El pasado siempre vuelve, LogJam

Logjam_TLSA medida que va pasando el tiempo, nos vamos dando cuenta de que todo lo que hemos hecho en el pasado nos marca de una manera u otra en el futuro. Esto mismo es lo que en la actualidad le está ocurriendo a las conexiones seguras en Internet, el llamado HTTPS. En la última semana ha salido a la palestra un nuevo problema de seguridad, LogJam. Este problema se añade a la lista de los últimos grandes descubrimientos como BEAST, CRIME, Lucky Thirteen, BREACH, POODLE, Heartbleed y FREAK los cuales permiten a un atacante obtener datos sensibles enviados mediante sistemas, en principio, seguros.

El modo en que lo hace Logjam es mediante MiTM. Permite a un atacante reducir la seguridad de un medio cifrado TLS a 512bits y leer o modificar los datos en tiempo real. Este tipo de ataque no es algo completamente nuevo, es un poco semejante al ataque FREAK, con la diferencia de que el fallo no se encuentra en la implementación, sino en el protocolo TLS. El objetivo para explotarlo es atacar al intercambio de claves que se realiza con Diffi-Hellman. Para hacernos una idea del alcance que tiene, afecta a cualquier servidor que soporte DHE_EXPORT y a la gran mayoría de navegadores Web. En esta página podéis comprobar si vuestro navegador es vulnerable a este ataque. Según el paper en el que se ha publicado esta vulnerabilidad, más del 8,4% de los sitios Web más utilizados de Internet tienen esta vulnerabilidad. Casi nada.

Y bien, ahora que ya sabemos que es Logjam, ¿a qué viene la frase del comienzo? Pues al hecho de que todas las vulnerabilidades que he mencionado están relacionadas con una política de los años 90. En esta época estaba despegando Internet y principalmente el comercio electrónico. Las transacciones que se hacían requerían de cierta seguridad, pero el gobierno americano no quería dejar que sistemas de crypto-analisis salieran de Estados Unidos hacia destinos poco “amigables”. Además, querían poder tener la capacidad de reventar cualquier cifrado para poder espiar, (se dice que incluso algunas VPNs han sucumbido). Lo de la NSA no es algo que empezara con Snowden ni Wikileaks, con ellos salió a la luz lo que llevaban años haciendo. Por otra parte, cada vez aparecen más bugs que llevan más de una década en nuestros sistemas.

Los principales navegadores ya se han puesto manos a la obra para solucionar este problema, al igual que la gran mayoría de responsables de Web importantes. Pero, a mí, personalmente me quedan unas pocas preguntas sobre este tema. La primera es que desde cuándo se estará explotando esta vulnerabilidad y que habrán conseguido con ella, la segunda es que cuánto tiempo queda para que salga otra vulnerabilidad gorda que tenga una base semejante a estas vulnerabilidades y la última, pero no por ello menos importante, cuándo aprenderemos del pasado y veremos que la seguridad sí que importa?

Patxi Galan García
Acerca de
Investigador de S3lab
Expertise: Natural Language Processing, Android, Cyberbullying

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.