Open SSL soluciona una vulnerabilidad grave

Como si de un regalo del día del padre se tratase, la fundación OpenSSL tiene previsto lanzar durante el día de hoy parches que solucionan una serie de vulnerabilidades que aún no se han hecho públicas y que afectan a su software usado ampliamente en todo el mundo. Entre las vulnerabilidades solucionadas se puede encontrar una que los investigadores han catalogado como de “alto riesgo”.

¿Qué es OpenSSL?

Puede que OpenSSL sea algo cotidiano para los que nos dedicamos a la seguridad o para los millones de administradores de sistemas y programadores que lo implementan y gestionan. Pero el resto de usuarios es posible que no hayan oído hablar de él nunca, a pesar de que buena parte de la seguridad de las comunicaciones realizadas a través de Internet dependen de su correcto funcionamiento.

Para los profanos en la materia, OpenSSL es una implementación de código abierto de los protocolos de comunicación SSL y TLS. Esta tecnología es utilizada por millones de páginas web para cifrar las conexiones y evitar que, por ejemplo, las credenciales de acceso a nuestro banco puedan ser obtenidas fácilmente por un atacante. Para que nos hagamos una idea de la implementación de OpenSSL, los servidores web Apache la utilizan y, a su vez, estos almacenan alrededor de la mitad de webs de todo Internet.

Posibles vulnerabilidades parcheadas

Al tratarse de vulnerabilidades que no han sido publicadas, existen bastantes especulaciones al respecto de qué problemas se solucionan exactamente. No obstante, dada la importancia que se le ha dado a estos parches de seguridad, es más que probable que estén relacionadas con vulnerabilidades como Poodle o Hearthbleed, descubiertas el año pasado y que suponen un riesgo a la seguridad de las comunicaciones entre un usuario y las millones de webs afectadas.

Si recordamos Heartbleed, esta vulnerabilidad descubierta en abril permitiría a un atacante acceder a datos confidenciales de los usuarios mediante el robo de sus cuentas de usuario y contraseñas. Todo ello interceptando el tráfico en la parte servidor que el usuario enviaba mediante el protocolo SSL y derivados como OpenSSL.

En octubre del año pasado salió a la luz Poodle, otro fallo de seguridad en SSL y derivados, pero esta vez en la parte cliente (navegadores de Internet, clientes de correo, etc.). Esto la hacía menos grave que Heartbleed y más fácil de solucionar, pero poco tiempo después se comprobó que también podía aprovecharse para atacar protocolos más modernos y seguros como TLS.

La vulnerabilidad más reciente que se aprovecha de fallos en las implementaciones actuales de SSL, TLS y derivados ha sido Freak. A principios de este mes de marzo conocíamos que aún hoy se siguen soportando versiones antiguas de SSL y TLS en servidores y clientes a pesar de que prácticamente nadie las utiliza.

El problema es que estas versiones se pueden romper fácilmente y un atacante podría interceptar comunicaciones entre clientes y servidores vulnerables con un ataque Man-In-The-Middle desde una red Wi-Fi, por ejemplo. El problema con Freak es que entre los navegadores afectados se encuentran los más usados. Esto incluye a Internet Explorer, Chrome para Mac OS y Android, Safari en Mac OS e iOS, Opera en Mac OS y Linux, y los navegadores por defecto en Android y Blackberry.

Solución y conclusiones

Según se anunció en una lista de correo donde se tratan estos temas, las versiones 1.0.2a, 1.0.1m, 1.0.0r, y 0.9.8zf serán publicadas durante el día de hoy y solucionarán estos fallos de seguridad. Es importante que los administradores de sistemas encargados de implementar y gestionar estos protocolos instalen estas versiones lo antes posible, puesto que está en juego el acceso a datos confidenciales de millones de personas y empresas de todo el mundo.

No debemos olvidar que sobre estos protocolos se sustenta buena parte de nuestra seguridad y el acceso a datos confidenciales en Internet. Por eso es fundamental actuar de forma adecuada cuando se descubren vulnerabilidades tan importantes y que afectan a tantos usuarios.

Josep Albors