Un documento de la empresa BindView describe y analiza el
procedimiento de distribución de actualizaciones de seguridad de 27
compañías distintas.
La mayoría de los fabricantes de software, especialmente en el caso de
sistemas operativos, disponen de mecanismos de distribución de
actualizaciones de seguridad para sus productos. El documento analiza
las medidas de seguridad adoptadas para ello, poniendo especial
énfasis en la verificación de la autenticidad y la integridad del
«parche».

Básicamente existen cuatro formas de verificación:

– Firma digital: Es la más fiable y permite verificar la actualizacion
«offline».

– HASH: bastante fiable, pero requiere acceso a una página web o
base de datos conteniendo los hashes. Un ejemplo de este sistema
lo tenemos en el boletín 560, «Solaris Fingerprint Database»,
disponible en http://www.hispasec.com/unaaldia.asp?id=560.

– Descarga a través de HTTPS: tiene la desventaja de que la descarga
es segura, pero una vez descargado el fichero no tenemos forma de
verificar su autenticidad o integridad.

– Descarga SSH: Similar a la HTTPS, y con los mismos problemas.

La autenticidad y la integridad son importantes porque, como se puede
ver en el estudio, muchos de los servidores desde los que se descarga
el software son susceptibles de ataques antiguos y conocidos, y un
atacante malicioso podría reemplazar una actualización por un caballo
de troya, por ejemplo. También se pueden realizar ataques del tipo
«DNS spoof», en la que un usuario se conecta a un servidor diferente
del que ha tecleado en la URL.

Mi conclusión es que la mayoría de los fabricantes de software no
están preocupados por este problema, probablemente por falta de
demanda desde los propios clientes, y no proporcionan ningún mecanismo
de seguridad fiable.

En ese aspecto, la mayoría de las distribuciones Linux ganan por
goleada, al distribuir avisos de seguridad firmados digitalmente y que
contienen hashes criptográficos de los ficheros actualizados. Lo mismo
se puede decir de grandes fabricantes como SGI (antigua Silicon
Graphics) o IBM.

Fabricantes como Sun, Apple o Digital/Compaq no disponen de ningún
mecanismo de control de autenticidad e integridad, lo que supone un
error de seguridad imperdonable.

Jesús Cea Avión
jcea@hispasec.com

Más información:

Summary of «Vulnerabilities in Operating-System Patch Distribution»
http://razor.bindview.com/publish/papers/os-patch-sum.html

Vulnerabilities in Operating-System Patch Distribution
http://razor.bindview.com/publish/papers/os-patch.html

09-05-2000 – Solaris Fingerprint Database
http://www.hispasec.com/unaaldia.asp?id=560

Compártelo: