Skip to content

5 junio, 2008

Un grave fallo en Debian pone en peligro millones de maquinas en internet

Ahi un grave fallo en la distribucion Debian y sus deribados que afecta nuestra seguridad:

Un error ha provocado que, desde septiembre de 2006, las claves de cifrado generadas con la distribuci?n de GNU/Linux Debian se puedan romper f?cilmente. Esto deja millones de m?quinas abiertas a los intrusos e inutiliza certificados usados en el comercio y la banca electr?nicos. El normalmente cauto SANS Internet Storm Center lo ha calificado de “muy, muy, muy serio y escalofriante”.

Debian es el sistema operativo libre m?s popular entre los administradores de sistemas. Est? hecho totalmente por voluntarios. Hace dos a?os, al querer solucionar un problema y debido a un malentendido, uno de ellos borr? una l?nea de c?digo del paquete de herramientas OpenSSL del sistema. OpenSSL sirve para generar las claves de cifrado con que se hacen operaciones seguras en Internet.

La l?nea borrada afectaba a la aleatoriedad de las claves, necesaria para que sean fuertes. Esta qued? tan reducida que hac?a muy f?cil romperlas y atacar cualquier operaci?n realizada con ellas. Por ejemplo, se podr?a impersonar el certificado de un banco o una tienda en l?nea, crear una web falsa y hacer creer a los visitantes que est?n en la leg?tima.

O descifrar las comunicaciones entre una web segura y sus clientes y cazar todos los datos que se cruzasen entre ellos. O tener en pocos minutos el control total del servidor de una empresa. O acceder a la Red Privada Virtual de la misma y espiar sus movimientos. O cambiar la configuraci?n de un servidor de nombres de dominio y llevar a la gente donde el atacante quiera.

“El impacto es enorme”, afirma Jordi Mallach, del equipo de desarrolladores de Debian. A las pocas horas de conocerse “El Agujero”, como lo llaman, ya corr?an programas maliciosos en Internet para explotarlo. Seg?n Mallach no ser?a extra?o que apareciese un gusano que automatizase este ataque: “Habr? servidores que, a buen seguro, acabar?n siendo controlados por alguna “botnet”".

El fallo no es exclusivo de Debian. Afecta tambi?n a las distribuciones derivadas de esta, como Ubuntu, la m?s popular entre usuarios dom?sticos, y Linex, creada por el gobierno de Extremadura. Tampoco est?n a salvo otros sistemas, explica Sergio de los Santos, de la consultora Hispasec: “Las claves han podido ser generadas en Debian y despu?s usadas en Windows, ya que los formatos de archivo son est?ndar. El espectro es virtualmente infinito”.

El gur? de seguridad Bruce Schneier lo ha llamado “el gran l?o” y no es para menos ya que no se soluciona aplicando un parche: “Hay que regenerar manualmente las claves, revocar las antiguas, certificarlas, comprobar d?nde fueron a parar las inseguras, cambiar contrase?as. Y los usuarios no podemos saber si el administrador del sitio al que nos conectamos lo ha hecho o no”, explica Sergio de los Santos.

Lo parad?jico, dice el experto, es que “afecta a quien m?s se ha preocupado de la seguridad y ha elegido la criptograf?a asim?trica para autenticarse ?l y sus usuarios”. As?, velar por la seguridad ha desembocado en uno de los mayores agujeros inform?ticos de la historia que, a?ade De los Santos, “no se va a solucionar nunca, los ecos se oir?n siempre porque habr? quienes no har?n jam?s las comprobaciones necesarias”.

Debian ha actuado con celeridad y, a las pocas horas de conocer el error, sacaba los parches y una lista de claves afectadas. Diversas autoridades certificadoras se han ofrecido a certificar las nuevas claves gratuitamente, cuando este servicio cuesta alrededor de 200 euros al a?o. Esto no ha evitado una lluvia de cr?ticas sobre Debian y la seguridad de los programas libres.

Jordi Mallach defiende: “La respuesta de Debian ha sido totalmente profesional. Desde el primer momento se ha informado con transparencia del problema y se ha ofrecido toda la informaci?n y herramientas para solucionarlo”. Pero reconoce que “esto debe servir para que la gente se tome el argumento de ‘c?digo abierto igual a c?digo auditado’ con m?s perspectiva”.

La lecci?n de este l?o es, dice Mallach, que “aunque el c?digo est? disponible para ser revisado, hay muy poca gente que lo hace. En este caso, se encontr? por casualidad dos a?os despu?s de pasar inadvertido por todos los controles”. De los Santos a?ade: “Puede que sean miles de ojos los que “miren”, cosas que dudo, pero muy poco los que “ven”. A efectos pr?cticos, cuando hablamos de programas tan complejos, pueden llegar a pasar exactamente igual con el c?digo cerrado”.

Preguntas frecuentes sobre el problema critptogr?fico de Debian
http://www.hispasec.com/unaaldia/3492

Grave problema en Linux afecta la seguridad de Internet
http://www.vsantivirus.com/16-05-08.htm

Aviso de Debian
http://lists.debian.org/debian-security-announce/2008/msg00152.html

Debian and Ubuntu users: fix your keys/certificates NOW
http://isc.sans.org/diary.html?storyid=4420

Random Number Bug in Debian Linux
http://www.schneier.com/blog/archives/2008/05/random_number_b.html

Tenemos que conseguir arreglar este Bug para no estar tan desprotegidos

Fuente: Home of Merc?

Leer mas sobre Debian

Los comentarios estan cerrados en eta publicación.