Las autoridades de seguridad TI de Alemania niegan haber advertido específicamente contra una puerta trasera resultante de la combinación entre Windows 8 y la próxima generación de Trusted Platform Module. Aún así, las mismas autoridades consideran que esta combinación constituye "un reto de seguridad informática".

Diario TI 26/08/13 7:38:30

La semana pasada, los medios TI internacionales reproducían información de la publicación Zeit, según la cual la autoridad de seguridad TI de Alemania, BSI (Bundesamt für Sicherheit in der Informationstechnik) habría advertido contra una puerta trasera en Windows 8, a la cual tendría acceso la Agencia de Seguridad Nacional estadounidense, NSA. La información original habría estado basada en documentos de la BSI a los que el diario tuvo acceso.

Según se señalaba, la combinación de Windows 8 y una nueva versión del chip de seguridad Trusted Platform Module (TPM), con lanzamiento previsto para 2015, constituiría en sí una puerta trasera que permitiría a Microsoft y -según Zeit- a la NSA, intervenir directamente los PC. Zeit agregó que esta puerta trasera nunca podría ser eliminada, agregando que por tal razón BSI advertía contra el uso de Windows 8 en la administración pública y empresariado alemán.

Después de conocerse la información, BSI público una nota aclaratoria, donde desmiente haber hecho tal advertencia o, al menos, no con el sentido que se le dio en los medios de comunicación. Luego precisa que: “Sin embargo, BSI ha identificado aspectos críticos vinculados a escenarios específicos donde Windows 8 sea utilizado en combinación con hardware que incluya TPM 2.0. Para algunos grupos de usuarios, el uso de Windows 8 en combinación con TPM puede resultar en una mayor seguridad. Esto incluye a los usuarios que, por distintas razones, no tengan la capacidad de gestionar su propia seguridad, o que confíen en que el proveedor del sistema ofrece y actualiza tales componentes”, escribe la entidad.

BSI indica que, por cierto, este es un escenario válido para muchos usuarios, pero recalca que, en tal caso, el proveedor debe ofrecer la suficiente transparencia sobre potenciales limitaciones de la arquitectura, y sus consecuencias.

BSI reitera que el uso de Windows 8 en combinación con TMP 2.0 implica una pérdida de control del sistema operativo y del hardware utilizado. Luego presenta su conclusión: “Para los usuarios, y en el caso que nos ocupa especialmente, el gobierno federal y las infraestructuras críticas, esta situación implica un nuevo riesgo”.

A juicio de BSI, una condición fundamental para el uso responsable de hardware y sistemas operativos, es que tal transferencia de control de elementos de seguridad debe implicar una activación voluntaria por parte del usuario, y la posibilidad de revocar tal activación posteriormente.

Declaraciones de Microsoft

Microsoft también se pronunció sobre el tema. En una declaración enviada a Redmond Magazine, la empresa escribe que con base en la considerable experiencia adquirida en el período transcurrido desde la instauración de TPM 1.2, hace 10 años, la próxima versión TPM 2.0 ha sido diseñada para estar activada como estándar, o por defecto, sin que se requiera interacción del usuario. “Considerando que la mayoría de los usuarios acepta el sistema pre configurado, entonces, al requerirse que el propio usuario active TPM, se estaría mermando la seguridad TI del usuario, incrementando los riesgos de violación de su privacidad”. Luego, ataca los puntos de vista de las autoridades alemanas: “Creemos que las políticas gubernamentales que promuevan este resultado son desafortunadas”.

La empresa recalca además que todas las preocupaciones de los usuarios sobre TPM 2.0 “son conversables”. Agrega que la preocupación generalmente manifestada como “pérdida de control por parte del usuario” no es correcta, debido a que los fabricante de equipo original tienen la posibilidad de desactivar TPM en sistemas x86. “Por lo tanto, los responsables de adquisiciones pueden comprar PCs en que TPM esté desactivado”, escribe Microsoft, insistiendo luego en su planteamiento inicial: “Pero en tal caso, claro está, tampoco se beneficiarán de las funciones de seguridad que esta tecnología hace posible”.

El portavoz no comentó si el propio propietario del PC podría, cuando lo estime conveniente, activar o desactivar TPM después de haber comprado y comenzado a utilizar el producto.

Refiriéndose al tema, un portavoz de Trusted Computing Group, responsables de TPM, declaró a Redmond Magazine que las funciones de “opt-in” y “opt-out” (o activación y desactivación), siempre han estado incluidas “en las especificaciones de TPM”.

Microsoft recalcó además que “desde la adopción de la iniciativa de computación confiable, adoptada hace 10 años, Microsoft se ha concentrado incansablemente en la seguridad y privacidad de los usuarios de TI”.

http://diarioti.com/gobierno-aleman-desmiente-haber-advertido-contra-puerta-trasera-de-windows-8/67578