05 marzo 2014




Si hace unos días nos echábamos las manos a la cabeza con el grandísimo “fail" de Apple, que permitía dar por bueno determinado tipo de certificados, ahora me llega un correo por parte de uno de mis alumnos del curso de Análisis Forense, con un enlace en el que se dice que se ha descubierto una vulnerabilidad similar en la implementación de GNUTLS.

Por ende, todas aquellas aplicaciones que requieran la librería GNUTLS para encapsular las comunicaciones de tráfico de forma cifrada, resulta que existe una forma de circunvalar las comprobaciones de certificados, permitiendo en algunos casos, dar por bueno hasta un certificado autofirmado!!! Lo peor es que el fallo podría estar vigente desde 2005. Parece ser que una auditoría rutinaria por parte de RedHat ha puesto de manifiesto esta vulnerabilidad. Sólo se me ocurre una cosa: WTF!

Por una parte, Apple es una compañía con software hecho de forma cerrada, y sin saberlo de forma oficial, se puede intuir que “ayuda” al gobierno americano, NSAs, y compañía en aquello “que necesiten por la Seguridad Nacional”… Es igualmente, inadmisible que un fallo de esas características se les haya escapado a una empresa que se supone que cumple con auditorías de código, sigue metodologías de desarrollo seguro de software y todo eso, por lo que pinta a que ha alguien dejó caer ahí ese segundo Goto Fail; en un sitio tan crítico.

Lo que me hace llevarme las manos a la cabeza es cómo, desde 2005 hasta 2014, nadie haya auditado secciones tan críticas de código en librerías tan relevantes para la privacidad de las comunicaciones, y en este caso para la autenticación. 

Recordemos que este fallo permite suplantar a un destino haciendo que la verificación criptográfica sea successful,.. aunque sea un fake total. 

Podéis ver el parche publicado en Gitorious. Lo también impactante, es que lo ha descubierto RedHat en un proceso de auditoría…. Desde 2005, señores de RedHat, cada cuánto auditan ustedes el código???

Por otra parte, me viene a la cabeza la entrevista que le hicieron a Linus Torvalds, en la que le preguntaban: "¿Le han propuesto alguna vez, desde alguna entidad gubernamental, introducir un backdoor en el kernel de Linux?" A lo que el creador del kernel contestaba: "Nooooo" con la voz mientras asentía con la cabeza.


Por elucubrar, sólo se me ocurre que algunos gobiernos hayan explotado masivamente estos fallos hasta el día de hoy, y hayan encontrado/implementado alguna otra vulnerabilidad que les siga permitiendo el acceso a las comunicaciones cifradas, pudiendo filtrar que éstas existen y todos felices.

Definitivamente, no sabemos en manos de quién están nuestros datos ni la privacidad de los canales por los que fluyen.   


3 comments :

Jorge Rúa dijo...

Bueno, a decir verdad el fallo de GnuTLS tiene mucha menor incidencia que el de SecureTransport de Apple, puesto que prácticamente todas las conexiones TLS se realizan utilizando esta librería en iOS/osx mientras que GnuTLS apenas se utiliza. (Al menos no por la gente que necesita strong crypto). Parece que TLS está de moda últimamente y se ha descubierto una vulnerabilidad recientemente https://secure-resumption.com/

Dovot dijo...

Muy buen artículo, pero a lo mejor también cabía decir que luego Linus salió diciendo que había sido una broma.
Que no es que implique nada, porque conocemos todos el juego y podría ser cualquiera de las dos cosas, pero es un poco más de info. :-)
Saludos terrícolas.

PinOkio dijo...

Es broma, pero tampoco mentira ;-)