EDICIóN GENERAL

Huawei lanza ordenador sin AMD, Intel ni Microsoft

#3 eres libre de decir que software privado tiene puertas traseras, no puedo demostrar lo contrario. Afirmar que software abierto tiene puertas traseras me hace suponer que eres un white hat de 5º dan.
#34 Te pueden compilar una versión diferente de la que publican e incluso hacer las puertas traseras directamente en el hardware.
Ahora con eso de las compilaciones reproducibles podrían hacer una prueba de que lo compilado por ellos es lo mismo que publican y así poder verificar que no añaden puertas traseras por software, pero de las de hardware, a no ser que alguien se vaya de la lengua no te enteras
#49 Pregunto sin saber demasiado pero ¿Un hardware que tuviera puertas traseras no debería de ser respaldado por un software que manejara dicho hardware?
#69 no soy experto en ese tema, pero sí y no. Necesitarías un detonante para activar la puerta trasera, pero puede estar en el firmware de un pincho USB, ser una serie de paquetes enviados a la tarjeta de red o incluso sin soft extra, que se active haciendo una serie de eventos en un orden determinado.
#69 No tiene por qué, imagina que haces un procesador que al ejecutar cinco instrucciones concretas en secuencia te permite acceder a la memoria de otros procesos durante un minuto.
#69 Depende de cómo lo implementes. Hay formas de hacer que un Linux, por ejemplo, ni se entere de que hay una puerta trasera. Un ejemplo es el "ring -2", pero hay más.

en.wikipedia.org/wiki/System_Management_Mode
medium.com/swlh/negative-rings-in-intel-architecture-the-security-thre
#69 Una puerta trasera no tiene por qué ser algo hecho adrede, puede ser un bug (que permita una serie de acciones que lleven a una escalada de privilegios y te de el control de la máquina, por ejemplo). Igualmente, no sé si eres consciente de que desde hace algunas generaciones los fabricantes de procesadores x86 han añadido una capa extra de "seguridad", un miniprocesador programable que carga ciertos programas que chequean ciertas cosas y arranca (o no) el procesador principal y ya le da el control, todo esto auspiciado y apoyado por la industria; vamos, que puede dar el control pleno de tu procesador según directrices programadas por otros, o sea, otros deciden quién usa tu procesador o si tú puedes usarlo o no según lo que ellos decidan. El DRM de los procesadores.

En algunos casos se ha conseguido desactivar, incluso hay algún fabricante que permite hacerlo desde la BIOS/UEFI; como es hard cerrado, sin especificaciones abiertas y (se ha demostrado) muchos bugs, muchos tienen la seguridad de que son puertas traseras nada disimuladas que permiten acceder por completo al procesador. Y no, no hace falta respaldo de software (salvo que para ti el firmware sea software, que es debatible)
#49 Para eso existe una cosa llamada chequeos de integridad.

itsfoss.com/checksum-tools-guide-linux/

Las distros linux serias no sólo te aportan los fuentes y los compilados, también te aportan los chequeos de integridad, para que puedas comprobar que efectivamente, lo que te descargas es lo que ellos compilan y procede de sus fuentes.
#124 eso es algo más viejo que las compilaciones reproducibles que ya he dicho yo. Un chequeo de integridad sirve para que un tercero no te meta una copia diferente a la que te ha dado un proveedor, pero si ese proveedor es el que te mete la puerta trasera en el binario y te da un código fuente libre de esas puertas traseras el checksum que te da va a coincidir y el binario que te ha provisto seguirá teniendo puerta trasera (sí compilas tú de cero obviamente el binario estará limpio y tendrá checksum diferente)
Con las compilaciones reproducibles puedes auditar el código fuente y además ver que el checksum del binario del proveedor coincide con esa compilación que has hecho tú con el código auditado, así que no hay puerta trasera (suponiendo que has auditado el código correctamente, claro)
#147 Igualmente tienes los fuentes y hay distros donde tú te lo guisas y te lo comes, si desconfías. Por otro lado, el proceso de compilación es automático y también es auditable, se reducen mucho las formas de colar cosas.

Por otro lado, la gran mayoría de las distros grandes dan soporte a empresas, y ahí si que no hay tutía con estas cosas. ¿Sabes qué pasaría si una empresa se da cuenta de que están espiándoles y/o facilitando el espionaje por modificaciones hechas en los paquetes que les sirven? ¿sabes qué pasaría si hay una demanda?. Se te cierra el grifo, te demandan en cascada, tu empresa se va a la mierda. No se pueden arriesgar.
#34 jajaja, gracias...o no

menéame