Este es una de las newsletters antiguas que se enviaron de forma exclusiva a los miembros del Club Negocios Seguros, y que se liberan públicamente un mes más tarde.

Si quieres recibir las actuales cada martes y jueves en tu bandeja de correo, hazte miembro ahora.

*******

Negocios Seguros

sudo

La historia se repite.

Hace apenas unos días descubríamos sorprendidos que SUDO, el popular comando de Linux que nos permite realizar peticiones con permisos de administrador, tiene «una pequeña vulnerabilidad» que permite bypasear sus controles, y por tanto, comprometer cualquier componente del sistema.

Lo explicaban por thehackernews.com (EN) de la siguiente forma:

La peculiaridad giraba en torno al tratamiento de sudo de las ID de usuario. Si escribió el comando con una ID de usuario de -1 o su equivalente sin firmar 4294967295, lo trataría como si tuviera acceso de root (ID de usuario 0) incluso mientras registra la ID de usuario real en el registro. Las ID de usuario en cuestión tampoco existen en la base de datos de contraseñas, por lo que el comando no requerirá una contraseña para usarse.

Hace un par de semanas varios medios se hicieron eco de la supuesta existencia de una «llave maestra» creada por los israelitas y vendida a prácticamente todas las agencias de inteligencia de medio mundo (y demás interesados seguramente, aunque queda feo decirlo públicamente) que permite desbloquear cualquier Android o iPhone. Cualquiera.

Algunos recordamos el caso de Diana Quer y cómo la Guardia Civil de este país se las vieron y se las desearon para acceder al terminal, o el caso de la masacre de San Bernardino y el millón de dólares que tuvo que pagar el FBI para acceder al terminal.

Pero, de pronto, Cellebrite, una de las múltiples empresas de seguridad de Israel, vende un software en cloud por apenas 200.000 euros (EN) que asegura que puede saltar cualquier sistema de bloqueo.

Que por supuesto hay que tomar todo esto con pinzas, pero me huele a que estamos ante lo mismo que ocurrió en su día con la NSA y esos «datos personales como metadatos de comunicación« con los que el país «bueno» estaba espiando a todos los demás, aliados incluidos.

Que, te recuerdo, estamos utilizando una tecnología creada por grandes multinacionales. Y que en efecto ni a Google ni a Apple les interesa tener puertas traseras en sus sistemas.

Pero por otro lado, son empresas con sede en EEUU, y por tanto deben cumplir una constitución que les obliga a cumplir con las exigencias del gobierno.

Un gobierno que ya hemos visto con el caso de Kaspersky/Rusia y con el actual de Huawei/China que no le tiembla el pulso a la hora de utilizar la dichosa excusa de seguridad nacional como arma económica para atacar al resto de potencias.

De hecho es algo que hablamos en profundidad en otro artículo exclusivo de mecenas de hace unos días, y es que no solo el gobierno de Trump le ha declarado la guerra al cifrado de las comunicaciones:

William P. Barr, fiscal General de los Estados Unidos, y el Departamento de Justicia del país están retomando la lucha contra las comunicaciones cifradas (EN). Justo al igual que Reino Unido (EN), y como ha ocurrido en ocasiones anteriores, se justifican afirmando que el motivo es la lucha contra el crimen.

Que no me extrañaría nada que de aquí a un tiempo nos enteremos de que el cifrado de punto a punto del que en principio hacen gala la mayoría de estos sistemas lo es… siempre y cuando no tengas a mano una de estas puertas traseras creadas ex profeso para que las agencias de inteligencia y sus respectivos gobiernos puedan mantener la seguridad nacional su control sobre la ciudadanía.

Y es tan triste como parece, ya que siempre podemos decir, una vez se demuestre, que era un fallo de seguridad que casualmente estaban ellos explotando.

Que ni Google ni Apple ni Facebook ni Microsoft tenían constancia de ello. Y que por supuesto nada más saberse lo han parcheado y ya no es explotable.

Es, a fin de cuenta, su palabra contra la de… ¿nadie?

Ya que si en algún momento algún whistleblower como Edward Snowden se atreve a decir la verdad basta con criminalizarlo con supuestos temas que nada tienen que ver (a ver cuánto tarda en aparecer una antigua pareja a la que supuestamente ha violado o un compañero de trabajo que sufrió bullying por su culpa…), encontrando la manera de que el gobierno que lo tiene protegido se vea en la obligación de cederlo a las autoridades y enchironarlo o, peor aún, eliminarlo cuando deje de ser noticia…

________

Si quieres recibir contenido exclusivo como éste el día uno y directamente en tu bandeja de correo cada martes y jueves, hazte miembro del Club «NEGOCIOS SEGUROS».

Banner negocios seguros