[uylug-varios] Debian owned by the NSA ?
Eduardo Trápani
etrapani at gmail.com
Mon May 12 14:13:47 PDT 2014
> ... capaz que ya lo vieron,
>
> http://igurublog.wordpress.com/2014/04/08/julian-assange-debian-is-owned-by-the-nsa/
Es interesante ver cómo se introdujo ese problema de seguridad[1], que
puede generar la duda entre conspiración y horror de programador. Yo, en
este caso, me inclino por el horror de programación. ¿Por qué? Porque no
fue algo oculto, si se fijan, ya la versión anterior del código estaba
el comentario de que esa línea generaba advertencias por uso de
variables sin inicializar.
Esas advertencias están registradas en un bug report (Debian Bug
#363516[2]) que plantea cómo eliminarlas. El que hace el cambio dice que
lo va a hacer y se es consciente en parte de lo que implica "What it's
doing is adding uninitialised numbers to the pool to create random
numbers." (comentario #10[3]) Pero estaba envenenado con eliminar las
advertencias de valgrind (ojo, algo deseable también en software de
estas características).
No sé, de la NSA esperaría algo menos frontal. Claro, si lo podés hacer
así de alevoso y pasa igual ... para qué gastarse en encubrir ;) Y a
favor de los conspiracionistas en este caso está el hecho de que si vas
a agarrar a una distribución para inyectar una falla, Debian es flor de
candidata, entre ella y todos sus hijitos recolectores de paquetes (uso
de paquetes sin cambios) tenés buena parte de las distribuciones más
usadas (Ubuntu, Mint, ...).
Con esa evidencia y el diff[4] resultante unas semanas después, vean por
ustedes mismos. ¿Qué les parece? ¿NSA o no?
Yo creo que algo que pasa, es que menos gente se involucra en la
programación. Tenemos que llevar a todos los jóvenes que están
aprendiendo a programar a interactuar con el software libre en algún
momento de las carreras. Porque sino queda en un tema de licencia (que
de por sí es algo buenísimo) pero pierde aquello de los cientos de miles
de ojos mirando cambios y quedamos siendo usuarios y no dueños de la
tecnología. Y me pregunto si falló la coordinación con los responsables
originales, el upstream. Se supone que los desarrolladores de Debian
tienen que estar en contacto con upstream siempre y coordinar los
cambios[5]. No sé si pasó, supongo que no, porque alguien más hubiese
dicho algo.
Y por último está la complejidad y la interoperabilidad del software en
general. En ese mismo bug están preocupados de no hacer cambios que se
propaguen y "molesten" a otros paquetes. Interesante es también el
primer parche sugerido, que inicializa el buffer, creo que hubiese
generado el mismo problema. Con el diario del lunes todo se vuelve
evidente, pero en ese momento se ve que no era tan así.
Eduardo.
[1] https://www.debian.org/security/2008/dsa-1571
[2] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=363516
[3] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=363516#10
[4]
http://anonscm.debian.org/viewvc/pkg-openssl/openssl/trunk/rand/md_rand.c?p2=%2Fopenssl%2Ftrunk%2Frand%2Fmd_rand.c&p1=openssl%2Ftrunk%2Frand%2Fmd_rand.c&r1=141&r2=140&view=diff&pathrev=141
[5]
https://www.debian.org/doc/manuals/developers-reference/developer-duties.html#upstream-coordination
More information about the Uylug-varios
mailing list