Una greu fallada en una distribuci

Compartir

Una errada ha provocat que, des del setembre de 2006, les claus de xifrat generades amb la distribució de GNU/Linux Debian es puguin trencar fàcilment. Això deixa milions de màquines obertes als intrusos i inutilitza certificats usats en el comerç i la banca electrònics. El normalment caut SANS Internet Storm Center ho ha qualificat de "molt, molt, molt seriós i esgarrifós".


Mercè Molist – Debian és el sistema operatiu lliure més popular entre els administradors de sistemes. Està fet totalment per voluntaris. Fa dos anys, en voler solucionar un problema i a causa d’un malentès, un d’ells va esborrar una línia de codi del paquet d’eines OpenSSL del sistema. OpenSSL serveix per a generar les claus de xifrat amb què es fan operacions segures a Internet.

La línia esborrada afectava a l’aleatorietat de les claus, necessària per a què siguin fortes. Aquesta va quedar tan reduïda que feia molt fàcil trencar-les i atacar qualsevol operació realitzada amb elles. Per exemple, es podria impersonar el certificat d’un banc o d’una botiga en línia, crear una web falsa i fer creure als visitants que estan a la legítima.

O desxifrar les comunicacions entre una web segura i els seus clients i caçar totes les dades que es creuessin entre ells. O tenir en pocs minuts el control total del servidor d’una empresa. O accedir a la Xarxa Privada Virtual de la mateixa i espiar els seus moviments. O canviar la configuració d’un servidor de noms de domini i portar a la gent on l’atacant vulgui.

"L’impacte és enorme", afirma Jordi Mallach, de l’equip de desenvolupadors de Debian. Poques hores després de ser conegut "El Forat", com l’han anomenat, ja corrien programes maliciosos a Internet per a explotar-lo. Segons Mallach no seria estrany que aparegués un cuc que automatitzés aquest atac: "Hi haurà servidors que, segurament, acabaran essent controlats per alguna "botnet"".

La fallada no és exclusiva de Debian. Afecta també a les distribucions derivades d’aquesta, com Ubuntu, la més popular entre usuaris domèstics, i Linex, creada pel govern d’Extremadura. Tampoc se n’escapen altres sistemes, explica Sergio de los Santos, de la consultora Hispasec: "Les claus han pogut ser generades en Debian i després usades en Windows, ja que els formats d’arxiu són estàndard. L’espectre és virtualment infinit".

El guru de la seguretat Bruce Schneier ho ha anomenat "el gran embolic" i no és per a menys ja que no es soluciona aplicant un pegat: "Cal regenerar manualment les claus, revocar les antigues, certificar-les, comprovar on van anar a parar les insegures, canviar contrasenyes. I els usuaris no podem saber si l’administrador del lloc al qual ens connectem ho ha fet o no", explica Sergio de los Santos.

Allò paradoxal, diu l’expert, és que "afecta a qui més s’ha preocupat de la seguretat i ha escollit la criptografia asimètrica per autenticar-se ell i els seus usuaris". Així, vetllar per la seguretat ha desembocat en un dels majors forats informàtics de la història que, afegeix De Los Santos, "no es
solucionarà mai, els ecos s’escoltaran sempre perquè hi haurà els qui no faran mai les comprovacions necessàries
".

Debian ha actuat amb celeritat i, poques hores després de conèixer l’error, treia els pegats i una llista de claus afectades. Diverses autoritats certificadores s’han ofert a certificar les noves claus gratuïtament, quan aquest servei costa al voltant de 200 euros l’any. Això no ha evitat una pluja de crítiques sobre Debian i la seguretat dels programes lliures.

Jordi Mallach defensa: "La resposta de Debian ha estat totalment professional. Des del primer moment s’ha informat amb transparència del problema i s’ha ofert tota la informació i eines per a solucionar-lo". Però reconeix que "això ha de servir per a què la gent es prengui l’argument de ‘codi obert igual a codi auditat’ amb més perspectiva".

La lliçó d’aquest embolic és, diu Mallach, que "encara que el codi està disponible per a ser revisat, hi ha molt poca gent que ho fa. En aquest cas, es va trobar per casualitat dos anys després de passar inadvertit per tots els controls". De Los Santos afegeix: "Pot ser que siguin milers d’ulls els que "mirin", cosa que dubto, però molt pocs els que "veuen". A efectes pràctics, quan parlem de programes tan complexos, poden arribar a passar exactament igual amb el codi tancat".

Preguntes freqüents sobre el problema criptogràfic de Debian

Greu problema en Linux afecta la seguretat d’Internet

Avís de Debian

Debian and Ubuntu users: fix your keys/certificates NOW

Random Number Bug in Debian Linux

Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

Guillem Alsina