Un fallo en una distribución de Linux pone en peligro millones de máquinas en Interne
Debian es el sistema operativo libre más popular entre los administradores de sistemas. Está hecho totalmente por voluntarios. Hace dos años, al querer solucionar un problema y debido a un malentendido, uno de ellos borró una lÃnea de código del paquete de herramientas OpenSSL del sistema. OpenSSL sirve para generar las claves de cifrado con que se hacen operaciones seguras en Internet.
La lÃnea borrada afectaba a la aleatoriedad de las claves, necesaria para que sean fuertes. Esta quedó tan reducida que hacÃa muy fácil romperlas y atacar cualquier operación realizada con ellas. Por ejemplo, se podrÃa alterar el certificado de un banco o una tienda, crear una web falsa y hacer creer a los visitantes que están en la legÃtima, o descifrar las comunicaciones entre una web segura y sus clientes y cazar los datos que se cruzasen, o tener en pocos minutos el control total del servidor de una empresa, o acceder a su red privada virtual y espiar sus movimientos, o cambiar la configuración de un servidor de nombres de dominio y llevar a la gente donde el atacante quiera.
"El impacto es enorme", afirma Jordi Mallach, del equipo de desarrolladores de Debian. A las pocas horas de conocerse el agujero, como lo llaman, ya corrÃan programas maliciosos en Internet para explotarlo. Según Mallach no serÃa extraño que apareciese un gusano que automatizase este ataque: "Habrá servidores que, a buen seguro, acabarán siendo controlados por alguna botnet".
El fallo no es exclusivo de Debian. Afecta también a las distribuciones derivadas de esta, como Ubuntu, la más popular entre usuarios domésticos, y Linex, de Extremadura. Tampoco están a salvo otros sistemas, explica Sergio de los Santos, de Hispasec: "Las claves han podido ser generadas en Debian y después usadas en Windows, ya que los formatos de archivo son estándar. El espectro es infinito".
El gurú de seguridad Bruce Schneier lo ha llamado "el gran lÃo" y no es para menos, ya que no se soluciona aplicando un parche: "Hay que regenerar manualmente las claves, revocar las antiguas, comprobar dónde fueron a parar las inseguras, cambiar contraseñas. Y los usuarios no podemos saber si el administrador del sitio al que nos conectamos lo ha hecho", explica De los Santos.
Lo paradójico, dice el experto, es que "afecta a quien más se ha preocupado de la seguridad y ha elegido la criptografÃa asimétrica para autentificarse él y sus usuarios". AsÃ, velar por la seguridad ha desembocado en uno de los mayores agujeros informáticos de la historia que, añade De los Santos, "no se va a solucionar nunca; los ecos se oirán siempre porque habrá quienes no harán jamás las comprobaciones necesarias".
Debian ha actuado con celeridad. A las pocas horas de conocer el error sacó los parches y una lista de claves afectadas. Diversas autoridades certificadoras se han ofrecido a certificar las nuevas claves gratuitamente, cuando el servicio cuesta 200 euros al año. Esto no ha evitado una lluvia de crÃticas sobre Debian y la seguridad de los programas libres.
Mallach defiende: "La respuesta de Debian ha sido totalmente profesional. Desde el primer momento se ha informado con transparencia del problema y se ha ofrecido toda la información y herramientas para solucionarlo". Pero reconoce: "esto debe servir para que la gente se tome el argumento de ‘código abierto igual a código auditado’ con más perspectiva. Aunque el código está disponible para ser revisado, hay muy poca gente que lo hace. En este caso, se encontró por casualidad dos años después de pasar inadvertido por todos los controles".
HISPASEC: www.hispasec.com/unaaldia/3492 DEBIAN: http://lists.debian.org/debian-secur…/msg00152.html
Otras Noticias Interesantes:
- Mira a ver en la derecha..
You must be logged in to post a comment.