Pasará mucho tiempo antes de que estos días se olviden en la comunidad del software libre. Y nadie sabe hasta dónde llegarán las consecuencias de lo que ya se conoce como el Desastre Debian . "¿Pero sabés que es lo mejor –me decía en estos días un hacker amigo–, que aunque estamos profundamente avergonzados, dolidos y enojados, de todas maneras lo hicimos público, no lo ocultamos. Y sabemos que vamos a salir adelante."
Para resumir el incidente, los sistemas que usan la distribución de Linux llamada Debian estuvieron un año y ocho meses creando contraseñas públicas totalmente inseguras. Y esto ocurrió porque dos líneas de código fueron eliminadas de una aplicación conocida como OpenSSL . El Desastre Debian no afecta solo a Linux, sino que alcanza a cualquier sistema que tenga alguna relación con la seguridad en Internet.
El asunto es interesante porque quedó demostrado que sólo dos líneas de código realmente pueden causar una catástrofe de seguridad, y porque se trata de una cuestión técnicamente muy compleja que nos afecta de forma directa y cotidiana. La mayor parte de los tecnicismos quedarán fuera de esta columna, para no volverla indigesta, pero los curiosos podrán leer más detalles en los links que aparecen a lo largo del texto.
Pero, ¿qué pasó exactamente?
El 13 de mayo último, el proyecto Debian anunció que había descubierto una vulnerabilidad en el generador de números seudoaleatorios de su versión de OpenSSL . Dicho simple, su azar era previsible. ¿Por qué? Porque habían sido eliminadas dos líneas de código. A causa de esto, de manera silenciosa e invisible, se empezaron a usar como semillas los identificadores de proceso , los números que se asignan a cada programa que corre en un sistema, en este caso Linux ( www.debian.org/security/2008/dsa-1571 ). Puesto que en Linux sólo puede haber 32.768 identificadores de proceso, el número de semillas disponibles para generar números al azar se volvió ridículamente bajo. Como el algoritmo (la matemática) que se usa para producir números al azar es conocida, teniendo eso y las posibles semillas, es fácil adivinar el cifrado resultante. Parecía tan sólo otro de esos miles de agujeros de seguridad que infestan el código de todas las aplicaciones informáticas de hoy. Pero era muchísimo más grave. Durante un año y ocho meses, desde el 17/9/2006 hasta el 13/5/2008, cuando se corrigió la falla, los servidores basados en Debian habían estado produciendo claves fáciles de adivinar, predecibles y, por lo tanto, inútiles. Así que no bastaba con instalar la nueva versión corregida del paquete OpenSSL de Debian; había que regenerar los certificados digitales basados en esas claves públicas y volverlos a enviar a la autoridad competente.
Fuente: La nacion.com.ar
No hay comentarios:
Publicar un comentario