Última Actualización: 23 de Octubre de 1.998 - Viernes
El artículo que sigue se ha publicado en los boletines Criptonomicón y Kriptópolis, boletines 24 (21/Oct/98) y 79 (23/Oct/98), respectivamente. Los textos publicados son idénticos salvo por la introducción. Se incluyen ambas.
Texto publicado en Kriptópolis, número 79
Últimamente están muy de moda los "plug-ins", las instalaciones de
software con mil y un variados objetivos. Es muy normal que para ver
un web determinado se nos "exija" disponer de la extensión
correspondiente del navegador, de la misma forma que si quieremos
recibir correo vocal o visualizar un fichero gráfico TIFF. El colmo
llega cuando el propio contenido incluye el software para
interpretarlo, como ocurre con el programa "Absolute Security"
(http://www.pepsoft.com/absec/intro.html).
Este programa permite el envío de mensajes cifrados, con la curiosa
característica de que en el propio mensaje se puede enviar el software
necesario para poder descifrarlo (conociendo una clave, por supuesto).
|
Texto publicado en Criptonomicón, número 24
En el boletín #22 de Criptonomicón se escribe lo siguiente:
> Absolute Security, de PeptSoft, proporciona las herramientas
|
Esa "técnica" se presta fácilmente al abuso, con la inclusión de caballos de troya, virus, etc. Por ejemplo, si el producto se populariza, puede enviarse a alguien un mensaje "supuestamente" cifrado, con una "presunta" copia del software necesario para descifrarlo. Naturalmente esa copia será ejecutada por el destinatario, con el resultado de que puede hacerse que ejecute código arbitrario.
Evidentemente, cuando se instala software en un ordenador se está expuesto a caballos de troya, pero al menos normalmente se sabe de dónde ha salido el software. Un usuario se puede fiar o no de Netscape, pero sabe que su navegador lo ha descargado directamente de su web. Si instalamos un programa cogido de las news, por ejemplo, por aquello de que "va más rápido", nos arriesgamos a cualquier cosa.
El riesgo es que alguien a quien no conozcamos nos envíe un fichero cifrado, junto al programa necesario para descifrarlo. En ese caso tenemos la garantía de que el programa procede de una fuente que, localizable o no, no es fiable. Hacerse pasar por cualquier otra persona por email es trivial.
Existe un caso flagrante: Hace unas semanas alguien publicó en las news una versión actualizada del player de MP3 WinAmp. Ese programa era, en realidad, un troyano de Back Orifice. No podemos ni imaginarnos cuanta gente estará contaminada simplemente por no acudir al "site" original de WinAmp y descargar la versión "con integridad asegurada" y con "denominación de origen".
Últimamente están de moda los servicios de actualización automática de software, como el popular "SmartUpdate" de Netscape. Para ello descargan código de internet y lo ejecutan en la máquina local. Salvando errores de programación, si el programa original es de una fuente que consideremos fiable, podemos considerar razonable pensar que se conectará al lugar apropiado para actualizarse de forma adecuada.
De todas formas parece muy preocupante que, por regla general, el uso de la criptografía en ese aspecto sea prácticamente inexistente. Con peligros tales como el IP Hijack o corrupción de DNS, resulta imprescindible que el proceso "actualizador" pueda verificar que:
De forma semejante, parece imprescindible que los productos que puedan llegar, en un momento dado, a ser distribuidos por terceros, cuenten con algún mecanismo de verificación. Un ejemplo típico son los CD-ROMs que se incluyen con las revistas.
¿Cómo sabemos si el Netscape Communicator que viene con la revista es el original, que no ha sido modificado?.
En ese aspecto pueden considerarse interesantes iniciativas como la que he adoptado, por ejemplo, en http://www.argo.es/~jcea/artic/radius02.htm#L.
Puede verse que se listan los "hashes" MD5 y SHA-1 del fichero.
Si alguien recibe el fichero por una vía poco clara, puede acudir a mi web para contrastar su autenticidad sin tener que descargarlo de nuevo.
Por supuesto siempre cabe la posibilidad de que alguien dé "el cambiazo" en el propio proveedor. Pero en ese caso la responsabilidad es del suministrador de contenidos. Y los riesgos de que ello ocurra son mucho menores, al margen de que la probabilidad de detección es elevada.
La opción ideal es distribuir los propios certificados con los documentos que pretendemos proteger, como ocurre con las populares firmas PGP y los certificados digitales para applets, etc. El problema de este enfoque es que resulta necesario disponer de un "certificado de autenticidad" de las claves públicas que se adjuntan, avalado por una entidad reconocida por nosotros. Ello no siempre es sencillo, práctico o "computacionalmente eficiente".