miércoles, 21 de marzo de 2007

Dos fallos de seguridad remotos en diez años

OpenBSD, el sistema operativo derivado de Unix (perteneciente a la familia *BSD, como NetBSD o FreeBSD) se ha visto obligado a cambiar su eslogan "bandera" por segunda vez desde que orgullosos, lo colgaron bien visible en su página como símbolo de un sistema pensado para la seguridad.

OpenBSD es un sistema abierto, gratuito y de una gran calidad. Implementa por defecto todas las medidas de seguridad imaginables, aquellas que casi todos los otros sistemas ofrecen como complementos o de forma opcional. Esto convierte a OpenBSD en una verdadera roca que, nada más ser instalado, puede mantenerse más que razonablemente seguro sin necesidad de bastionado. Además, los servicios que ofrece al exterior en primera instancia son mínimos, manteniendo deshabilitadas una gran cantidad de funcionalidades por defecto. Por último, sus creadores someten al código a continuas auditorías, con la seguridad siempre como objetivo primordial.

Al poco de observar tan buenos resultados con respecto a la seguridad, los orgullosos desarrolladores establecieron como lema de su página el logro que estaban consiguiendo, y a mediados de 2000, se podían leer las frases: "Tres años sin un agujero remoto en la instalación por defecto" y "Dos años sin agujero local en la instalación por defecto" junto con el pez globo que representa este sistema operativo. Esta última afirmación sobre la seguridad en local (siempre más compleja) duró poco, y para finales de ese mismo año 2000 ya había sido retirada.

En junio de 2002, cuando la frase ya hablaba de "seis años sin agujeros remotos", el eslogan tuvo que ser modificado de nuevo. Se encontró un grave fallo de seguridad en OpenSSH que permitía a un atacante remoto obtener total control del sistema. Desde entonces hasta el pasado día 17 de marzo, se podía leer "sólo un agujero de seguridad en la instalación por defecto en más de 10 años".

El problema ha surgido, no sin polémica, cuando se ha descubierto una nueva vulnerabilidad en la pila Ipv6 de OpenBSD. Este sistema activa la nueva versión del protocolo por defecto, de forma que era vulnerable de forma remota. El fallo se debía a un desbordamiento de memoria intermedia cuando se manejaban paquetes Ipv6 fragmentados. En un principio se pensó que sólo podría provocar una denegación de servicio, pero poco después se desarrolló una prueba de concepto que acreditaba la posibilidad de que fuese aprovechada para ejecutar código. Al tratarse de una versión del protocolo todavía no muy extendida, la gravedad del problema podría verse suavizada. Un atacante debería encontrarse en una red Ipv6 y enviar el paquete a la víctima. Muchos administradores de OpenBSD también, muy concienciados con la seguridad, deshabilitaban este protocolo si no iba a ser utilizado. Los descubridores del problema hablaban de vulnerabilidad desde un principio, mientras que OpenBSD prefirió llamarla "bug" (fallo) y más tarde "problema de estabilidad".

Aun así, con ciertas reservas, OpenBSD se ha visto obligado a modificar su eslogan, donde ahora se puede leer "sólo dos agujeros de seguridad remotos en la instalación por defecto en más de diez años", algo que no todos los proyectos pueden permitirse afirmar y de lo que siguen pudiendo sentirse orgullosos. La actual versión OpenBSD 4.0 seguirá presentándose como uno de los sistemas más seguros para servidores, donde la seguridad y estabilidad como objetivo primen por encima de todo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

OpenBSD:
http://en.wikipedia.org/wiki/OpenBSD

Report states that OpenBSD developers played down critical vulnerability
http://www.heise-security.co.uk/news/86757