Entrevista a Jordi Mallach, desarrollador de Debian, sobre el bug de Debian

2
 

junio 5, 2008 General Joshua

Los que ya leyeron sobre el Bug de Debian leean esta entrevista para saber mas sobre el bug, que afecta a todos

?A qui?n afecta esto?

El impacto es enorme. La biblioteca libssl de Debian y sus distribuciones derivadas ha estado generando material criptogr?fico d?bil durante casi dos a?os. En Debian la mayor?a de la gente ha estado afectada desde el lanzamiento de la ?ltima versi?n, etch, hace un a?o, pero los usuarios de Ubuntu han estado expuestos al error durante tres versiones.

Debian es bastante popular en ambientes universitarios y entre muchos administradores de sistemas, y Ubuntu es el l?der en los usuarios dom?sticos, con lo que estamos hablando de millones de ordenadores
afectados. Ahora bien, es dif?cil de estimar cifras concretas porque nadie sabe, ni puede saber a ciencia cierta cuantas instalaciones de Debian o Ubuntu hay en el mundo; existe una opci?n en ambas
distribuciones, desactivada por defecto, que permite saber de la existencia de esa instalaci?n y la versi?n de sus paquetes instalados, pero el porcentaje de usuarios que la han activado es ?nfima.

Lo m?s grave es que no s?lo los usuarios de Debian deben estar intranquilos. Todos los administradores de servidores con SSH o certificados SSL, sean o no basados en Debian, deber?an hacer una comprobaci?n exhaustiva de todos sus certificados SSL y claves SSH en busca de claves vulnerables, porque pueden tener autorizadas claves p?blicas d?biles, que podr?an permitir entradas a sus servidores.

Por ejemplo, por la manera que se usan las claves SSH de tipo DSA, no es exagerado decir que *todas* las claves DSA, tanto las generadas en m?quinas vulnerables o en m?quinas “seguras” deber?an considerarse comprometidas y no usarse m?s. Algunos administradores est?n recomendando desactivar el soporte para claves DSA y usar s?lo RSA a partir de ahora. Y eso no significa que las claves RSA sean seguras. No lo son, si se han generado en sistemas con una libbssl d?bil.

?Qu? significa para las empresas? ?A qu? peligros las expone?

B?sicamente deber?n estudiar el uso que hacen de la criptograf?a en sus sistemas, entender hasta d?nde hay riesgos incluso si no usan Debian o Ubuntu e invertir el tiempo necesario en asegurarse de que no est?n autorizando ninguna entrada insegura en el sistema. De no hacerlo, es m?s que probable que si tienen servidores afectados accesibles desde Internet, estos acaben infectados por gusanos dise?ados para aprovechar esta vulnerabilidad.

?Y para el resto de usuarios?

Exactamente lo mismo, pero a nivel m?s local y reducido. Si no toman medidas, en unos meses su ordenador puede convertirse en un ?zombie?. O un usuario podr?a conectar a un servidor web supuestamente seguro que use un certificado generado por una versi?n afectada de OpenSSL. Ser?a
posible descifrar datos sensibles ya que la parte privada del certificado usado para el cifrado es conocida.

No, este problema va a persistir durante a?os, porque no basta con actualizar los servidores y aplicar los parches. Tambi?n hay que, manualmente, comprobar los certificados del sistema y las claves de
SSH de los usuarios para asegurarse de que el sistema no est? autorizando entradas con claves d?biles. Lamentablemente habr? servidores con esta debilidad en la red durante a?os, que a buen seguro acabar?n siendo controlados por alguna ?botnet?.

?Demuestra eso que no hay que fiarse del software desarrollado por voluntarios?

Yo no lo creo. S? debe servir para que la gente se tome el argumento de ?codigo abierto = c?digo auditado? con un poco m?s de perspectiva: la realidad es que aunque el c?digo est? disponible para ser revisado, hay muy poca gente dedicada a auditarlo para encontrar posibles vulnerabilidades. En este caso, Luciano Bello lo encontr? por casualidad dos a?os despu?s de pasar inadvertido por todos los controles.

Con el software privativo, no podemos saber si hay errores de este tipo esperando a ser explotado porque no podemos comprobarlo como ha pasado en este caso, ni ahora ni dentro de dos a?os. Por otro lado, tambi?n se puede analizar la respuesta de Debian, Ubuntu y la comunidad del
software libre frente a este problema. Pese a ser un error may?sculo, que seguramente da?ar? la credibilidad y reputaci?n de Debian, creo que la respuesta y el trato que se le ha dado a la situaci?n ha sido totalmente profesional. Desde el primer momento, se ha informado transparentemente de la magnitud del problema y se ha ofrecido toda la informaci?n y herramientas para ayudar a los usuarios y administradores a identificar y reemplazar el material criptogr?fico vulnerable.

Si eso hubiese sucedido en Microsoft, habr?a cabezas cortadas.

Debian es un proyecto voluntario y evidentemente no va a haber “despidos” ni “expulsiones”. En muchos medios “on-line”, se est? haciendo ver que todo el problema viene porque un “novato” toc? un par de l?neas de c?digo que no entend?a realmente, generando as? una especie de apocalipsis cript?gr?fica. No es tan sencillo; el autor del cambio trat? de informarse de la idoneidad y consecuencias del cambio preguntando a los autores de OpenSSL, recibiendo, debido a un c?mulo de
malentendidos, una respuesta positiva. Aunque la responsabilidad final es claramente de Debian, los autores de OpenSSL tambi?n han aprendido algunas lecciones y seguramente ser?n m?s cuidadosos a la hora de informar correctamente de c?mo se puede contactar con ellos para este tipo de consultas, y comentar?n los trozos de c?digo tan cr?tico como este para que quien lo revise sea consciente de lo que supone cambiar una l?nea.

Dentro del proyecto se es muy consciente de la gravedad del asunto, y a la vez que se tomaban las medidas necesarias para publicar informaci?n ?til sobre la vulnerabilidad, y se parcheaban y reemplazaban las claves de los servidores internos, la comunidad de desarrolladores ya discut?a en los blogs y las listas de correo qu? hacer para intentar evitar situaciones como esta en el futuro. Adem?s, esta no es el tipo de piedra en el que se tropieza dos veces. Est? claro que las personas que mantienen c?digo de seguridad, criptogr?fico, etc. ir?n con pies de plomo y ser?n mucho m?s expl?citos a la hora de pedir opini?n a los autores originales, para que no haya malentendidos como en esta ocasi?n.

El art?culo no podr? ser muy largo, as? que tendr? que resumir bastante lo que me cuentas. Si te parece bien, cuando haya salido publicado, publicar? yo por mi cuenta la entrevista entera.

He sido “verbose” porque quer?a explicar muchas cosas, y porque no me han gustado nada algunos calificativos de este incidente por parte de algunos medios (chapuza, ?apa, etc), y por eso quer?a darte un escrito suficientemente claro sobre este tema. Lo que defiendo es que la cagada por parte de Debian es may?scula, pero no es fruto de que alguien ha tocado algo que no sabe, ni que Debian va por libre y la caga y tal. Que hay tambi?n muchas cosas a corregir en OpenSSL, y que esto puede pasar otras veces en otras distribuciones.

Articulo original: Home of Merc?

2 Comentarios »

Twitter / Facebook / Delicious / Digg / StumbleUpon / Tumblr

Agrega un comentario