Omnium potentior est sapientia

En Hispasec han publicado un detallado documento de preguntas frecuentes con respecto al reciente bug criptográfico en Debian, cuya lectura puede resultar muy interesante a todos los interesados en la seguridad informática, usuarios de software libre y -sobre todo- administradores de sistemas (que estos días andan de cabeza).

Si utilizáis algún tipo de software criptográfico (SSL/TLS, SSH, OpenVPN…) que haya hecho uso del paquete OpenSSL de Debian para generar sus claves (desde hace dos años), es imprescindible que lo leáis para conocer las implicaciones de este crítico fallo y sus posibles consecuencias. Ya comenté hace poco cómo podíamos comprobar si nuestras claves están afectadas.

Parece que este asunto traerá cola, y que aún queda mucho por decir sobre el fatídico bug. De momento, la reputación de la distribución Debian ha sufrido un durísimo golpe, a juzgar por los comentarios que pueden leerse en la Red estos días.

Ayer por la noche recibí un correo con la notificación de aceptación de un paper que estamos preparando Abián y yo para un congreso, así que parece que ya es definitivo: en septiembre haremos una pequeña escapadita a Grecia, y más concretamente a Atenas.

Con respecto al grave y reciente bug de seguridad en el paquete OpenSSL de Debian, existe una forma muy sencilla de comprobar si la clave de cifrado de nuestro servidor SSH (o, de paso, cualquier otro) pertenece al conjunto de esas 32.768 “claves malas”.

Para ello, haremos uso de un par de comandos (ssh-vulnkey y ssh-keyscan) que, junto al reciente paquete openssh-blacklist de Debian, nos permitirán comprobar el estado de validez de una determinada clave. La orden que utilizaremos será:

$ ssh-keyscan -t <algoritmo> -p <puerto> <hostname> | ssh-vulnkey -

Las etiquetas a rellenar serán: el algoritmo de cifrado utilizado (normalmente será “rsa”), el puerto del servidor (por defecto, y si no se especifica otra cosa, será el 22), y el sistema objetivo. Si la clave es buena, veremos el siguiente aviso:

Not blacklisted: <tamaño_clave> <fingerprint> <hostname>

Por el contrario, si la clave es vulnerable, veremos el siguiente aviso:

COMPROMISED: <tamaño_clave> <fingerprint> <hostname>

Fatídico martes y 13 el que hemos tenido esta semana, desde el punto de vista de la criptografía, la seguridad informática, y el software libre. Según se ha anunciado, un bug presente en el paquete OpenSSL de Debian desde -ojo al dato- el año 2006, hace que las claves criptográficas generadas desde entonces sean predecibles.

Tanto Debian como todas sus distribuciones derivadas (como por ejemplo Ubuntu) están afectadas, y es necesario actualizar los paquetes y regenerar todas las claves SSH y SSL generadas desde entonces. He podido comprobar que, tras actualizar los paquetes, el sistema no permite usar la conexión mediante SSH hasta que se generen unas claves nuevas.

Actualización: en kriptópolis encontramos más información al respecto. Este bug es extremadamente grave, pues reduce el posible espacio de claves de 2^1024 (1,8 * 10^308) a 2^15 (¡tan solo 32.768!), al pasar a depender su generación exclusivamente del PID del proceso. Es absolutamente imprescindible volver a generar todas las claves, pues de hecho ya existe un exploit que simplemente prueba por fuerza bruta (32.768 posibles valores es algo muy asequible para este tipo de ataques).

Según se comenta por ahí, el esperado Service Pack 3 de Windows XP está ocasionando más de un quebradero de cabeza a muchos usuarios. El que ha sido -y sigue siendo- el sistema operativo más exitoso de Microsoft atraviesa una temporada bastante extraña. Por un lado, esta actualización mayor (muy esperada) está ocasionando bastantes problemas más de los que debería; y por otro lado, está la espada de Damocles que supone la intención de jubilarlo de la propia Microsoft, en favor del nuevo y polémico Windows Vista.

Sobre el Service Pack 3 de Windows XP, aún no lo he probado ni tengo intención de hacerlo. Los XP de mis equipos personales aún funcionan con SP1; y en el ordenador del curro, donde sí tengo SP2, no voy a actualizar al SP3 por el momento: no pienso hacer de beta-tester gratuito para Redmond.

Acerca de la polémica del Windows Vista y la jubilación forzada de XP, creo que ya he expresado mi opinión en varias ocasiones, aunque creo que no en este blog. En mi humilde opinión, cortar el soporte para XP y obligar a los usuarios “de a pie” a pasarse a Vista será uno de los mayores errores de Microsoft. Creo que Windows XP es el mejor sistema operativo de Redmond, y hasta me atrevería a decir que es bastante usable y estable si se trata con cuidado. Vista, por el contrario, es un mastodonte que consume una cantidad ridículamente exagerada de recursos para desplegar efectos que otras alternativas (como Aqua de Mac OS X o Compiz Fusion en Linux) gestionan de forma mucho más elegante.

Hoy por hoy, Vista merece la pena únicamente a los usuarios jugones, que se ven obligados a migrar de sistema para poder ejecutar sus juegos. Para usuarios ocasionales de ordenador, Vista tampoco resulta muy adecuado, pues las modestas máquinas que típicamente se dedican para tareas como navegar por Internet, leer el correo o ver películas, difícilmente pueden funcionar correctamente bajo este exigente sistema operativo. Para usuarios más profesionales, Vista puede resultar un enemigo mortal, debido a la larga lista de incompatibilidades con programas de uso bastante habitual en entornos de desarrollo.

Creo que los mayores beneficiados del batacazo de Vista son, sin duda alguna, Linux y Apple. En la época en que salió Windows XP, Linux aún se encontraba tremendamente inmaduro para el escritorio, y por aquel entonces no podía realizar una competencia seria en dicho sector. Hoy en día sí que está preparado para luchar en ese terreno, no sólo en igualdad de condiciones sino incluso con ventaja; y los problemas de Windows Vista sólo han servido para inclinar la balanza más aún a favor de Linux. Por otro lado, Apple siempre ha ofrecido simplicidad en sus soluciones, sistemas que “funcionan y punto”. Pero, además, actualmente ofrece lo que mucha gente busca y prácticamente ningún fabricante de PC ofrece ahora mismo: soporte para Windows XP.

Parece que Microsoft está en uno de sus peores momentos, con su viejo pero funcional sistema resistiéndose al paso del tiempo y a sus creadores, y su nuevo pero incómodo sistema intentando hacerse un hueco entre los poco receptivos usuarios. Y, entre medias, problemas como el del SP3 de XP no ayudan en absoluto al gigante de Redmond.