La semana pasada hicimos público un acuerdo de gran importancia acerca de nuestra colaboración con la NSA, la agencia de seguridad nacional del gobierno de los Estados Unidos. Este organismo, uno de los que más se preocupan (si no el que más) en todo el planeta por los aspectos relacionados con la seguridad, acaba de unirse a la floreciente comunidad OpenSolaris para colaborar con Sun y otros miembros de la comunidad en el futuro de los sistemas operativos de máxima seguridad.

Antes de ir más allá, me gustaría poner esta idea en perspectiva. La colaboración con la comunidad ha sido, desde siempre, uno de los principales medios con los que cuenta Sun para innovar en el sector. En primer lugar, nos asociamos a clientes cuyos requisitos se encuentran al límite, ya se trate de las instalaciones de informática de alto rendimiento más potentes, los profesionales de seguridad más paranoicos (dicho sea sin ánimo de ofender) o el sistema de archivado más grande del mundo. Posteriormente, aplicamos la experiencia obtenida a la creación de productos para el mercado general. Así pues, los clientes cuyas actividades llevan la tecnología al límite nos enseñan el camino que, en cuestión de tiempo, acabará siguiendo el resto del mundo.

En un noventa por ciento de los casos, la experiencia de estos clientes “extremos” ofrece una orientación válida sobre la dirección en que evolucionará el sector en su conjunto.

En el pasado, este tipo de colaboración solía conllevar la producción de incontables legajos de documentos legales con largas descripciones acerca de las restricciones de confidencialidad, el intercambio de la propiedad intelectual o engorrosos procedimientos administrativos. Pero todo eso se simplificó de forma radical en cuanto pasamos a formar parte de la comunidad de código abierto. Ahora, nuestras colaboraciones más fructíferas se limitan a una fórmula muy sencilla: “únanse a la comunidad”. Y eso es exactamente lo que estamos haciendo público en relación con la National Security Agency: que se han incorporado a la comunidad OpenSolaris.

En lugar de soltarles una parrafada acerca de los detalles de nuestra colaboración, he creído más pertinente enviar una colección surtida de preguntas a Bill Vass, presidente del Grupo de Sistemas Federales de Sun, y publicar sus respuestas aquí. Pueden encontrarlas a continuación.

Así pues, Bill, ¿qué es exactamente lo que hemos anunciado?
Que hemos formalizado una relación con la NSA, la agencia de seguridad nacional de los Estados Unidos, para incorporar sus investigaciones de seguridad a un proyecto de la comunidad OpenSolaris denominado “Flexible Mandatory Access Control (control de acceso obligatorio flexible)”, o FMAC. La nota de prensa del proyecto se encuentra aquí.

¿Qué es el control de acceso obligatorio flexible (FMAC)?
En primer lugar, el MAC, o control de acceso obligatorio, es un mecanismo ejecutado de forma general en el sistema operativo que impone restricciones ineludibles sobre los privilegios de acceso al sistema. La finalidad del MAC consiste, por ejemplo, en evitar que cualquiera pueda examinar nuestro archivo de datos personales (DNI, pasaporte) sin permiso, o apagar un equipo mientras está en curso una implantación esencial para la actividad de la empresa. El MAC afecta, en suma, a todo lo relacionado con la gestión de privilegios.

Pero un único MAC no se puede aplicar a todos los casos, y es aquí donde entra el término “flexible”. Los objetivos de seguridad de una instalación pueden variar de acuerdo con el valor de sus activos o sistemas de información y los métodos empleados para su protección. Al permitir cierta flexibilidad en el sistema, es posible adaptar la normativa de seguridad para que cumpla las necesidades reales de control del acceso de acuerdo con un modelo ampliable de conformidad.

Así pues, la aplicación de FMAC, o controles de acceso obligatorio flexibles (acerca de los cuales encontrará más información aquí), no se limita a organismos gubernamentales, sino que es exactamente igual de válida para sitios web de redes sociales o bancos, por ejemplo. Después de todo, simplificar el control del acceso es un tema de interés general, que incluye también a los consumidores y a las grandes compañías.

¿Quiénes participan en el proyecto?
Sun y la NSA están trabajando de forma conjunta en la comunidad OpenSolaris, y estamos fomentando la participación del resto de la comunidad. Una de las principales ventajas de que Sun sea una compañía de código abierto es que nos permite innovar sin fronteras, en el seno de una comunidad muy grande. Esto cobra especial importancia en un campo como el de las tecnologías de seguridad, en el que la transparencia durante el desarrollo es un factor esencial, incluso en el caso de la NSA: no se pueden introducir troyanos en las plataformas de código abierto. Por tanto, trabajar con código abierto permite a los clientes de alto riesgo confiar en los proveedores *y* comprobar por sí mismos el nivel de seguridad.

