Un fallo nunha distribución de Linux pon en perigo millóns de máquinas en Internet

O normalmente cauto SANS Internet Storm Center cualificou o incidente de "moi, moi, moi serio e escalofriante". Un programador borrou unha liña de código que xera as claves de cifrado .

Un erro orixinou que, desde setembro de 2006, as claves de cifrado xeradas coa distribución de GNU/Linux Debian póidanse romper fácilmente. Isto deixa millóns de máquinas abertas aos intrusos e inutiliza certificados usados no comercio e a banca electrónicos. O normalmente cauto SANS Internet Storm Center cualificouno de "moi, moi, moi serio e escalofriante".

Debian é o sistema operativo libre máis popular entre os administradores de sistemas. Está feito totalmente por voluntarios. Fai dous anos, ao querer solucionar un problema e debido a un malentendido, un deles borrou unha liña de código do paquete de ferramentas OpenSSL do sistema. OpenSSL serve para xerar as claves de cifrado con que se fan operacións seguras en Internet.A liña borrada afectaba á aleatoriedad das claves, necesaria para que sexan fortes. Esta quedou tan reducida que facía moi fácil rompelas e atacar calquera operación realizada con elas. Por exemplo, poderíase alterar o certificado dun banco ou unha tenda, crear unha web falsa e facer crer aos visitantes que están na lexítima, ou descifrar as comunicacións entre unha web segura e os seus clientes e cazar os datos que se cruzasen, ou ter en poucos minutos o control total do servidor dunha empresa, ou acceder á súa rede privada virtual e espiar os seus movementos, ou cambiar a configuración dun servidor de nomes de dominio e levar á xente onde o atacante queira.

"O impacto é enorme", afirma Jordi Mallach, do equipo de desenvolvemento de Debian. Ás poucas horas de coñecerse o buraco, como o chaman, xa corrían programas maliciosos en Internet para explotalo. Segundo Mallach non sería estraño que aparecese un gusano que automatizase este ataque: "Haberá servidores que, a recado, acabarán sendo controlados por algunha botnet".

O fallo non é exclusivo de Debian. Afecta tamén ás distribucións derivadas desta, como Ubuntu, a máis popular entre usuarios domésticos, e Linex, de Estremadura. Tampouco están a salvo outros sistemas, explica Sergio dos Santos, de Hispasec: "As claves puideron ser xeradas en Debian e despois usadas en Windows, xa que os formatos de arquivo son estándar. O espectro é infinito".

O gurú de seguridade Bruce Schneier chamouno "a gran lea" e non é para menos, xa que non se soluciona aplicando un parche: "Hai que regenerar manualmente as claves, revocar as antigas, comprobar onde foron a parar as inseguras, cambiar contraseñas. E os usuarios non podemos saber se o administrador do sitio ao que nos conectamos fíxoo", explica Dos Santos.

O paradoxal, di o experto, é que "afecta a quen máis se preocupou da seguridade e elixiu a criptografía asimétrica para autentificarse el e os seus usuarios". Así, velar pola seguridade desembocou nun dos maiores buracos informáticos da historia que, engade Dos Santos, "non se vai a solucionar nunca; os ecos oiranse sempre porque haberá quen non farán xamais as comprobacións necesarias".

Resposta rápida

Debian actuou con celeridade. Ás poucas horas de coñecer o erro sacou os parches e unha lista de claves afectadas. Diversas autoridades certificadoras ofrecéronse a certificar as novas claves gratuitamente, cando o servizo custa 200 euros ao ano. Isto non evitou unha choiva de críticas sobre Debian e a seguridade dos programas libres.

Mallach defende: "A resposta de Debian foi totalmente profesional. Desde o primeiro momento informouse con transparencia do problema e ofreceuse toda a información e ferramentas para solucionalo". Pero recoñece: "isto debe servir para que a xente tómese o argumento de 'código aberto igual a código auditado' con máis perspectiva. Aínda que o código está dispoñible para ser revisado, hai moi pouca xente que o fai. Neste caso, atopouse por casualidade dous anos logo de pasar inadvertido por todos os controis".