Hace algunas semanas uno de nuestros compañeros aquí en el blog hablaba sobre el trabajo de Slimbook para implementar Coreboot en sus equipos, en donde a raíz de que muchos de sus usuarios realizaron peticiones para ello, Slimbook escucho a su llamado (puedes leer la nota completa en este enlace).
Para quienes desconocen aún de Coreboot deben saber que esta es una alternativa de código abierto al tradicional Sistema Básico de Entrada-Salida (BIOS) que ya se encontraba en las PCs MS-DOS 80s y reemplazándola con UEFI (Unified Extensible). Interfaz de firmware) lanzada en 2007. Y ahora la NSA ha comenzado a asignar desarrolladores al proyecto Coreboot.
Eugene Myers de la NSA ha comenzado a proporcionar un código de implementación para el Monitor de transferencia SMI (STM) dirigido a las CPU x86.
Eugene Myers trabaja para el Grupo de Investigación de sistemas confiables de la NSA, un grupo que, de acuerdo con el sitio web de la agencia, pretende «liderar y patrocinar la investigación de tecnologías y técnicas que asegurarán los sistemas de información de Estados Unidos»
El STM es un hipervisor que se inicia en el modo «Gestión del sistema» (SMM), un entorno aislado «anillo -2» en el que se interrumpe la ejecución normal del sistema operativo para que el código del sistema (gestión de la poder, control de hardware, etc.) puede ejecutarse con privilegios más altos.
La firma lanzó la especificación STM (tipo de VMM que maneja máquinas virtuales que contienen código SMM) y la documentación de la característica de seguridad del firmware STM en 2015.
Inicialmente, se suponía que STM funcionaría con un lanzamiento de Intel TXT, pero la última especificación permite que STM funcione solo con la tecnología de virtualización de Intel (VT). TXT no era suficiente para proteger estos servicios contra ataques y STM tiene la intención de hacerlo.
¿La NSA trabajando en proyectos open source?
La NSA ya ha trabajado en proyectos de seguridad abiertos al público, incluido Linux con seguridad mejorada, un módulo de seguridad para Linux.
Las críticas sobre la actuación de la NSA son muchas y constantes. Por lo tanto, no es común que la Agencia Nacional de Seguridad sea agradecida por sus contribuciones a la sociedad.
Sin embargo, en el caso de uno de sus proyectos públicos de código abierto, se utilizará para ayudar al personal de Coreboot.
Siendo un poco mas especifico, la NSA ha lanzado la herramienta de ingeniería inversa Ghidra como fuente y ha sido adoptada por los desarrolladores de Coreboot.
La idea es que el software de la NSA sirva de ayuda en el Proyecto Coreboot. Específicamente, en el firmware para Ingeniería Reversa.
Ghidra es un framework de ingeniería inversa desarrollado por la División de Investigación de la NSA para la Misión de Ciberseguridad de la NSA. Facilita el análisis de códigos maliciosos y malware, como virus y permite a los profesionales comprender mejor las posibles vulnerabilidades de sus redes y sistemas.
Todo el código Coreboot, incluidas todas las contribuciones de STM de la NSA, es de código abierto. En teoría, todo el mundo puede comprobar que no existan puertas traseras.
Ya que este proyecto no proviene de la NSA, sino de un proyecto que eligieron contribuir. Por lo tanto, son los autores de Coreboot los responsables de aceptar o no las contribuciones de la NSA.
Pero en la práctica, la NSA podría haber escrito el código de forma menos segura con vulnerabilidades difíciles de detectar sin investigadores de seguridad más experimentados. Alternativamente, podría explotar esta implementación años más tarde, después de que la vigilancia haya disminuido.
Ya que no sería sorprendente ver este tipo de acciones venir de una agencia como la NSA.
Puesto que recientemente, la NSA intentó pasar dos algoritmos criptográficos al proceso de estandarización de ISO, pero los revisores rechazaron abrumadoramente los algoritmos debido a la falta de confianza y la incapacidad de la NSA para responder a ciertas preguntas técnicas.
Finalmente los interesados en conocer el avance del proyecto, pueden consultar esto en el siguiente enlace.
O sea, en serio? y se van a fiar de ello?
Lo último que haría en la vida sería confiar en software de la NSA y sus «buenas intenciones». Se deberia prohibir que este tipo de agencias que han espiado aporten al sofware libre porque lo comtaminan.