Estas aquiContenido / Debilidad en certificación de proveedores cuestiona OpenID
Debilidad en certificación de proveedores cuestiona OpenID
OpenID prometía, pero a mí sólo me producía desconfianza. Por eso rechacé en su día algunas sugerencias sobre su implementación en Kriptópolis.
La idea tras OpenID es sencilla: con el mismo usuario y contraseña puedes acceder a tus cuentas en todos los blogs que soporten el sistema.
Ahora, varios investigadores han descubierto que al menos tres grandes proveedores de OpenID (entre ellos el de Sun Microsystems) han utilizado certificados digitales debilitados por el famoso bug de Debian. La combinación de esto con la vulnerabilidad DNS de Kaminsky forma un cóctel letal, que impide confiar en esos proveedores. En estas condiciones, un atacante puede utilizar ambas vulnerabilidades para dirigir a la víctima a un falso proveedor que, sin embargo, mostraría un certificado válido, obteniendo así, de una sola tacada, sus datos de identificación para cualquiera de los 9.000 sitios que utilizan OpenID...
Para colmo de males la solución no es tan simple como revocar el viejo certificado y generar otro nuevo. Mientras el antiguo no caduque puede seguir siendo usado por un atacante, al menos mientras las bibliotecas OpenID y los navegadores no consulten por defecto las listas de certificados revocados.
Referencias:
Lo peor de los fallos de seguridad no es que se produzcan, sino cuando se producen varios que se pueden superponer para producir un problema mayor. El todo se convierte así en algo mayor que la suma de las partes.
Una de las desventajas del código fuente abierto es que se ven más de estos fallos. Muchísimos más. Con cuidado y tiempo suficientes (cosas que no tenemos) se verían todos, y serían demasiados. Muchísimos más de los que vemos ahora.
Pero una de sus ventajas es que las ventanas de exposición de cada fallo descubierto son bastante pequeñas. Se descubren muchísimos fallos, sí, pero se resuelven (en general) bastante rápidamente. Así que estas combinaciones de fallos, terroríficas, son muy poco probables.
De hecho, los dos fallos en cuestión, la vulnerabilidad de los servidores DNS y la debilidad de las claves OpenSSL, han sido ya corregidos. Las ventanas de exposición "duras" (parches no disponibles) no se han superpuesto. Pero las ventanas "blandas" (parches disponibles, pero no aplicados por los administradores de sistemas), que a veces duran años, siempre pueden superponerse y, en este caso, lo han hecho.
¿Quién tiene la culpa? Los programas o protocolos con fallos son "parte del negocio" o "gajes del oficio". Los responsables reales de que las ventanas se superpongan son los administradores vagos.
Cualquiera que utilice un ordenador debería recordar que sus datos son sólo tan seguros como competente sea el administrador de la máquina. Aunque sea uno mismo.
No estoy de acuerdo con lo que dices, pero defendería con mi vida tu derecho a decirlo.
- Voltaire -
No estoy de acuerdo con lo que dices, pero defendería con mi vida tu derecho a decirlo.
- Voltaire -
Si miras en la página anterior de Kriptópolis verás que el parche no ha solucionado el problema.