|
|
|
 |  |  |
|
|
| |
|
|
 Un fallo en una distribucin de Linux pone en peligro millones de mquinas en Internet |
29/05/2008
|
El normalmente cauto SANS Internet Storm Center ha calificado el incidente de "muy, muy, muy serio y escalofriante" - Un programador borr una lnea de cdigo que genera las claves de cifrado.
Un error ha originado que, desde septiembre de 2006, las claves de cifrado generadas con la distribucin de GNU/Linux Debian se puedan romper fcilmente. Esto deja millones de mquinas abiertas a los intrusos e inutiliza certificados usados en el comercio y la banca electrnicos. El normalmente cauto SANS Internet Storm Center lo ha calificado de "muy, muy, muy serio y escalofriante".
Debian es el sistema operativo libre ms popular entre los administradores de sistemas. Est hecho totalmente por voluntarios. Hace dos aos, al querer solucionar un problema y debido a un malentendido, uno de ellos borr una lnea de cdigo del paquete de herramientas OpenSSL del sistema. OpenSSL sirve para generar las claves de cifrado con que se hacen operaciones seguras en Internet.
La lnea borrada afectaba a la aleatoriedad de las claves, necesaria para que sean fuertes. Esta qued tan reducida que haca muy fcil romperlas y atacar cualquier operacin realizada con ellas. Por ejemplo, se podra alterar el certificado de un banco o una tienda, crear una web falsa y hacer creer a los visitantes que estn en la legtima, o descifrar las comunicaciones entre una web segura y sus clientes y cazar los datos que se cruzasen, o tener en pocos minutos el control total del servidor de una empresa, o acceder a su red privada virtual y espiar sus movimientos, o cambiar la configuracin de un servidor de nombres de dominio y llevar a la gente donde el atacante quiera.
"El impacto es enorme", afirma Jordi Mallach, del equipo de desarrolladores de Debian. A las pocas horas de conocerse el agujero, como lo llaman, ya corran programas maliciosos en Internet para explotarlo. Segn Mallach no sera extrao que apareciese un gusano que automatizase este ataque: "Habr servidores que, a buen seguro, acabarn siendo controlados por alguna botnet".
El fallo no es exclusivo de Debian. Afecta tambin a las distribuciones derivadas de esta, como Ubuntu, la ms popular entre usuarios domsticos, y Linex, de Extremadura. Tampoco estn a salvo otros sistemas, explica Sergio de los Santos, de Hispasec: "Las claves han podido ser generadas en Debian y despus usadas en Windows, ya que los formatos de archivo son estndar. El espectro es infinito".
El gur de seguridad Bruce Schneier lo ha llamado "el gran lo" y no es para menos, ya que no se soluciona aplicando un parche: "Hay que regenerar manualmente las claves, revocar las antiguas, comprobar dnde fueron a parar las inseguras, cambiar contraseas. Y los usuarios no podemos saber si el administrador del sitio al que nos conectamos lo ha hecho", explica De los Santos.
Lo paradjico, dice el experto, es que "afecta a quien ms se ha preocupado de la seguridad y ha elegido la criptografa asimtrica para autentificarse l y sus usuarios". As, velar por la seguridad ha desembocado en uno de los mayores agujeros informticos de la historia que, aade De los Santos, "no se va a solucionar nunca; los ecos se oirn siempre porque habr quienes no harn jams las comprobaciones necesarias".
Respuesta rpida
Debian ha actuado con celeridad. A las pocas horas de conocer el error sac los parches y una lista de claves afectadas. Diversas autoridades certificadoras se han ofrecido a certificar las nuevas claves gratuitamente, cuando el servicio cuesta 200 euros al ao. Esto no ha evitado una lluvia de crticas sobre Debian y la seguridad de los programas libres.
