Chapuza criptográfica en Debian, Ubuntu y derivados16 de Mayo de 2008 — Manuel Delgado
OpenSSL es una implementación de código abierto de, entre otras cosas, el protocolo SSL, la forma más común de proteger sitios web seguros (los que comienzan por https en lugar de http, para que nos entendamos). Esta vulnerabilidad hace que las claves con las que se encriptan los datos enviados a esos sitios (y muchas otras cosas, como conexiones VPN) sean fácilmente averiguables en menos de un par de horas. Además, esto no afecta sólo a las claves en uso, sino también a las claves usadas para firmar, a su vez, otras claves, con lo que la vulnerabilidad podrÃa, en potencia, permitir a alguien generar claves fraudulentas que podrÃan aparentar ser perfectamente válidas, lo que serÃa muy útil para, por ejemplo, ataques de phishing (aunque se ha confirmado que esto no es un riesgo especialmente grande). Me surgen varias preguntas al respecto: ¿sobre qué base dijeron los desarrolladores de OpenSSL que esa lÃnea de código era “innecesaria”? ¿Qué pruebas hicieron para confirmarlo? Si nadie en Debian (ni en Ubuntu, ni un Kubuntu, ni…) revisó el código durante un año y medio, ¿es realmente ventajoso que se trate de código abierto? La falta de exploits de esta vulnerabilidad, ¿se debe sólo a la poca atención que los hackers prestan a Linux? ¿Cómo de habituales son estos errores? ¿Qué pasará cuando más y más usuarios se suban al carro de Linux y los hackers comiencen a prestarle atención? Y, finalmente, ¿cuánta repercusión habrÃa tenido este asunto si la chapuza la hubieran hecho en Redmond? Información completa, en el foro de seguridad de Ubuntu. Imagen encontrada en Metasploit, sobre un original de xkcd, con licencia by-nc. Haga un comentario |
Suscríbete
cargando...
Últimos artículosÚltimos comentarios
Fuentes compartidas en NewsGator |
Nube de etiquetasapple blogs burocracia cambio canon digital carreteras chapuzas datos personales elecciones empresas enrique dans errores España Estados Unidos ETA Evaluaciones gestión del cambio gestión del conocimiento Gestión empresarial Google impuestos Informática información Internet intervencionismo it itil justicia liberalismo libertad Libros LISI literatura Música Manuel Delgado metodologÃas microsoft negocios net neutrality neutralidad de la red partido popular periodismo PolÃtica policÃa pp privacidad PSOE Schneier seguridad SGAE Software teléfonos móviles terrorismo tráfico viajes Web 2.0 WordPress Yahoo zapatero zp Recomendaciones al azarHistórico de artículosVínculos recomendadosDesde el Exilio | Desde la Concha | Doce Doce | El Duende | El Valor de la TecnologÃa | Enrique Dans | In partibus infidelium | Javier Capitán | Lumen Dei | Malaprensa | Mensa España | Proyecto Seléucida | Red Liberal | Schneier on Security | Siracusa 2.0 | Sobre la LÃnea | Spanish Pundit | The Dilbert Blog | The Onion | TravesÃa del Desengaño | Wonkapistas | |


