Un grave fallo en Debian pone en peligro millones de máquinas en Internet

20/05/08 18:35:46

UN GRAVE FALLO EN UNA DISTRIBUCIÓN DE LINUX PONE EN PELIGRO MILLONES DE OPERACIONES Y MÁQUINAS EN INTERNET

Mercè Molist
Un error ha provocado que, desde septiembre de 2006, las claves de cifrado generadas con la distribución de GNU/Linux Debian se puedan romper fácilmente. Esto deja millones de máquinas abiertas a los intrusos e inutiliza certificados usados en el comercio y la banca electrónicos. El normalmente cauto SANS Internet Storm Center lo ha calificado de "muy, muy, muy serio y escalofriante".

Debian es el sistema operativo libre más popular entre los administradores de sistemas. Está hecho totalmente por voluntarios. Hace dos años, al querer solucionar un problema y debido a un malentendido, uno de ellos borró una línea de código del paquete de herramientas OpenSSL del sistema. OpenSSL sirve para generar las claves de cifrado con que se hacen operaciones seguras en Internet.

La línea borrada afectaba a la aleatoriedad de las claves, necesaria para que sean fuertes. Esta quedó tan reducida que hacía muy fácil romperlas y atacar cualquier operación realizada con ellas. Por ejemplo, se podría impersonar el certificado de un banco o una tienda en línea, crear una web falsa y hacer creer a los visitantes que están en la legítima.

O descifrar las comunicaciones entre una web segura y sus clientes y cazar todos los datos que se cruzasen entre ellos. O tener en pocos minutos el control total del servidor de una empresa. O acceder a la Red Privada Virtual de la misma y espiar sus movimientos. O cambiar la configuración de un servidor de nombres de dominio y llevar a la gente donde el atacante quiera.

"El impacto es enorme", afirma Jordi Mallach, del equipo de desarrolladores de Debian. A las pocas horas de conocerse "El Agujero", como lo llaman, ya corrían programas maliciosos en Internet para explotarlo. Según Mallach no sería extraño que apareciese un gusano que automatizase este ataque: "Habrá servidores que, a buen seguro, acabarán siendo controlados por alguna "botnet"".

El fallo no es exclusivo de Debian. Afecta también a las distribuciones derivadas de esta, como Ubuntu, la más popular entre usuarios domésticos, y Linex, creada por el gobierno de Extremadura. Tampoco están a salvo otros sistemas, explica Sergio de los Santos, de la consultora Hispasec: "Las claves han podido ser generadas en Debian y después usadas en Windows, ya que los formatos de archivo son estándar. El espectro es virtualmente infinito".

El gurú de seguridad Bruce Schneier lo ha llamado "el gran lío" y no es para menos ya que no se soluciona aplicando un parche: "Hay que regenerar manualmente las claves, revocar las antiguas, certificarlas, comprobar dónde fueron a parar las inseguras, cambiar contraseñas. Y los usuarios no podemos saber si el administrador del sitio al que nos conectamos lo ha hecho o no", explica Sergio de los Santos.

Lo paradójico, dice el experto, es que "afecta a quien más se ha preocupado de la seguridad y ha elegido la criptografía asimétrica para autenticarse él y sus usuarios". Así, velar por la seguridad ha desembocado en uno de los mayores agujeros informáticos de la historia que, añade De los Santos, "no se va a solucionar nunca, los ecos se oirán siempre porque habrá quienes no harán jamás las comprobaciones necesarias".

Debian ha actuado con celeridad y, a las pocas horas de conocer el error, sacaba los parches y una lista de claves afectadas. Diversas autoridades certificadoras se han ofrecido a certificar las nuevas claves gratuitamente, cuando este servicio cuesta alrededor de 200 euros al año. Esto no ha evitado una lluvia de críticas sobre Debian y la seguridad de los programas libres.

Jordi Mallach defiende: "La respuesta de Debian ha sido totalmente profesional. Desde el primer momento se ha informado con transparencia del problema y se ha ofrecido toda la información y herramientas para solucionarlo". Pero reconoce que "esto debe servir para que la gente se tome el argumento de 'código abierto igual a código auditado' con más perspectiva".

La lección de este lío es, dice Mallach, que "aunque el código está disponible para ser revisado, hay muy poca gente que lo hace. En este caso, se encontró por casualidad dos años después de pasar inadvertido por todos los controles". De los Santos añade: "Puede que sean miles de ojos los que "miren", cosas que dudo, pero muy poco los que "ven". A efectos prácticos, cuando hablamos de programas tan complejos, pueden llegar a pasar exactamente igual con el código cerrado".

Preguntas frecuentes sobre el problema critptográfico de Debian
http://www.hispasec.com/unaaldia/3492

Grave problema en Linux afecta la seguridad de Internet
http://www.vsantivirus.com/16-05-08.htm

Aviso de Debian
http://lists.debian.org/debian-security-announce/2008/msg00152.html

Debian and Ubuntu users: fix your keys/certificates NOW
http://isc.sans.org/diary.html?storyid=4420

Random Number Bug in Debian Linux
http://www.schneier.com/blog/archives/2008/05/random_number_b.html

Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

<<