el servicio de correo Hotmail mostró su vulnerabilidad al permitir sin problemas el acceso a cuentas ajenas de los internautas -, y la futura Cyberspace Electronic Sercurity Act, que ahora se discute en Estados Unidos y que defiende que el gobierno pueda instalar elementos en los ordenadores sin el conocimiento de los usuarios, eran ya suficiente caldo de cultivo en el que la NSAKey cayó como una bomba.

Microsoft desmentía rápidamente la información, afirmando que la segunda clave no es más que una copia de seguridad de la primera: "La llamamos NSA key (clave NSA) porque la NSA es la autoridad técnica de regulación de los controles de exportación de los Estados Unidos, y la clave asegura que el programa certificado está de acuerdo con las leyes norteamericanas". Incluso la NSA rompió su silencio habitual para asegurar, en una nota a la prensa: "Las leyes de exportación de Estados Unidos requieren que las aplicaciones criptográficas vayan firmadas. La implementación de este requerimiento se de a las empresas".

Sola ante el peligro, Microsoft conseguía inusitados compañeros de batalla: Bruce Schneider, editor de CrypoGram, y Russ Cooper, moderador de NTBugta.

"Que haya dos claves es estúpido, pero es el tipo de cosas que ya esperamos de Microsoft", ironizaba Schneider en un mensaje a sci.crypt. "Si la NSA quisiera meterse en Crypto API, le sería más fácil pedir a Microsoft que le diera su clave. Y, ¿por qué razón alguien llamaría NSAkey a una clave secreta de la NSA?"

También Russ Cooper quitó hierro al asunto, aunque no desmintió totalmente las hipótesis conspiratorias, materializadas en opiniones como la del cofundador de la Electronic Frontier Foundation, John Gilmore: "Esta clave no es más que una parte del trato de Microsoft con la NSA para poder poner criptografía fuerte en programas que vende por todo el mundo".

Luky Green, posteador de la lista cypherpunks, aseguraba: "Una cosa que he aprendido de mi trabajo en cifrado GSM es que las agencias de inteligencia quieren meterse en todos los pasos: tamaño de la clave, generación de claves, algoritmos criptográficos.".

El peligro, según Cooper, "podría ser cierto. La NSA podría implantar un troyano que reemplazase el módulo que cifra la información que no la cifrase y así poder espiar todo el tráfico, pero el editor de NTBugtraq prefiere dar más importancia al segundo descubrimiento de Fernandes, el auténtico fallo: la NSAkey es débil, se puede reemplazar por otra y añadir nuevos proveedores criptográficos al sistema, sobrepasando el control de Microsoft.

Junto a la nota donde explica sus teorías sobre la NSAKey, Fernandes distribuye un programa libre que permite deshabilitar la clave y cambiarla por otra. "Esta es la parte realmente divertida: que la demanda de la NSA de que hubiese una segunda clave, al final habrá contribuido a una más fácil disponibilidad internacional del cifrado fuerte", escribía el investigador inglés Markus Kuhn, en una de las discusiones que el tema ha generado.

Alguien, desde el anonimato, le respondía: "La única novedad es que la clave se llama NSAkey. Que sea o no de la NSA y el hecho que se pueda utilizar para cargar módulos criptográficos no Microsoft son ya viejas noticias".

(temas relacionados :

.