Cómo evitar infiltraciones de la NSA

Nordrand!, nordrand!, nordrand!, imagino la multitud en la calle... en fin... el kernel del sistema libre GNU/Linux posee una vulnerabilidad programada por Intel y la NSA: cómo desactivarla.

Tal como informamos recientemente, es muy probable que la agencia de espionaje norteamericana hubiera introducido un código en el núcleo del sistema libre GNU/Linux con el fin de romper la encriptación de mensajes y poder leer claramente lo que debería serles totalmente inaccesible.

¿En qué te afecta esta vulnerabilidad? En que todos los datos que cifres en tu PC puedan ser descifrados (no podrías, por ejemplo, mantener una charla por mail de forma cifrada, estarías siempre a merced del espionaje)... también están afectadas todas las tablets y celulares con Android...

Más allá de los detalles de por qué Linus terminó incluyendo ese código por default en desmedro de otro que fue programado de cero, el usuario debe saber cómo desactivar esta función en su propio sistema operativo, lo cual no es difícil para nada. No es necesario instalar otro kernel Linux, tal como propusimos anteriormente (aunque sería lo mejor dado que el kernel libre no posee software privativo y por tal razón es más confiable).

Lo «loco» de todo esto (por si faltaba algo que no fuera chifladamente pesadillezco...) es que desde el año 2007 existían las sospechas sobre la intrusión del código malicioso y prácticamente nadie se hizo eco hasta ahora. Tal software utiliza el hardware para generar números al azar, los cuales serían previsibles.

¿Qué procesadores (CPUs) están afectados por este problema? Desde los Intel 80386 de 1985 utilizando la arquitectura de 32 bits llamada IA-32 hasta las versiones x86-64 de Pentium 4, Celeron D, Xeon y Pentium Dual-Core. Atom 230, 330, D410, D425, D510, D525, N450, N455, N470, N475, N550, N570, N2600 y N2800, Pentium Extreme Edition, Core 2, Core i7, Core i5, y Core i3 (más info aquí).Las instrucciones IA-32 están también en procesadores de las marcas Cyrix, AMD, VIA... es decir, en prácticamente todas las computadoras que se usan popularmente.

El kernel Linux utiliza RdRand de Intel si no desactivamos tal opción del núcleo. Existe un parche que implementa la función para desactivarlo desde la línea de comandos del kernel... con esta simple instrucción: nordrand.

Normalmente, las distribuciones GNU/Linux se instalan mediante un gestor de inicio llamado GRUB. Para desactivarlo por default, sería así:

En el caso de grub se hace así:

En una consola de comandos entramos como root (administrador):

$ su

Luego ejecutamos un editor de texto, por ejemplo nano:

# nano /etc/default/grub

Agregamos o modificamos la siguiente línea:

GRUB_CMDLINE_LINUX=”nordrand”

Guardamos con control+o y salimos con control+x.

Luego ejecutamos:

grub-mkconfig -o /boot/grub/grub.cfg

Al reiniciar la PC, rdrand de Intel y la NSA no funcionará por default, aún cuando esté disponible de otros modos a voluntad del usuario.

Si queremos hacer esto al iniciar un sistema que aún no ha sido modificado para no utilizar el código demoníaco, podemos presionar la tecla E cuando vemos la pantalla de GRUB e incluir la opción de booteo «nordrand».

Listo. De todas formas, recomendamos instalar Linux Libre para mayor seguridad, y si usás Android, la mejor opción es reemplazarlo por Replicant.

Archivo maldito del mes (¿o de la década?): arch/x86/kernel/cpu/rdrand.c