Tremendo agujero en Debian y derivados

Hoy me escribió elfio un mail para avisarme del bombazo de noticia (sin duda la noticia del día) del que además esta tarde han comentado en clase de Criptografía.

https://i1.wp.com/blogs.pcworld.com/staffblog/archives/pc-security.jpg

El fallo en cuestión compromete la seguridad de millones de máquinas, ¡ DESDE HACE MÁS DE 2 AÑOS !

Un error ha originado que, desde septiembre de 2006, las claves de cifrado generadas con la distribución de GNU/Linux Debian se puedan romper fácilmente. Esto deja millones de máquinas abiertas a los intrusos e inutiliza certificados usados en el comercio y la banca electrónicos. El normalmente cauto SANS Internet Storm Center lo ha calificado de “muy, muy, muy serio y escalofriante”.

Debian es el sistema operativo libre más popular entre los administradores de sistemas. Está hecho totalmente por voluntarios. Hace dos años, al querer solucionar un problema y debido a un malentendido, uno de ellos borró una línea de código del paquete de herramientas OpenSSL del sistema. OpenSSL sirve para generar las claves de cifrado con que se hacen operaciones seguras en Internet.

La línea borrada afectaba a la aleatoriedad de las claves, necesaria para que sean fuertes. Esta quedó tan reducida que hacía muy fácil romperlas y atacar cualquier operación realizada con ellas. Por ejemplo, se podría alterar el certificado de un banco o una tienda, crear una web falsa y hacer creer a los visitantes que están en la legítima, o descifrar las comunicaciones entre una web segura y sus clientes y cazar los datos que se cruzasen, o tener en pocos minutos el control total del servidor de una empresa, o acceder a su red privada virtual y espiar sus movimientos, o cambiar la configuración de un servidor de nombres de dominio y llevar a la gente donde el atacante quiera.

“El impacto es enorme”, afirma Jordi Mallach, del equipo de desarrolladores de Debian. A las pocas horas de conocerse el agujero, como lo llaman, ya corrían programas maliciosos en Internet para explotarlo. Según Mallach no sería extraño que apareciese un gusano que automatizase este ataque: “Habrá servidores que, a buen seguro, acabarán siendo controlados por alguna botnet”.

El fallo no es exclusivo de Debian. Afecta también a las distribuciones derivadas de esta, como Ubuntu, la más popular entre usuarios domésticos, y Linex, de Extremadura. Tampoco están a salvo otros sistemas, explica Sergio de los Santos, de Hispasec: “Las claves han podido ser generadas en Debian y después usadas en Windows, ya que los formatos de archivo son estándar. El espectro es infinito”.

El gurú de seguridad Bruce Schneier lo ha llamado “el gran lío” y no es para menos, ya que no se soluciona aplicando un parche: “Hay que regenerar manualmente las claves, revocar las antiguas, comprobar dónde fueron a parar las inseguras, cambiar contraseñas. Y los usuarios no podemos saber si el administrador del sitio al que nos conectamos lo ha hecho”, explica De los Santos.

Lo paradójico, dice el experto, es que “afecta a quien más se ha preocupado de la seguridad y ha elegido la criptografía asimétrica para autentificarse él y sus usuarios”. Así, velar por la seguridad ha desembocado en uno de los mayores agujeros informáticos de la historia que, añade De los Santos, “no se va a solucionar nunca; los ecos se oirán siempre porque habrá quienes no harán jamás las comprobaciones necesarias”.

Respuesta rápida

Debian ha actuado con celeridad. A las pocas horas de conocer el error sacó los parches y una lista de claves afectadas. Diversas autoridades certificadoras se han ofrecido a certificar las nuevas claves gratuitamente, cuando el servicio cuesta 200 euros al año. Esto no ha evitado una lluvia de críticas sobre Debian y la seguridad de los programas libres.

Mallach defiende: “La respuesta de Debian ha sido totalmente profesional. Desde el primer momento se ha informado con transparencia del problema y se ha ofrecido toda la información y herramientas para solucionarlo”. Pero reconoce: “esto debe servir para que la gente se tome el argumento de ‘código abierto igual a código auditado’ con más perspectiva. Aunque el código está disponible para ser revisado, hay muy poca gente que lo hace. En este caso, se encontró por casualidad dos años después de pasar inadvertido por todos los controles”.

