Linux sufre un grave bug de seguridad en conexiones seguras, y es solucionado en horas
Noticias relacionadas
- Los datos de casi todos los ciudadanos de Bulgaria han sido robados
- El inventor de la contraseña en los ordenadores muere a los 93 años
- Aviso de bomba: como abras este archivo tu ordenador se llenará de datos
- El Walkie-talkie del Apple Watch permite espiar lo que otra persona dice en su iPhone por un bug
No hace tanto que saltó a la palestra un serio bug que dejaba los sistemas OS X e iOS susceptibles a ataques de hackers que les permitirían capturar todas nuestras comunicaciones, incluso usando protocolos seguros. En aquel momento se habló mucho de la rapidez (o falta de) de Apple para lanzar un parche, y esto a su vez avivó el debate del corto soporte que reciben sus productos. Pues bien, ahora se ha descubierto que un bug similar ha sido encontrado en Linux, lo que nos ofrece una buena oportunidad para una comparativa.
Comunicaciones no tan seguras
El bug afecta a GnuTLS, la implementación TLS de Linux para cifrar comunicaciones con SSL, TLS y DTLS; estos son los protocolos usados cuando visitamos una web segura, y se reconocen por ese famoso “HTTPS” y el “candado” que aparece en nuestro navegador. Por tanto, un bug en esta implementación pone en peligro datos personales y bancarios, de ahí su gravedad.
El bug en cuestión, afecta al momento en el que se verifica la autenticidad de un certificado TLS; en vez de continuar, estas verificaciones salen sin hacer nada, por lo que en teoría un atacante puede usar certificados TLS falsos y hacerse pasar por una web importante para capturar nuestros datos. También puede usarse para instalar programas con malware en nuestro sistema haciéndose pasar por el repositorio. No es exactamente el mismo bug que sufrió OS X, pero sus consecuencias son similares.
El software libre en acción
Pero tal vez mas importante es ver la reacción de la comunidad de desarrolladores del sistema, y cómo las diversas distros están implementando la solución. Para empezar, Red Hat fue la que inició la auditoría que acabó dando con el bug, que se sospecha que lleva en el código desde 2005; inmediatamente informó a toda la comunidad e inició el trabajo para solucionarlo en su código. El parche fue publicado horas después y desde entonces se ha ido extendiendo a todas las distribuciones. La otra gran potencia en Linux, Debian, también ha publicado su versión.
El resultado es que, si usáis una distribución Linux decente, deberíais recibir una actualización mas pronto que tarde. Normalmente el código que llega de sistemas como Red Hat o Debian pasa por una serie de filtros por parte de las distros basadas en ellos (como Ubuntu en Debian), pero en este caso mas urgente las modificaciones deberían llegar de manera casi inmediata.
Fuente | Ars Technica