" />
ZOOM
GALERÍA
0 COMENTARIOS

En esta ocasión afecta a desarrollos creados con el toolkit de OpenSSL para desarrolladores

Un nuevo problema de seguridad afecta a OpenSSL

A perro flaco todo son pulgas, sí, pero parece que en ocasiones los canes más rollizos tampoco se escapan del ataque de los cáncanos. Y es que, si hace unas pocas semanas supimos por primera vez de Heartbleed, y vimos como gran parte de la confianza que depositábamos (hasta entonces) en las operaciones a través de Internet que se «aseguraban» con OpenSSL, hoy sabemos de un nuevo problema que afecta a este popular sistema de cifrado. En un comunicado hecho publico hoy mismo por la OpenSSL Foundation, se urge a todos los desarrolladores que hayan empleado las herramientas de OpenSSL en sus propios desarrollos, a actualizar los mismos a las últimas versiones de librerías y demás elementos. El problema, a diferencia de lo ocurrido con Heartbleed, no afecta a los usuarios de los principales navegadores, es decir  Google Chrome, Mozilla Firefox, Internet Explorer, Apple Safari y Opera. Y tampoco está directamente relacionado con la versión de OpenSSL instalada en los servidores web (aquí te contamos como actualizar OpenSSL en tu servidor, de todos modos).

En esta ocasión el problema se ha detectado en el kit de herramientas que la OpenSSL Foundation ofrece a los desarrolladores que quieren crear sus propias aplicaciones, en las que quieren hacer uso del popular sistema de cifrado. Así si, por ejemplo, yo quiero crear un programa que se comunique de forma segura con un servidor, en vez de crearlo todo desde cero, emplearé algo como dicho toolkit. Y el riesgo es que, en determinadas circunstancias, y para desarrollos creados con las versiones comprometidas del kit de herramientas, es posible llevar a cabo ataques del tipo Man in the middle. Resumido, un atacante puede «situarse» entre ambos extremos y, de manera transparente para ambos, leer, modificar y, en general, interferir en sus comunicaciones, con el riego añadido de que ambos interlocutores (ya sean personas, sistemas, etcétera) no son conscientes de dicha violación de su seguridad.

En este caso, el problema se produce en la fase inicial de establecimiento de la conexión, denominada handshake (apretón de manos). Durante la misma, el atacante puede forzar las condiciones para que se establezcan claves poco seguras para la conexión. Una vez hecho esto, y rotas esas claves tan poco seguras, el atacante puede romperlas fácilmente (y sin el conocimiento de los afectados) y, a partir de ahí, hacer lo que desee. En aplicaciones desarrolladas con el toolkit, todas las versiones del cliente de OpenSSL son vulnerables, mientras que en lo referido a servidores, se han identificado como comprometidas las versiones OpenSSL 1.0.1 y 1.0.2-beta1, si bien la OpenSSL Foundation recomienda encarecidamente la actualización a todos aquellos que empleen versiones anteriores a 1.0.1. Las actualizaciones recomendadas son las siguientes:

  • Usuarios de OpenSSL 0.9.8 SSL/TLS (cliente y/o servidor) deben actualizar a 0.9.8za.
  • Usuarios de OpenSSL 1.0.0 SSL/TLS (cliente y/o servidor) deben actualizar a 1.0.0m.
  • Usuarios de OpenSSL 1.0.1 SSL/TLS (cliente y/o servidor) deben actualizar a 1.0.1h.

De nuevo, como ocurrió con Heartbleed, los usuarios finales están en manos de los responsables de los servicios afectados (entonces fueron principalmente webs y en esta ocasión aplicaciones), y de lo rápidos que sean estos en actualizarse. Por lo tanto, cabe esperar que en los próximos días asistamos a un boom de actualizaciones de seguridad que, por nuestro bien, conviene que llevemos a cabo lo antes posible. Lo más peligroso, eso sí, es que haya respuestas a este respecto que se retrasen o, incluso, que no se lleguen a producir. Los responsables de sistemas de muchas empresas, por ejemplo, deberán permanecer muy atentos a la respuesta de sus proveedores de soluciones de VPN, un sistema de uso común para permitir un acceso seguro, desde el exterior, a las redes corporativas.

En cualquier caso, lo que ya es indiscutible es que desde hace unas semanas vemos la seguridad con otros ojos, y que esto no hace más que confirmar lo necesarios que son proyectos como el encabezado por la Linux Foundation, que buscan sistemas para asegurar las conexiones (no tan) seguras a través de Internet. Por nuestra parte, la de los usuarios, sólo cabe cruzar los dedos y esperar que lo consigan, y rápido.

 

Comunicado OpenSSL Foundation 

Imagen: Miguel Saavedra

No comments yet.

Deja un comentario