Mallach defiende: "La respuesta de Debian ha sido totalmente profesional. Desde el primer momento se ha informado con transparencia del problema y se ha ofrecido toda la informacin y herramientas para solucionarlo". Pero reconoce: "esto debe servir para que la gente se tome el argumento de 'cdigo abierto igual a cdigo auditado' con ms perspectiva. Aunque el cdigo est disponible para ser revisado, hay muy poca gente que lo hace. En este caso, se encontr por casualidad dos aos despus de pasar inadvertido por todos los controles".
HISPASEC: www.hispasec.com/unaaldia/3492
DEBIAN: http://lists.debian.org/debian-security-announce/2008/msg00152.html
(Elpais.com)
|
|
|
Bruselas propone una reduccin drstica de los precios de los mviles |
02/06/2008 |
 |
La comisaria Reding quiere provocar un recorte de las tarifas mayoristas de terminacin de la telefona mvil que se cobran entre s las operadoras y que suponen entre el 15% y el 30% de sus ingresos.
La...
|
|
|
|
|
Andrs Armas: 'El 'pay per view' es posible' |
02/06/2008 |
|
|
El encendido digital se acerca inexorablemente. El 'apagn' en Soria est programado para el prximo 23 de julio, el posterior encendido digital definitivo se mantiene para el 3 de abril de 2010 y, sin...
|
|
|
|
|
El Gobierno cuestiona la metodologa de todos los rankings mundiales de 'telecos' |
30/05/2008 |
|
|
Al Gobierno no le gusta la situacin en la que queda Espaa en los rankings internacionales de sociedad de la informacin. Por eso, va a ser 'pro activo' en el campo de la argumentacin. El Ministerio...
|
|
|
|
|
OKI lidera el mercado multifuncin lser/LED color |
30/05/2008 |
|
OKI Systems Ibrica ha presentado los ltimos datos publicados por la consultora IDC, correspondientes al primer trimestre de 2008.
En los que la compaa se posiciona como lder del mercado multifuncin...
|
|
|
|
|
Consumo sancionar a los comercios que no informen sobre el apagn analgico |
30/05/2008 |
|
Vender un televisor sin TDT, sin previo aviso, ser objeto de infraccin por "omisin engaosa".
El Ministerio de Sanidad y Consumo ha exigido hoy a los comerciantes que incluyan advertencias sobre...
|
|
|
|
|
El Gobierno no dar ms frecuencias a las operadoras |
30/05/2008 |
|
Industria desvela que los grupos de telecomunicaciones no se beneficiarn del dividendo digital ,el espectro radioelctrico extra procedente de la televisin analgica.
Francisco Ros, secretario...
|
|
|
|
|
EEUU considera reservar parte de las ondas para una Internet gratis y sin pornografa |
30/05/2008 |
|
El adjudicatario deber dar cobertura al 50% de la poblacin de EEUU en cuatro aos.
Este plan ha tenido una tibia respuesta por parte de los operadores inalmbricos.
Los reguladores estadounidenses...
|
|
|
|
|
La CMT niega que Telefnica tenga trabas regulatorias para lanzar la fibra |
29/05/2008 |
|
|
Telefnica no tiene ningn impedimento regulatorio para lanzar las primeras ofertas comerciales sobre la red de fibra. As lo asegur ayer el presidente de la CMT, quien cuestion el planteamiento de la...
|
|
|
|
|
Impulsa TDT recibe el premio ASIMELEC TIC 08 |
29/05/2008 |
|
Impulsa TDT ha recibido, en el marco de la Asamblea General de Asimelec, el Premio Asimelec TIC 2008.
El Jurado de la asociacin multisectorial que agrupa a las empresas espaolas del sector de...
|
|
|
|
|
Un fallo en una distribucin de Linux pone en peligro millones de mquinas en Internet |
29/05/2008 |
|
El normalmente cauto SANS Internet Storm Center ha calificado el incidente de "muy, muy, muy serio y escalofriante" - Un programador borr una lnea de cdigo que genera las claves de cifrado.
Un...
|
|
|
|
|
|
|
|
|
