… De verdad, no se me ocurre una forma informal más estricta de sintetizar lo acaecido durante estos últimos días en el seno de Arch Linux, más concretamente en los foros y listas de correo de esta distribución, donde he asistido como espectador silencioso a la discusión más surrealista que podría imaginar. Y no es asunto de broma.
Todo comenzó (mi conocimiento del asunto, me refiero) hace unos días, gracias al dent de un usuario de Identi.ca que enlazaba una discusión en las listas de correo de Pacman, el gestor de paquetes de Arch Linux. Pero la cosa venía de antes, y en los foros de esta distribución encontraréis varios temas -ya cerrados- con el mismo leitmotiv. Para terminar, un artículo en el blog de uno de los implicados ha completado el círculo. ¿De qué hablamos?
Prácticamente todas las distrubuciones GNU/Linux firman los paquetes de sus repositorios con claves de seguridad, no porque sea un método infalible, sino por que es la manera correcta de hacer las cosas, la mejor y más segura para con sus usuarios. No en Arch Linux, donde, más increíble aún, a Allan McRae, principal desarrollador de Pacman, no le importa lo más mínimo.
El riesgo implícito que conlleva esta práctica es que, sin una firma verificable desde su creación, cualquier paquete puede ser alterado en alguno de los mirrors de que dispone Arch Linux a lo largo de todo el mundo, y nadie se daría cuenta de ello. De hecho, es más fácil verificar un paquete de AUR que los de los repositorios oficiales.
En la discusión previamente enlazada, principal pero no única fuente de información para este artículo, se dicen muchas cosas, demasiadas como para tratarlas todas aquí, por lo que voy a tener que sintetizarlo como pueda a la par que os recomiendo leer todos los enlaces incluidos para una mejor comprensión.
En resumen, el usuario IgnorantGuru plantea la cuestión como lo que es: una negligencia en las políticas de seguridad. Los desarrolladores comienzan atribuyéndolo a falta de mano de obra, pero también de interés. Al parecer, a nadie le apetece encargarse de esta tarea; ni siquiera lo ven como una prioridad. Según se dice, otros plantearon antes la cuestión, e incluso contribuyeron con código para implementarla, pero o bien se quedaron a medias o los desarrolladores principales «olvidaron» sus contribuciones (hay opiniones para todos los gustos).
El usuario IgnorantGuru propone escribir él mismo un script para solucionar la situación al menos de momento. Pero un script por sí solo no puede cambiar las cosas. Los empaquetadores tienen que marcar sus paquetes con su clave y lo más importante: lo ideal sería que las firmas de seguridad se habilitaran en Pacman por defecto, que fuera el gestor de paquetes el que se encargue de verificar esas cosas, y ésto solo pueden hacerlo de forma fiable quienes trabajan con Pacman día a día (quienes mejor conocen su código).
Pero no hay interés y de la defensa se pasa al ataque e incluso al descaro más absoluto. Y así, por parte de algunos de los desarrolladores de Pacman, nos encontramos con perlas del calibre de:
Alf Gaida: «Para mí no hay una gran diferencia en si un paquete está firmado o no. Sería bueno tener esa función y yo estaría encantado si alguien la pusiera en práctica. Pero para mí tiene una prioridad muy baja.»
Loui Chang: «Realmente no me convence tanta paranoia . Siempre habrá maneras de comprometer tu máquina … Nunca estarás a salvo.»
Allan McRae: «No soy responsable de nada. Solo podría hacerlo en mi tiempo libre […] Contratar mis servicios me motivaría a implementarlo. Mi tarifa de asesoramiento estándar es 1.000 dólares por día o parte del mismo […] Me interesan mucho más cuestiones menores que la firma de los paquetes.»
Allan McRae: «Creo que conozco todas las distribuciones con pacman como gestor de paquetes y (a menos que haya una distribución a nivel de empresa que me falte) si la vida de la gente depende de una de estas distribuciones, entonces siento decirlo pero en mi opinión son estúpidos y merecen morir.»
La cosa no termina aquí y las consignas que más se leen (ya con usuarios de por medio) son del tipo «si no te gusta vete«, «yo no lo veo como un riesgo para la seguridad«, «si no vas a hacerlo tú, cállate» o mi preferida «Arch Linux no es un sistema fiable, si quieres seguridad vete a Ubuntu«…
Tal y como lo leéis. Es como si en Arch Linux no se diesen cuenta de que su pequeña distribución, hecha por y para desarrolladores, ha llegado a un nuevo nivel, ya no es tan pequeña y no solo la usan desarrolladores. ¿De verdad hay que esperar a que pase algo?
Arch Linux es una distro dirigida a usuarios experimentados y ¿qué derecho puede tener alguien que no contribuye en nada a quejarse? Simplemente, no es tan fácil. Simplemente, las citas previas son inadmisibles, no hay justificación posible a tamaña dejadez. Arch Linux no se ofrece como un producto no confiable o un globo que te pueda explotar en la cara (¡si hasta hay versión para servidores con soporte extendido!), ni mucho menos.
Por supuesto, ni todos los desarrolladores de de Arch Linux ni todos sus usuarios piensan así, e inclusive los citados abogan porque alguien haga lo correcto; pero no ellos. La pescadilla que se muerde la cola, vamos. Mientras tanto la situación sigue en status quo sin visos de mejorar.
En este sentido, en el que para mí radica toda la importancia de este asunto, el fondo no es tan importante como la forma, porque el problema se puede arreglar, pero la actitud de quienes deberían hacerlo es realmente decepcionante.
Los desarrolladores de Pacman hacen un trabajo genial y lo ofrecen a la comunidad de forma libre -en todos los sentidos-, pero eso no los hace inmunes a la crítica, más si está bien fudamentada, más aún con esas contestaciones por su parte. Tampoco pierden su parte de razón, que conste, pero es que esta situación no hay por dónde cogerla.
Entonces, ¿quienes no estemos de acuerdo no vamos a otro sitio y se acabó? De verdad, preferiría que entre todos los usuarios de Arch Linux hiciésemos una colecta para así poder pagarle a Allan McRae su tiempo en arreglar este despropósito manifiesto, que para más inri carga un proyecto que supuestamente le gusta y que además dirige. ¿Bastarían 1.000 dólares o mejor 10.000?
En fin, así son las cosas y así se las hemos contado. O no. Porque este artículo está escrito muy personalmente por mí, por lo que os vuelvo a recomendar leer todos los enlaces incluidos en esta entrada. Por si se me escapa algo y alguien me lo pudiera explicar.