Heartbleed, Microsoft y la NSA: más humo que fuego... ¿o no?

Heartbleed

En el siglo I adC el ciudadano romano Marco Licinio Craso se hizo un hombre muy rico y poderoso entre otras cosas por inventar el cuerpo de bomberos en la Roma tardorepublicana. Claro que su técnica de socorro era un tanto peculiar: cuando una casa se prendía fuego o una ínsula amenazaba con derrumbarse (cosa que ocurría a menudo) Craso acudía presto al lugar con un batallón de esclavos expertos en construcción, ingeniería y arquitectura y especializados en la lucha contra el fuego.

Qué debemos saber sobre Heartbleed, un grave agujero en sitios web supuestamente seguros

Qué debemos saber sobre Heartbleed, un grave agujero en sitios web supuestamente seguros

Pero antes de que estos primigenios bomberos actuaran Craso tenía que hablar con el propietario de la finca al que ofrecía comprar su ardiente edificio, por supuesto con un sustancial descuento sobre su precio de mercado. Si el propietario no accedía los bomberos de Craso no movían un dedo para salvar el edificio. Si vendía, por un precio que iba bajando en función del avance de las llamas, el nuevo propietario se encargaba del fuego.

Ya entonces apagar incendios era un negocio muy rentable; tanto que se sospechaba que los bomberos de Craso no sólo los extinguían, sino que los ayudaban a nacer.

Hoy las cosas son diferentes, pero con antecedentes así es normal dudar cuando un incendio, en este caso metafórico, amenaza con arrasar una tecnología clave. Sobre todo cuando resulta que quien alertó del problema está vinculado a un archienemigo ideológico de la tecnología incendiada. Y cuando muchos participantes del mercado pueden sacar tajada de apagarlo. ¿Y si resulta que hay más humo que fuego? ¿O si el incendio fue intencionado?

Primero, los hechos: el pasado día 7 de abril técnicos en seguridad de la empresa Codenomicon Defensics y de Google Security anunciaron la existencia de un fallo de seguridad en varias versiones antiguas (pero muy usadas) de OpenSSL, un programa de software libre usado para garantizar conexiones seguras; llevaba roto desde 2011 y es imposible saber si alguien lo ha estado utilizando durante todo este tiempo.

Desde las primeras estimaciones se consideró un problema muy grave con centenares de miles de servidores afectados y con el potencial de permitir a 'actores maliciosos' capturar todo tipo de materiales, incluyendo contraseñas, claves de cifrado y otros datos muy sensibles.

El reputado experto en seguridad informática Bruce Schneier lo calificó así: ‘en una escala de gravedad de uno a diez, es un once’. Un caldo de cultivo ideal, por tanto, para desatar la paranoia, nunca muy alejada de las mentes de los 'cypherpunks'.

El espectro de Microsoft, y de la NSA

La primera línea de sospecha saltó casi de inmediato, y estaba relacionada con el Archienemigo: Microsoft. Dado que la tecnología afectada (OpenSSL) está dentro del movimiento 'Open Source' es un rival natural de las empresas de software comercial.

Y en concreto Microsoft se ha destacado a lo largo de los años por el uso de tácticas un tanto torticeras en su lucha con este mundo, haciendo extenso uso de la siembra de FUD (Fear, Uncertainty and Doubt; miedo, incertidumbre y duda).

Para algunos la prueba es que un ex alto cargo de Microsoft (y ex 'zar' de ciberseguridad del gobierno EEUU) está ahora en la dirección de Codenomicon, una de las empresas que encontró el fallo e informó de su existencia, casualmente el mismo día que se acabó para siempre el soporte de Windows XP.

El hecho de que la comunicación se hiciera de un modo poco habitual, con una página web dedicada y antes de que se pudieran parchear discretamente los servidores afectados (lo que ha provocado una oleada de ataques) es para algunos la prueba definitiva. Al fin y al cabo, como dice el abogado y hacker Javier de la Cueva, "no podemos afirmar que Microsoft esté detrás pero si lo estuviera no podría haberlo hecho mejor." El daño a OpenSSL, gestionado por una fundación con escaso respaldo económico, y al ideal del software libre en general está siendo importante.

Aunque la paranoia más profunda no teme ya a Microsoft, sino a alguien mucho más oscuro todavía: la National Security AgencyNational Security Agency (NSA; agencia de seguridad nacional), el departamento de espionaje electrónico del gobierno estadounidense que las revelaciones de Edward Snowden han destapado como dedicado a la dominación y el control de Internet.