Fuente: El País (gracias elfio!)

salu2!

18 respuestas a Tremendo agujero en Debian y derivados

  1. Morpheus dice:

    No sé por qué se critica tanto a Debian (siendo una distribución muy basada en la seguridad). En caso de que se hubiera tratado de Windows, quizás no nos hubiéramos enterado del problema (y a ver en cuanto tiempo tardaban en corregirlo).

    No quiero ser un fanboy de GNU/Linux, pero la verdad es que la respuesta de Debian (pese a que es un agujero muy gordo y comprometedor) me parece, como bien apuntan en el artículo, muy profesional (es lo que yo creo que se debería hacer en caso de que pasara algo así).

    Por cierto, este error ya está corregido en Ubuntu?

  2. €quiman dice:

    plop! que grande… pero mas grandes en admitirlo de inmediato… una vez lo encontraron.

  3. jack dice:

    Pero esa noticia es de hace 2 semanas ¿no?

  4. bachi.tux dice:

    Ciertamente, cuando una distribucion de Linux tiene agujeros de seguridad, es para sorprenderse.

    Pero más sorprendente es la terrible cantidad de agujeros que tienen los diversos Windows, y el mundo los sigue utilizando.

    Aveces, la ironia alcanza niveles irrazonables!

  5. Evelio dice:

    @jack:

    sip es como del 13 de mayo… :S

  6. ViKToR dice:

    Vaya pues yo me he enterado de la noticia hoy ^^

    De hecho la fecha de la publicación de la noticia de “El País” es de hoy

  7. midecadencia dice:

    Si alguien tiene la oportunidad de revisar la tira de XKCD.com se dará cuenta de agujeros de seguridad que tienen otras distros y que parece que no son “alarmantes”.

  8. zoet13 dice:

    Lo repararon en menos de 1 hora. Hasta salieron caricaturas satirizando el error y fue hace como 1 mes xD

  9. elfio dice:

    Podeis poner el enlace a la noticia de hace un mes por favor?

    Gracias

  10. unf dice:

    elfio, un mes no, pero más de 2 semanas sí: http://barrapunto.com/article.pl?sid=08/05/13/1442221

  11. Elfio:
    El aviso de Debian fue el 13 de mayo, no hace un mes pero si 17 días.
    http://www.debian.org/security/2008/dsa-1571
    Y eso de “uno de los mayores agujeros informáticos de la historia” me gustaría que los “expertos” lo comparen, en cuanto a consecuencias, con el agujero que permitió el Sasser.

  12. elfio dice:

    Bueno, pues tenéis toda la razón, pido disculpas por haber informado con bastante retraso…xD

  13. dbarrera dice:

    Gracias por la info muchisimas gracias………..
    Que gran error que tiene debian….bueno que se recupero pronto
    lo bueno que por ser libre rapido tenemos la cura para ese mal tipo WIN
    jajajajajaj
    Saludos ubunteros……

  14. bpbrainiak dice:

    @dbarrera

    dudo mucho que algo asi pase a lo QA de microsoft, de hecho yo soy desarrollador y uso windows y el .net framework para trabajar y si, reconosco que es una copia de java que se mucho mas rapido que el mismo java, pero en si un error como este no es algo que sea menor, o que se tome a la asi de simple, el software libre, como el pagado tienen errores, de hecho el software academicamente perfecto se menos sarcasticos, yo uso windows y soy productivo con el, y es dinero a la larga bien gastado

  15. Ariel dice:

    Hola que tal.Te queria decir que esta muy bueno tu blog, tiene buena informacion y esta muy bien distribuido, la verdad te felicito.

    Si queres aca te dejo mi blog es: http://entornosgraficos.blogspot.com

    Aca podes encontrar todo lo necesario para tu entorno. Asi que… Espero tu visita.

    Un Saludo,Ariel.

  16. REbo dice:

    los agujeros siempre hay que taparlos. Imagino que me entiendes… no?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: