Internet se ha roto, otra vez (y II )

Poco se puede aportar ya al fallo de implementación criptográfica Heartbleed (en Eleven Paths ya tenemos disponibles plugins para FOCA y Faast). Se trata de un grave problema que tendrá (y es posible que haya tenido) graves repercusiones. Sin embargo, no es la primera catástrofe (criptográfica o no) en la red. ¿Las ha habido peores? ¿Es realmente una catástrofe, o lo han sido sus «daños colaterales»?

Otros apocalipsis

En general, ya se han dado casos muy similares de catástrofes que afectarían a la red tal y como la conocemos, y de la que se han desprendido titulares dantescos. El primero fue el «efecto 2000«, que aunque no contó con logotipo oficial desde el principio, sí que disfrutó de una marca propia (Y2K)… pero eran otros tiempos, no era propiamente criptográfico y quedó en una especie de decepción apocalíptica que se sació con mucha literatura y algunos telefilms. Pero recientemente ya hemos sufrido varias veces «el peor fallo de la historia de Internet». Veamos algunos:

• El apocalipsis criptográfico de Debian. 2008. Se descubre que alguien (por error) del equipo de Debian eliminó en 2006 una línea de código en el paquete OpenSSL de Debian que ayudaba a generar la entropía al calcular el par de claves pública y privada. Esto hace que las claves generadas con él ya no sean realmente fiables o verdaderamente seguras. Se podía consultar en una tabla sus privadas correspondientes, conociendo las públicas. Miles de millones de claves, que no sabía muy bien qué protegían, eran ya una completa pantomima. Ninguna CA pareció verse afectada.
• Kaminsky y los DNS: Julio de 2008. Se publica una actualización coordinada para la mayoría de los dispositivos en Internet que utilizan DNS. Un fallo incluso más grave que los mencionados, porque era inherente al protocolo, no un problema de implementación. Dan Kaminsky lo descubre sin ofrecer detalles, pero algún dato se escapa. Thomas Dullien se aventura semanas después a publicar en su blog su particular visión de lo que podía ser el problema descubierto por Kaminsky, sin tener conocimiento previo de los detalles. Y no se equivoca en su teoría: era posible falsificar (a través del envío continuo de cierto tráfico) las respuestas de los servidores autorizados de un dominio. Esto era también gravísimo, pero la actuación fue correcta y coordinada. Aun con Dullien publicando antes de tiempo el fallo, «sin querer». ¿Se usó antes por atacantes? Nunca se supo. Eso sí, años después, incluso después de esa catástrofe, DNSSEC sigue siendo «una rareza».
• Espionaje a «gran escala» con BGP: En agosto también de 2008, se habla de nuevo de la mayor vulnerabilidad conocida en Internet. Tony Kapela y Alex Pilosov demostraron una nueva técnica (que se creía teórica) que permite interceptar el tráfico de Internet a una escala global. Se trataba de un fallo de diseño en el protocolo BGP (Border Gateway Protocol) que permitiría interceptar e incluso modificar todo el tráfico de Internet no cifrado. BGP es un protocolo que se utiliza para intercambiar tablas de enrutamiento entre sistemas autónomos (AS). El problema es que nunca se ha llegado a idear un sistema que realmente autentique a ambas partes, y los routers estén así seguros de que la información recibida desde un AS es legítima y viene del sitio adecuado.
• Ese mismo año, se habló de la denegación de servicio «perfecta». La compañía sueca Outpost24 afirmó haber descubierto en el 2005 (aunque lo sacó a la luz en 2008) varias vulnerabilidades de base en el mismísimo protocolo TCP/IP que podrían permitir la caída de cualquier aparato con comunicación TCP en la red. Fue llamada «denegación de servicio de bajo ancho de banda». Decían no conocer una implementación de la pila que no fuese vulnerable. Aunque grave, se olvidó rápidamente y causó menos revuelo del esperado.

Página de heartbleed animando a utilizar el logotipo para ilustrar la noticia

El apocalipsis también hay que saber «venderlo»

Si nos distanciamos del aspecto técnico, lo que diferencia a Heartbleed con respecto a las ya mencionadas, es sin duda su perfecta campaña de marketing y difusión. Si el fallo en los DNS descubierto por Kaminsky era eso, «el fallo de Kamisnky», este ha contado por primera vez con un logotipo para anunciar una vulnerabilidad; se le ha dotado de un nombre muy adecuado e ingenioso; se ha reservado un dominio; orquestado una especie de campaña de comunicación; cuidado al detalle el diseño de la página; difundido notas de prensa con alto alcance que ha llegado a los telediarios; se han colado ligeras exageraciones para dar empaque (el 66% de Internet era vulnerable…); incluso se ha cuidado el «timing» (se alimentan teorías sobre si el día de la muerte de XP era o no adecuado para difundirlo)… en definitiva, una especie de espectáculo a gran escala perfectamente acompasado para dar a conocer un grave fallo de seguridad. Un paso que no se había dado hasta ahora al menos de forma tan consciente, incluso cuando se han descubierto problemas de seguridad a la altura.
Esto tendrá una consecuencia directa: Las vulnerabilidades graves (no descubiertas como 0day) siempre han servido para dar a conocer a su autor, elevar su prestigio personal o de su empresa. Heartbleed (al margen de merecer la importancia técnicamente) les ha enseñado a todos que se puede hacer «mejor». De hecho, ya se han lanzado vulnerabilidades con un diseño similar: http://tetraph.com/covert_redirect/

Los fallos con perspectiva

¿Consecuencias de todo esto? Hasta el momento parece que nunca se han utilizado ninguna de estas vulnerabilidades como métodos de ataque masivo que colapsen Internet y «la rompan». ¿Han servido estas grandes catástrofes para poner contra las cuerdas a la Red? Tampoco. ¿Alguien se ha beneficiado de ellas? Seguro. Para poner de rodillas a la red, en realidad, se usan otras armas: malware común y sencillo, realizado por atacantes menos sofisticados, como Blaster, Sasser, CodeRed o Slammer (todos con más de 10 años), sí que consiguieron un impacto masivo en la Red. Incluso ciertos ataque DoS, en especial los realizados contra servidores DNS centrales usando simplemente la fuerza bruta, tuvieron más impacto «real»  (y menos mediático) desestabilizando Internet.

Quizás podría ser comparado a las catástrofes aéreas en contraste con los accidentes de tráfico. Una catástrofe aérea es, en un instante, un verdadero drama para cientos de pasajeros. El accidente aparecerá en los telediarios, se investigará y será recordado. Afortunadamente, ocurren ocasionalmente. Sin embargo, el problema con las muertes de tráfico en carretera, proporcionalmente, parece mucho mayor. Ocurren a diario, no aparecen en las noticias, y se dice que estadísticamente resulta mucho más inseguro viajar por carretera en turismo que tomar un avión. Sin embargo, ese goteo de víctimas en las autovías y carreteras secundarias, causa un daño mayor en conjunto, más «palpable».

* Internet se ha roto, otra vez (I)