Després de Heartbleed, el descobriment d'una nova vulnerabilitat de xifrat torna a suscitar debat sobre la seguretat a internet
Fa uns dies, l'Institut Nacional de Recerca en Informàtica i Automàtica francès i la Universitat Johns Hopkins de Maryland van descobrir un forat de seguretat batejat com a FREAK (Factoring attack on RSA-EXPORT Keys) que afecta el xifrat SSL/TLS. Al principi, la bretxa de seguretat només afectava el navegador integrat a Android ja Safari, però posteriorment, Microsoft va confirmar que FREAK també afecta Windows, i que tots aquells dispositius equipats amb Windows són també vulnerables a la fallada de seguretat. Microsoft va afegir que els servidors openSSL amb versió anterior a 1.0.1 també són vulnerables.
El més preocupant daquesta falla en la seguretat dels protocols criptogràfics és que la vulnerabilitat existeix des dels anys 90. Decisions polítiques han permès que aquesta falla persisteixi encara avui dia, ja que el govern dels Estats Units volia assegurar-se que la NSA podia descodificar les comunicacions estrangeres com a mesura de contraespionatge. La pressió política exercida va obligar a implementar un mètode d'encriptació de xifratge feble (512 bits), cosa que es tradueix en un nombre de codis de baixa complexitat, fàcilment “hackejable”.
Afortunadament, tant poma com a Microsoft han reaccionat amb gran rapidesa i ja han llançat sengles actualitzacions dels seus sistemes operatius per solucionar la fallada.
A la web de Freak Attack es pot comprovar a linstant si el vostre dispositiu es veu afectat per aquest error, simplement a través duna banda vermella o blava.
Com a mesura de precaució, de moment el millor és actualitzar els sistemes operatius o canviar a un altre navegador que no s'hagi vist afectat, com ara Google Chrome o Mozilla Firefox.
Aquesta falla de seguretat recorda la que Google va descobrir l'any passat (Dolorós) que afectava el xifrat de codi obert OpenSSL i fa tornar a saltar a la palestra el debat sobre la seguretat a internet.
La seguretat a internet existeix realment?
Estem realment segurs a internet? La resposta, contràriament al que es pugui pensar és SÍ. Aquesta nova vulnerabilitat descoberta posa de manifest que fins ara no s'han pres prou mesures de seguretat, però no vol dir que Internet sigui un lloc totalment hostil.
Probablement, aquestes falles en la seguretat dels xifrats de codi a internet es deuen a un comportament negligent d'usuaris i desenvolupadors, malgrat l'existència de multitud de solucions i eines de seguretat en línia. De fet, un sondeig realitzat recentment a Espanya per Nominalia entre usuaris i professionals web evidencia la poca importància que se li atorga a la seguretat a internet.
Algunes conclusions de l'estudi realitzat per Nominalia:
Segons les conclusions de l'estudi, el 60% dels usuaris enquestats desconeix del tot o compten amb un coneixement molt bàsic dels sistemes de seguretat del proveïdor de hosting. En això, coincideixen amb les empreses, de les quals el 67% no coneix res o gairebé res sobre les mesures de seguretat del proveïdor de hosting.
Tant empreses com usuaris suspenen en precaucions de seguretat: no modifiquen les contrasenyes habitualment, no tenen varietat de contrasenyes, deixen oberts els perfils de les xarxes socials quan deixen d'usar-les, etc.
Tot i que el 65% dels espanyols considera que internet no és segur, el 68% de la població no inverteix en seguretat per als seus ordinadors. A més, el 80% ha patit mai un atac d'un virus.
A la llum d'aquestes dades, es pot concloure que, en general, Internet no és percebut com a mitjà segur. Però aquesta percepció no es correspon amb la realitat, ja que hi ha eines que fan segura la navegació, protocols com el https que inclouen encriptació a les pàgines web, antivirus, tallafocs i antimalwares que mantenen els nostres equips i dades lliures de perill. Els proveïdors de hosting ofereixen productes totalment segurs en què es pot confiar. Nominalia es troba entre les empreses que ofereixen total garantia en l'aspecte de la seguretat. L'únic que cal és conscienciar-se de la responsabilitat de cadascú en el bon ús de totes aquestes eines i fer petits gestos (com canviar periòdicament les contrasenyes) per fer d'internet un lloc encara més segur.