Netcraft dice que el problema de seguridad de Debian aún persiste
Sin dudas uno de los mayores disgustos que sufre el movimiento del Software Libre es el error cometido por parte de un desarrollador Debian y la gente de OpenSSL (que aconsejó remover líneas de código que hicieron mucho más inseguro ese paquete de software). Si bien este problema estuvo presente por dos años, aún no se conocen casos concretos de explotación de tal vulnerabilidad, sería bueno que los lectores de MasterMagazine pudieran dar ejemplos.
Un número realmente importante de certificados de seguridad SSL afectados por la falla de seguridad en Debian, incluyendo los de tipo Extended Validation y aquellos que pertenecen a bancos fueron encontrados en Junio por Netcraft.
Estos certificados inseguros (que deben rehacerse para ser seguros) dan oportunidad a delincuentes informáticos a crear sitios que aparentemente utilizan certificados SSL, dándole al usuario la impresión de que el sitio pertenece a una organización certificada como segura, en el caso de los de tipo Extended Validation los navegadores web tornarán la barra de direcciones verde, incluso si el certificado fuera meramente clonado.
Desde el punto de vista del atacante, la mayor limitación es que el navegador alertará al usuario acerca de si el nombre en común de aquel certificado está de acuerdo con el utilizado por el usuario para acceder al sitio, por lo cual el atacante necesita afectar la red del usuario o los resultados del DNS para lograr un ataque completamente silencioso o bien simulado.
El 13 de mayo Debian lanzó un aviso de seguridad (llamado CVE-2008-0166) anunciando esta vulnerabilidad en el paquete OpenSSL, la cual hacía posible descubrir claves privadas por medio de claves públicas SSL y SSH. El problema afectaba a todas las versiones OpenSSL en sistemas basados en Debian a la largo de 2 años.
Exactamente, el desastre fue ocasionado por la remoción (en realidad el deshabilitar) de dos líneas de código fuente para evitar avisos de alerta que parecían innecesarios, lo cual produjo una entropía mucho más pobre en las "semillas" que producen los números al pseudo-azar en OpenSSL, haciendo más sencilla su predicción.
Los atacantes pueden de este modo realizar fácilmente ataques de fuerza bruta contra claves criptográficas usadas en certificados SSL creadas en sistemas vulnerados. Lógicamente el paquete OpenSSL ya fue corregido hace rato, pero lo que deben realizar los usuarios es un trabajo referente a generar nuevamente las claves de seguridad SSL y SSH que hayan sido creadas desde setiembre de 2006. Estamos hablando de usuarios de Ubuntu, Knoppix, Xandros, Knoppix, etc.
En el sitio Metasploit se publicó un análisis acerca del tema OpenSSL en Debian, HD Moore utilizó un equipo con 31 CPUs Xeon de 2.33Ghz para generar todas las claves de 1024-bit DSA, 2048-bit RSA para arquitecturas x86 y tardó sólo 2 horas, la creación de claves de 4096-bit RSA le tomó 6 horas.
A pesar de que una cantidad de autoridades de certificación ofrecieron reemplazos gratuitos a sus clientes afectados por el problema Debian OpenSSL, se reportó que no están recibiendo una buena respuesta. Comod está ofreciendo un reemplazo gratuito de certificados SSL a cualquier negocio afectado, más allá del proveedor original, mientras que VeriSign se encuentra dando soluciones, GeoTrust y Thawte también ofrecen renovaciones, y RapidSSL las brinda gratuitamente en el sitio de GeoTrust.
Por Marcos Guglielmetti, el 14/06/2008.