Sabemos que la NSA ha saboteado deliberadamente estándares de encriptación para hacer más sencillas sus escuchas, y ha colocado trampas en programas de seguridad. Este problema en OpenSSL podría, como mínimo, haber sido explotado por la NSA desde hace más de dos años.

O, hay quien insinúa, incluso haberlo 'colado' en el código originalmente; algo que el programador responsable del fallo ha rechazado con vehemencia. El viernes la agencia Bloomberg publicó una rotunda confirmación de que la NSA ha usado Heartbleed desde el mismo principio para robar información; la afirmación se basa en dos fuentes 'con conocimiento de la situación' pero sin identificar. El gobierno estadounidense respondió con una no menos rotunda negación de que la NSA o cualquier otra agencia federal conociera siquiera la existencia de Heartbleed antes de que se hiciera pública.

Como explica Fernando Acero, miembro de la comunidad de software libre y experto en seguridad, respecto a Heartbleed (y bugs similares anteriores) "estamos hablando de que las principales tecnologías para establecer una conexión segura entre un cliente y un servidor no servían prácticamente para nada desde hace bastante tiempo y encima, en algunos casos, como es el caso de fallo de OpenSSL, sin posibilidad de detectar las consecuencias que ha podido tener". Además, añade Acero, "todos los fallos son muy parecidos, tanto en el origen del error como en las consecuencias (hacer inseguras las conexiones que en teoría eran seguras)."

Para este experto, además, hay antecedentes: "A muchos se les ha olvidado pero allá por el 2011 se produjo otro fallo de seguridad crítico en el Open SSH, basado en nombres muy largos (curiosamente, en 2009 tuvo un problema muy similar con nombres muy cortos). Con esta información en la mano, y considerando lo que sabemos de la NSA, es complicado no acabar pensando mal, y mucho más cuando había mecanismos para auditar el código e intentar detectar fallos."

Dada la naturaleza del problema resulta imposible saber con certeza si un servidor ha sido atacado. El programador Ricardo Galli, de Menéame, tuiteaba el pasado jueves que sólo se había podido reproducir de modo fiable la captura de información en unas condiciones muy restringidas y en un sistema operativo ("sólo comprobado en default FreeBSD con la 1ra petición después de restart"). En otros foros técnicos de la Red, sin embargo, se ha informado de pistas que sugieren (aunque no pueden demostrar) que Heartbleed estaba siendo utilizado para intentar robar datos en el mundo real ya en noviembre de 2013. Y en concreto a activistas que tienen razones para temer ser blanco de atenciones por parte de gobiernos o entidades de mucho poder. El sábado un reto abierto demostró más allá de toda duda que Heartbleed puede ser utilizado para robar claves de seguridad de un servidor en condiciones operativas, aunque con algunas restricciones (servidor recién reiniciado). Los peores temores se confirman: el bug es tan peligroso como se temía.

Practicar y explotar un agujero en uno de los protocolos de seguridad más importante de la Red sería, sin duda, de enorme utilidad para la NSA, sobre todo si durante años nadie era consciente del problema. Desde el punto de vista moral (e incluso legal) sería de una extrema gravedad, pues habría dejado vulnerables a ataques externos miles de servidores de seguridad estadounidenses durante dos años: un bombazo político en estos tiempos de Snowden.

Pero dos fuentes anónimas no demuestran (sin más datos) que la responsabilidad sea suya. También es cierto que el escándalo organizado con la publicación de Heartbleed está siendo avivado por las empresas comerciales que tienen en su punto de mira al software libre. Lo cual tampoco prueba que sean responsables de nada más que hacer algo de leña del árbol caído. Si algo demuestra Heartbleed es que los organismos encargados de los protocolos de la Red han de ser más cuidadosos. Y que hace falta cuidar las contraseñas, y en general la gestión de seguridad en Internet. Evitar los fuegos siempre es mejor que preguntarse si el bombero es o no el pirómano. Pero algo puede afirmarse: habrá cambios en los protocolos de seguridad de la Red. En ese sentido Heartbleed pasará a la historia como un punto de inflexión.

Etiquetas
Publicado el
12 de abril de 2014 - 14:16 h

Descubre nuestras apps

stats