Esta colaboración supone un gran espaldarazo para la integridad de la comunidad OpenSolaris por parte de los usuarios gubernamentales que apuestan por el progreso tecnológico y comercial.

¿Por qué eligió la NSA a Sun?
La seguridad y el rendimiento son los puntos clave de nuestra relación con los gobiernos de todo el mundo. Nos hemos centrado en la seguridad desde el principio, y contamos con más de 20 años de experiencia en el sector de los sistemas operativos seguros (recuerden que Trusted Solaris surgió de la colaboración con el gobierno estadounidense hace cosa de una década).

Nuestras tecnologías de seguridad se extienden desde las tarjetas SIM de los teléfonos móviles hasta las plataformas de gestión de identidad integradas en los servicios web más grandes del mundo. Además, Solaris ha sido reconocido desde hace mucho tiempo como el SO de código abierto más seguro en implantaciones que van desde los campos de batalla hasta los sistemas de control y mando. Por ello, esta asociación nos ha resultado de lo más natural.

¿Has mencionado algo acerca de integrar las investigaciones de seguridad de la NSA?
Efectivamente. Estamos trabajando en el modo de unificar nuestra tecnología Solaris Trusted Extensions con las investigaciones de la NSA acerca de la arquitectura Flux Advanced Security Kernel (FLASK) y Type Enforcement (TE). Potencialmente, ambas tecnologías son complementarias y confiamos en aprovechar ese factor para poder ofrecer una pila de aplicaciones íntegramente de código abierto, desde MySQL pasando por Glassfish/Java, hasta llegar al usuario.

La arquitectura Flask separa el cumplimiento de directivas de las directivas propiamente dichas. Las directivas pueden modificarse sin necesidad de cambiar sus "ganchos" de cumplimiento en el entorno operativo. Esto facilita mucho el trabajo de los administradores de seguridad y permite que los sistemas sean más flexibles y útiles.

Por su parte, la tecnología Trusted Extension permite controlar el acceso con una granularidad muy fina, lo que puede utilizarse para una mayor protección contra software dañino.

¿Por qué nos hemos embarcado en esta colaboración con la NSA?
Varios clientes gubernamentales nos han solicitado la implantación en Solaris de tecnología basada en Flask/TE. Además, ahora que acabamos de lanzar Solaris Trusted Extensions, es un momento perfecto para mirar de cara al futuro. Aunque con Solaris Trusted Extensions ya contamos con una excelente infraestructura de seguridad en varios niveles (MLS), el valor resultante de la combinación de ambas tecnologías puede ofrecer una única plataforma ampliable que sirva para proteger la información de organismos gubernamentales, empresas de todo tipo, e incluso los dispositivos electrónicos de consumo como teléfonos móviles o cámaras de vídeo.

¿A qué público está dirigido el FMAC?
Como mencioné anteriormente, los organismos gubernamentales son los principales usuarios de los sistemas basados en MAC. Nuestro objetivo a largo plazo consiste en poner tecnologías como FMAC al alcance de los mercados comerciales, desde nuevas empresas a grandes compañías. Los gobiernos constituyen un buen indicador para detectar las tendencias comerciales en materia de problemas de seguridad.

Los sistemas de máxima seguridad han pasado de ser una excepción a convertirse en un factor esencial para el gobierno de EE. UU., los gobiernos internacionales y, en especial, para los usuarios.

¿Esta colaboración está limitada al ámbito estadounidense?
No. Es un proyecto de OpenSolaris project y queremos que la comunidad internacional ayude a sacarlo adelante. Quien desee colaborar solamente tiene que crear una cuenta en opensolaris.org para unirse.

Si alguien quiere ponerse en contacto con tu equipo para hablar sobre FMAC en la comunidad de código abierto ¿cómo puede hacerlo?
Bastará con que me escriba a mi dirección de correo electrónico: bill.vass@sun.com. Disponemos de muchos colaboradores en Washington D.C., así como de contactos en todo el mundo que pueden ayudar a los organismos a asimilar todo lo necesario sobre seguridad y código abierto, y cómo pueden unirse a la comunidad para colaborar en aportar innovaciones en el campo de la seguridad. No lo duden: ahora es el momento perfecto para unirse a la comunidad.

Muchas gracias, Bill.
De nada, ha sido un placer.