Los hackers que afirman haber encontrado un fallo crítico en un software de código abierto ampliamente utilizado para el acceso remoto, OpenSSH, probablemente estén faroleando, según un desarrollador afiliado con el proyecto.
OpenSSH se utiliza para iniciar sesión de forma segura yremota en sistemas basados en Unix y se incorpora a una serie de sistemas operativos, routers y conmutadores fabricados por vendedores como IBM, Hewlett-Packard, Cisco Systems y Red Hat.
En Pastebin, los hackers afirman que hace dos años encontraron un problema en OpenSSH que puede permitir que los datos sean accedidos de forma remota desde un servidor. Afirman que usando este fallo se pueden revelar hashes del usuario de un sistema, claves y otros datos aleatorios.
Los hackers afirman que han establecido sistemas trampa. Trampas para ver si sus computadores podian ser atacadas usando dicho bug, lo que demostraría que otro grupo también puede haber descubierto la vulnerabilidad. Como resultado, ellos dicen estar dispuestos a vender los detalles del error por 20 bitcoins, alrededor de $ 8600.
«No tenemos acceso para aprovechar el mercado negro, y ahora estamos encantados de ofrecerlo en venta para ambos mercados», escribieron.
Su afirmación fue recibida con escepticismo inmediato. Theo de Raadt, el fundador del proyecto OpenBSD que es parte de OpenSSH, escribió por correo electrónico que tales demandas surgen cada seis meses más o menos.
«No vemos ninguna evidencia de que es real», escribió de Raadt. «Cualquiera podía crear un documento como ese en una hora o dos.»
El código que se muestra en Pastebin es un volcado de memoria que se puede generar con un comando común de Unix, escribió.
Los hackers están tratando de sacar provecho de las consecuencias del fallo Heartbleed en OpenSSL, la biblioteca criptográfica que permite el protocolo SSL (Secure Sockets Layer) o el cifrado TLS (Transport Layer Security). La mayoría de sitios web utilizan ya sea SSL o TLS, que se indica en los navegadores con un símbolo de candado.
Con el error Heartbleed, divulgado públicamente a principios de abril, llegó una ola de parcheos para los administradores del sistema ya que el error podría ser utilizado para extraer las claves SSL privadas y las credenciales de usuario, una seria amenaza. También llamó la atención sobre los problemas en torno a proyectos de código abierto con fondos insuficientes cuyo código es, sin embargo, ampliamente utilizado en toda la infraestructura de Internet.
Similar a OpenSSL, una vulnerabilidad en OpenSSH plantearía un riesgo elevado. A pesar de su amplio uso, OpenSSH depende de donaciones para financiar su desarrollo. Con los años se ha recibido poco apoyo de los vendedores, dijo de Raadt.
Los dos únicos grandes nombres en la lista de importantes contribuyentes de la Fundación OpenBSD son Facebook, que donó para la campaña de este año 150.000$, de acuerdo con una lista de contribuyentes significativos. Google aparece como benefactor de los últimos tres años.
A pesar Heartbleed, el entusiasmo por el apoyo a proyectos de código abierto críticos parece estar disminuyendo, dijo de Raadt.
«No sé si hay suficiente visión», escribió. «El ancho del sector se siente apático respecto a este problema reciente – pero el mundo sigue y otras cosas están sucediendo en otros lugares, la gente se olvida.»