Un documento de la empresa BindView describe y analiza el
procedimiento de distribución de actualizaciones de seguridad de 27
compañías distintas.
La mayoría de los fabricantes de software, especialmente en el caso de
sistemas operativos, disponen de mecanismos de distribución de
actualizaciones de seguridad para sus productos. El documento analiza
las medidas de seguridad adoptadas para ello, poniendo especial
énfasis en la verificación de la autenticidad y la integridad del
«parche».
Básicamente existen cuatro formas de verificación:
– Firma digital: Es la más fiable y permite verificar la actualizacion
«offline».
– HASH: bastante fiable, pero requiere acceso a una página web o
base de datos conteniendo los hashes. Un ejemplo de este sistema
lo tenemos en el boletín 560, «Solaris Fingerprint Database»,
disponible en http://www.hispasec.com/unaaldia.asp?id=560.
– Descarga a trav’s de HTTPS: tiene la desventaja de que la descarga
es segura, pero una vez descargado el fichero no tenemos forma de
verificar su autenticidad o integridad.
– Descarga SSH: Similar a la HTTPS, y con los mismos problemas.
La autenticidad y la integridad son importantes porque, como se puede
ver en el estudio, muchos de los servidores desde los que se descarga
el software son susceptibles de ataques antiguos y conocidos, y un
atacante malicioso podr¡a reemplazar una actualizaci¢n por un caballo
de troya, por ejemplo. Tambi’n se pueden realizar ataques del tipo
«DNS spoof», en la que un usuario se conecta a un servidor diferente
del que ha tecleado en la URL.
Mi conclusi¢n es que la mayor¡a de los fabricantes de software no
est n preocupados por este problema, probablemente por falta de
demanda desde los propios clientes, y no proporcionan ningon mecanismo
de seguridad fiable.
En ese aspecto, la mayor¡a de las distribuciones Linux ganan por
goleada, al distribuir avisos de seguridad firmados digitalmente y que
contienen hashes criptogr ficos de los ficheros actualizados. Lo mismo
se puede decir de grandes fabricantes como SGI (antigua Silicon
Graphics) o IBM.
Fabricantes como Sun, Apple o Digital/Compaq no disponen de ningon
mecanismo de control de autenticidad e integridad, lo que supone un
error de seguridad imperdonable.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=800
M s informaci¢n:
Summary of «Vulnerabilities in Operating-System Patch Distribution»
http://razor.bindview.com/publish/papers/os-patch-sum.html
Vulnerabilities in Operating-System Patch Distribution
http://razor.bindview.com/publish/papers/os-patch.html
09-05-2000 – Solaris Fingerprint Database
http://www.hispasec.com/unaaldia.asp?id=560
Jesos Cea Avi¢n
jcea@hispasec.com
http://www.hispasec.com