Un viernes por la tarde, a mediados de Febrero, Apple silenciosamente lanzó un fix para un bug crítico presente en las validaciones de certificados de iOS. Esta falla podía, esencialmente, darle a un potencial atacante la capacidad de espiar comunicaciones supuestamente seguras.
Tanto la gravedad del bug, como el hecho de anunciar el parche un viernes por la tarde, son una moneda corriente en Apple. El gigante de la informática con sede en Cupertino, California, es largamente conocido por operar detrás de un legendario velo de discreción.
Sin embargo, al día siguiente, cuando se conoció la información de que este problema no sólo afectaba a los dispositivos iOS, sino también a los que ejecutan el tradicional sistema operativo OSX, las cabezas se volvieron para ver qué estaba ocurriendo y se despertaron muchos intereses. La trama se volvió aún más pesada cuando la semana pasada se descubrió un bug similar que afectó GnuTLS, una pieza de software open-source gratuita utilizada para implementar la encriptación en varias distribuciones de Linux y en otras plataformas.
A medida que el problema de los bugs (particularmente los de Apple) tomaron mayor importancia entre el público, más investigadores y periodistas sugirieron la posibilidad de un subterfugio. Bruce Schneier, uno de los expertos más importantes en criptografía y seguridad del mundo, describió la vulnerabilidad de la siguiente forma:
“La falla es sutil y difícil de detectar cuando se analiza el código. Es fácil suponer que esto pudo haber ocurrido por error. Pero también es sencillo para una persona generar esta vulnerabilidad. ¿Fue esto hecho a propósito? No tengo idea. Pero si yo quisiera hacer algo como esto intencionalmente, lo hubiera hecho exactamente así.
Otros investigadores fueron más directos, alegando que los errores de codificación que desembocaron en el bug de Apple –llamado “goto fail”- son prácticamente imposibles de cometer en una compañía como esta y, mucho más improbable, es el hecho de pasar por alto este error en el proceso de revisión del código. Por supuesto, dado el clima que se generó alrededor de esta vulnerabilidad y las facilidades que otorga, muchos concluyeron que tanto el bug de Apple como el de GnuTLS podrían ser realmente valiosos para cualquiera que estuviera en el negocio del espionaje.
Por otra parte, Matthew Green, experto en criptografía y miembro de la Universidad Johns Hopkins, examinó el bug de GnuTLS y afirmó que, en efecto, se trató de un error de codificación.
Dejando de lado todas las conspiraciones, el error de cripto-validación en GnuTLS significa que tanto los escritorios de Red Hat y los productos del servidor, junto con todas las instalaciones de Debian y Ubuntu (Linux) contienen un bug que podría ser utilizado para monitorear las comunicaciones que se llevan a cabo en las máquinas comprometidas. Este bug impacta los sistemas afectados de pies a cabeza. No solamente las sesiones seguras de navegación web (con HTTPS) son afectadas, sino también las aplicaciones, las descargas y cualquier otro tipo de comunicación encriptada que utiliza GnuTLS para su funcionamiento.
Para ser claros, un atacante tendría que estar presente en la misma red que su objetivo para poder explotar cualquiera de estos bugs. Sin embargo, bajo las circunstancias apropiadas, estas fallas podrían permitir que el criminal realice un ataque del tipo man-in-the-middle, en el cual la víctima cree que se está comunicando con un proveedor de un servicio online confiable cuando, en realidad, le está enviando paquetes de datos a un criminal. En este sentido, ambos bugs brindan grandes facilidades para robar credenciales de inicio de sesión y vigilar las comunicaciones de la red local.
“Esto realmente es tan malo como parece”, aseguró Kenneth White, experto en seguridad y científico principal de Social & Scientific Systems en Carolina del Norte, Estados Unidos. “Un atacante puede virtualmente falsificar cualquier dominio arbitrario y hacerlo parecer autorizado y confiable para el solicitante. Por lo tanto, no sólo es capaz de interceptar canales sensitivos, sino también potencialmente subvertir el proceso de paquetes de firmas confiables.
En otras palabras, es posible falsear la información confiable del certificado que le permite a los usuarios conocer quién desarrolló tal software o aplicación que los usuarios están a punto de descargarse.
Si utilizas una máquina con Linux, entonces probablemente estás en riesgo. Nosotros te recomendamos que instales, lo más pronto posible las actualizaciones más reciente del sistema. Si no utilizas ninguno de los sistemas operativos de Linux que están disponibles, esto no significa necesariamente que estás a salvo. GnuTLS es un paquete open-source ampliamente utilizado y corre en muchos sistemas que no se conocen. La moraleja aquí es, como siempre: instala todos los parches seguido y sin demoras.
Traducido por: Guillermo Vidal Quinteiro