abril 11, 2014
Viernes 11 de Abril de 2014.- Internet, un “canal inseguro” por definición, es desde el pasado 7 de abril un poco inseguro. Diseñada sin un concepto de seguridad “por defecto”, para soportar su uso en entornos críticos o entornos transaccionales, como los que sustentan el comercio electrónico, se desarrollaron protocolos criptográficos que permitiesen garantizar la confidencialidad de la información intercambiada. Dicho de otra forma, sin criptografía, no tendríamos mecanismos para garantizar la confidencialidad en Internet.
“Catastrófica” es la palabra correcta que define el golpe que ha supuesto para la ciberseguridad la publicación del grave error de software en las librerías de cifrado de OpenSSL, que ha comprometido seriamente desde finales de 2011 la seguridad de dos tercios de las páginas web existentes, y al que se ha bautizado como Heartbleed (corazón sangrante, en español). En la escala de gravedad del 1 al 10, podríamos valorarla como 11.
El fallo de seguridad permite a un atacante espiar las comunicaciones, robar los datos directamente de los servicios web y sus servidores. Aún desconociéndose a ciencia cierta si fue un fallo accidental de algún desarrollador o fue introducido voluntariamente, lo vivido en los últimos días ha puesto en la palestra la altísima importancia y dependencia de la criptografía como base sustantiva para garantizar la seguridad en las comunicaciones digitales.
Como opción, parece lógico pensar que si las corrientes legislativas han pasado de una aproximación en la que se trataba de cercar y cerrar el uso de la criptografía, actualmente se ha podido optar por un método mucho más “sutil”, mediante la introducción debilidades “por defecto” o “de fábrica“ en el primer eslabón de la cadena: el desarrollo del propio software o algoritmo de cifrado.
Obviamente, también cabría pensar que este argumento puede ser un mero artificio justificativo para algún programador informático con afán exculpatorio; pero la realidad es que en los últimos meses se han hecho públicas aproximaciones ciertamente preocupantes en sentido contrario , en las cuales contratistas y agencias de defensa, se involucran en el desarrollo de sistemas operativos así como sistemas de cifrado código abierto, como OpenSSL para poder introducir vulnerabilidades que a posteriori, puedan facilitarles la tarea de acceder a información y comunicaciones cifradas.
Una prueba de este tipo de actividades la tenemos en un email que envió Gregory Perry (CTO de NetSec) así como colaborador del FBI a Theo de Raadt (Líder del proyecto OpenBSD, OpenSSH, etc.), en el que le informa de que el FBI ha estado introduciendo numerosos fallos de seguridad “por defecto” para “pinchar” comunicaciones cifradas. El correo dice así :
[…] Mi NDA con el FBI ha expirado recientemente, y quería hacerte participe del hecho de que el FBI implementó un número de puertas traseras y mecanismos de fugas de clave en el OCF , con el fin específico de supervisar las comunicaciones VPN implementado por EOUSA , la organización matriz del FBI. Jason Wright y varios otros desarrolladores fueron los responsables de las puertas traseras, y haría bien en revisar todo el código enviado por Wright, así como el resto de desarrolladores que trabajaron con él en NetSec.
Ésta también es probablemente la razón por la que perdió su financiación de DARPA, es más que probable que supiesen de la existencia de estas puertas traseras, y no quisieran seguir desarrollando productos derivados del mismo.
Esto también explica el por qué varias personas dentro del FBI han ido recientemente abogando por el uso de OpenBSD para implementaciones VPN y cortafuegos en entornos virtualizados, por ejemplo, Scott Lowe que es un autor respetado en los círculos de virtualización y que también es está en nómina del FBI , y que también ha publicado recientemente varios tutoriales para el uso de OpenBSD en máquinas virtuales para las implementaciones de VMware vSphere empresariales.
Feliz Navidad …
Gregory Perry
Consejero Delegado
GoVirtual Educación […]"
(Informa : TicBeat en Español)
.jpg)
.jpeg)
0 Comments:
Publicar un comentario