La hecatombe. Theo de Raadt, el desarrollador principal de OpenBSD (un sistema operativo tipo Unix, con un gran énfasis en la seguridad) envió el pasado lunes (24 de junio) una alerta de seguridad bastante críptica acerca del programa OpenSSH, que permite conectarse a otros ordenadores de forma segura utilizando cifrado.
En la alerta sólo decía que había un problema muy grave, que no era solucionado pero sí paliado en la última versión del software, y que todo el mundo debería actualizarse a ella lo antes posible.
La reostia. Esa “última versión” no funcionaba ni patrás, en la mayoría de sistemas Linux; sus nuevas características colisionaban con otras características viejas, no funcionaban en versiones antiguas del sistema… La mayoría de los distribuidores de Linux y fabricantes de otras variedades de Unix tuvieron serios problemas intentando hacer eso, mientras Theo mandaba mensajes en los que se quejaba de que la gente (representantes de estos fabricantes) le decía cosas feas.
El problema es que hay un sistema implantado para manejar este tipo de problemas de seguridad. Si Theo hubiese seguido el protocolo, habría avisado al CERT, una organización que se encarga de coordinar los avisos de seguridad en Internet; el CERT habría buscado una solución, y habría avisado a los fabricantes. Los fabricantes habrían implementado la solución, al cabo de unos días se habría dado publicidad al tema, todos publicarían las versiones corregidas, y listo.
Claro que esto no es lo que pretendía Theo. A Theo no le interesa que se arreglen versiones antiguas de su software que se sabe que funcionan, sino que se pongan en marcha las versiones modernas, y, a poder ser, que los fabricantes de las distintas variedades de Unix le arreglen su programa, y se rompa todo en el proceso.
Bueno, Theo decía que el próximo lunes les envíaría a los fabricantes un informe con el problema, y el martes o miércoles le daría publicidad. Pues bien, hoy no es el próximo lunes, pero han dado publicidad al problema igualmente. Y, para más inri, parece ser que sólo afecta a los sistemas BSD, no a los sistemas Linux… precisamente a los que más vueltas les ha hecho dar.
Ahora podría hablar de que cómo se puede volver a confiar en alguien que ha hecho eso, y muchas más cosas; bastará con comentarles que, por ejemplo, el equipo de seguridad de Debian no se fía de que este sea el único problema, y ahora están revisando todos los cambios que han hecho últimamente a OpenSSH, a ver si puede ser que haya algo más que no les hayan dicho.