(Por El Microsaurio) Actualización a las corridas para BIND, y festejos arruinados para unos cuantos admin, porque alguien entendió mal unas instrucciones… Un comunicado reservado, destinado a ser publicado hoy, apareció en la noche del 4 de julio. Quienes emplean BIND en sus servidores de nombres de dominio tuvieron que actualizar a las corridas, antes de que los desgraciados de siempre aprovecharan la ventaja. Arrimate que te cuento el culebrón.
Como adelanté ahí arriba, todo surgió de un malentendido. Te cuento: es usual que cuando se encuentra una falla en un software de uso extenso (tipo Word o Photoshop) o crítico (como el que va en un servidor de nombres de dominio) quienes están a cargo del tema dentro de la empresa afectada preparen una actualización, avisen a las instituciones que en cada país están a cargo de temas de seguridad informática, redacten una nota detallando la falla y anunciando que ha sido solucionada, indiquen cuándo se puede publicar esa noticia, y pongan en sus servidores el software “reparado” para que los usuarios puedan bajar la actualización.
Estos pasos, con la publicación al final, tienen por objetivo permitir que los administradores de sistemas, que atienden equipos críticos, puedan emparchar sus máquinas, antes de que algún atacante aproveche la falla para amargarles la vida.
Eso, si el diablo (o un canguro) no mete la cola…
En este caso, el software afectado era BIND, un programa (o conjunto de programas) que se carga en un servidor a fin de contestar puntillosamente cuando alguien pregunta cuál es la IP de Tecnozona.com, por ejemplo. Si no existiese ese tipo de software, tu compu no podría encontrar y mostrarte la página que estás leyendo ahora.
Pues resulta que alguien informó a la empresa proveedora de ese software que había dos fallas en el producto. Y que el resultado (si algún malintencionado aprovechaba la falla) sería que el servidor en cuestión no podría cumplir su cometido. Ergo, se interrumpirían los servicios de Internet relacionados con ese servidor (muchos centenares de miles de servidores…) En criollo, las páginas solicitadas no se cargarían… hasta que se pudiese obtener la dirección IP tomándola de otro servidor.
Demoras, quejas de clientes, una larga lista de etcéteras. No, la Internet no se iba a caer. Pero el teléfono de reclamos de montones de empresas se iba a poner al rojo, no te quepa duda. Y no solamente en EE UU o Europa. Al suR de la civilizacióN, o sea acÁ abajO, también habría interrupciones.
Todo estaba listo, el proveedor del software tenía preparados los parches, y los comunicados ya estaban redactados. Pero… un empleado del AusCERT metió la pata. El AusCERT, aclaremos, es “el Computer Emergency Response Team líder en Australia y uno de los líderes en la región Asia/Pacífico…” de acuerdo a lo que dice su página web oficial. En el blog de Patrick Gray, más conocido por Risky Bussiness, de donde tomé la información (gracias a un oportuno email de Eugene Theo, de Red Hat) se avisó que en un repositorio de Internet estaba posteado el aviso, indebidamente publicado antes de fecha y copiado no se sabe por quién…
Ya no había nada que hacer, excepto pedir disculpas (los australianos lo hicieron), y apechugar. Lo que significó que Internet Systems Consortium, la empresa que produce BIND, publicó con toda premura las actualizaciones que están marcadas como 9.6-ESV-R4-P3, 9.7.3-P3 y 9.8.0-P4.
La fecha de posteo de los programas “emparchados” (tal como se lee acá) fue el 4 de julio, y no el 6, como estaba programado. Las notas técnicas correspondientes (son dos vulnerabilidades diferentes) están aquí y acá; y ojo que no todas las versiones de BIND están afectadas. Además, Debian y Ubuntu publicaron sendos avisos, y los de Red Hat dicen que a ellos no los afecta (actualicen aquellos a los que les cuadre…)
Lamentablemente el aviso del AusCERT detallaba prolijamente qué pasos hacían falta para voltear un server con BIND y apagar el programa, generando un precioso Denial of Service tamaño baño, si se estaba atacando una versión vulnerable.
Todo este dramón tuvo una consecuencia directa en los administradores de sistemas norteamericanos: trabajar (y furiosamente) en feriado. Trabajaron los que fueron encontrados, porque, claro, muchos estaban viajando, aprovechando el feriado largo de Allá Arriba, o demorados por el hangover, luego de festejar…
No pasó nada gravísimo, porque (de nuevo) la especie zoológica de los admin se la banca.
Tuve oportunidad de leer el texto de la empresa ISC erróneamente difundido por el AusCERT el día 4 a la noche y claramente allí se advierte que es para publicar el día 6. Tal vez nunca se sepa si la emisión adelantada se debió a estupidez o mala leche. Lo que quedó claro es que el eslabón más débil de la seguridad sigue siendo de carne y hueso, con cantidad variable de dendritas funcionales. En fin, repito, no pasó nada gravísimo; esperemos que todos los que tienen que actualizar, lo hagan.
Nota: nadie supo comentarme qué hicieron con el empleado que publicó equivocadamente el boletín, allá en la benemérita Universidad de Queensland (donde tiene su sede el AusCERT).