Fa algunes setmanes un dels nostres companys aquí al blog parlava sobre el treball de Slimbook per implementar Coreboot en els seus equips, on arran de que molts dels seus usuaris van realitzar peticions per a això, Slimbook escolto al seu anomenat (pots llegir la nota completa en aquest enllaç).
Per als qui desconeixen encara de Coreboot han de saber que aquesta és una alternativa de codi obert a la tradicional Sistema Bàsic d'Entrada-Sortida (BIOS) que ja es trobava en les PCs MS-DOS 80s i reemplaçant amb UEFI (Unified Extensible). Interfície de firmware) llançada en 2007. I ara la NSA ha començat a assignar desenvolupadors a el projecte Coreboot.
Eugene Myers de la NSA ha començat a proporcionar un codi d'implementació per al Monitor de transferència SMI (STM) dirigit a les CPU x86.
Eugene Myers treballa per al Grup de Recerca de sistemes fiables de la NSA, un grup que, d'acord amb el lloc web de l'agència, pretén «liderar i patrocinar la investigació de tecnologies i tècniques que asseguraran els sistemes d'informació dels Estats Units»
El STM és un hipervisor que s'inicia en la manera «Gestió de sistema» (SMM), un entorn aïllat «anell -2» en què s'interromp l'execució normal de el sistema operatiu perquè el codi de sistema (gestió de la poder , control de maquinari, etc.) pot executar amb privilegis més alts.
La signatura va llançar l'especificació STM (Tipus de VMM que maneja màquines virtuals que contenen codi SMM) i la documentació de la característica de seguretat de l'microprogramari STM el 2015.
Inicialment, se suposava que STM funcionaria amb un llançament d'Intel TXT, però l'última especificació permet que STM funcioni només amb la tecnologia de virtualització d'Intel (VT). TXT no era suficient per protegir aquests serveis contra atacs i STM té la intenció de fer-ho.
La NSA treballant en projectes open source?
La NSA ja ha treballat en projectes de seguretat oberts a el públic, inclòs Linux amb seguretat millorada, un mòdul de seguretat per a Linux.
Les crítiques sobre l'actuació de la NSA són moltes i constants. Per tant, no és comú que l'Agència Nacional de Seguretat sigui agraïda per les seves contribucions a la societat.
No obstant això, en el cas d'un dels seus projectes públics de codi obert, s'utilitzarà per ajudar a al personal de Coreboot.
Sent una mica més específic, la NSA ha llançat l'eina d'enginyeria inversa Ghidra com a font i ha estat adoptada pels desenvolupadors de Coreboot.
La idea és que el programa de la NSA serveixi d'ajuda en el Projecte Coreboot. Específicament, en el firmware per a Enginyeria Inversa.
Ghidra és un framework d'enginyeria inversa desenvolupat per la Divisió d'Investigació de la NSA per a la Missió de Ciberseguretat de la NSA. Facilita l'anàlisi de codis maliciosos i malware, com virus i permet als professionals comprendre millor les possibles vulnerabilitats de les seves xarxes i sistemes.
Tot el codi Coreboot, incloses totes les contribucions de STM de la NSA, és de codi obert. En teoria, tothom pot comprovar que no hi hagi portes posteriors.
Ja que aquest projecte no prové de la NSA, sinó d'un projecte que van triar contribuir. Per tant, són els autors de Coreboot els responsables d'acceptar o no les contribucions de la NSA.
Però en la pràctica, la NSA podria haver escrit el codi de forma menys segura amb vulnerabilitats difícils de detectar sense investigadors de seguretat més experimentats. Alternativament, podria explotar aquesta implementació anys més tard, després que la vigilància hagi disminuït.
Ja que no seria sorprenent veure aquest tipus d'accions venir d'una agència com la NSA.
Ja que recentment, la NSA va intentar passar dos algorismes criptogràfics a el procés d'estandardització d'ISO, però els revisors van rebutjar aclaparadorament els algoritmes causa de la falta de confiança i la incapacitat de la NSA per respondre a certes preguntes tècniques.
Finalment els interessats a conèixer l'avanç de el projecte, poden consultar això en el següent enllaç.
O sigui, de debò? i es van a fiar d'això?
L'últim que faria en la vida seria confiar en programari de la NSA i els seus «bones intencions». S'hauria de prohibir que aquest tipus d'agències que han espiat aportin a l'sofware lliure perquè el comtaminan.