Un erro orixinou que, desde setembro de 2006, as claves de cifrado xeradas coa distribución de GNU/Linux Debian póidanse romper fácilmente. Isto deixa millóns de máquinas abertas aos intrusos e inutiliza certificados usados no comercio e a banca electrónicos. O normalmente cauto SANS Internet Storm Center cualificouno de "moi, moi, moi serio e escalofriante".
Debian é o sistema operativo libre máis popular entre os administradores de sistemas. Está feito totalmente por voluntarios. Fai dous anos, ao querer solucionar un problema e debido a un malentendido, un deles borrou unha liña de código do paquete de ferramentas OpenSSL do sistema. OpenSSL serve para xerar as claves de cifrado con que se fan operacións seguras en Internet.
A liña borrada afectaba á aleatoriedad das claves, necesaria para que sexan fortes. Esta quedou tan reducida que facía moi fácil rompelas e atacar calquera operación realizada con elas. Por exemplo, poderíase alterar o certificado dun banco ou unha tenda, crear unha web falsa e facer crer aos visitantes que están na lexítima, ou descifrar as comunicacións entre unha web segura e os seus clientes e cazar os datos que se cruzasen, ou ter en poucos minutos o control total do servidor dunha empresa, ou acceder á súa rede privada virtual e espiar os seus movementos, ou cambiar a configuración dun servidor de nomes de dominio e levar á xente onde o atacante queira.
"O impacto é enorme", afirma Jordi Mallach, do equipo de desenvolvemento de Debian. Ás poucas horas de coñecerse o buraco, como o chaman, xa corrían programas maliciosos en Internet para explotalo. Segundo Mallach non sería estraño que aparecese un gusano que automatizase este ataque: "Haberá servidores que, a recado, acabarán sendo controlados por algunha botnet".
O fallo non é exclusivo de Debian. Afecta tamén ás distribucións derivadas desta, como Ubuntu, a máis popular entre usuarios domésticos, e Linex, de Estremadura. Tampouco están a salvo outros sistemas, explica Sergio dos Santos, de Hispasec: "As claves puideron ser xeradas en Debian e despois usadas en Windows, xa que os formatos de arquivo son estándar. O espectro é infinito".
O gurú de seguridade Bruce Schneier chamouno "a gran lea" e non é para menos, xa que non se soluciona aplicando un parche: "Hai que regenerar manualmente as claves, revocar as antigas, comprobar onde foron a parar as inseguras, cambiar contraseñas. E os usuarios non podemos saber se o administrador do sitio ao que nos conectamos fíxoo", explica Dos Santos.
O paradoxal, di o experto, é que "afecta a quen máis se preocupou da seguridade e elixiu a criptografía asimétrica para autentificarse el e os seus usuarios". Así, velar pola seguridade desembocou nun dos maiores buracos informáticos da historia que, engade Dos Santos, "non se vai a solucionar nunca; os ecos oiranse sempre porque haberá quen non farán xamais as comprobacións necesarias".
Resposta rápida
Debian actuou con celeridade. Ás poucas horas de coñecer o erro sacou os parches e unha lista de claves afectadas. Diversas autoridades certificadoras ofrecéronse a certificar as novas claves gratuitamente, cando o servizo custa 200 euros ao ano. Isto non evitou unha choiva de críticas sobre Debian e a seguridade dos programas libres.
Mallach defende: "A resposta de Debian foi totalmente profesional. Desde o primeiro momento informouse con transparencia do problema e ofreceuse toda a información e ferramentas para solucionalo". Pero recoñece: "isto debe servir para que a xente tómese o argumento de 'código aberto igual a código auditado' con máis perspectiva. Aínda que o código está dispoñible para ser revisado, hai moi pouca xente que o fai. Neste caso, atopouse por casualidade dous anos logo de pasar inadvertido por todos os controis".