Desde que apareció OpenID me mostré bastante interesado por la idea: un servicio único (aunque distribuido) de identificación en la red, algo así como un conjunto de “servidores DNS sobre las personas” que permitiría obviar de vez en cuando, y cada vez más, la tediosa tarea de rellenar formularios de registro en las webs. Aunque la idea me pareció genial en este sentido, se me venían a la cabeza problemas como la gestión de la confianza de unos servidores en otros (que se resolvería utilizando certificados digitales entre ellos), y la posibilidad de que un servidor “malicioso” entrase en el juego, por ejemplo mediante un ataque de phishing.

Han sido varios los problemas que han surgido en torno a OpenID en este tiempo, ya sean relacionados directamente con la idea o con las tecnologías sobre las que se sustenta. Por ejemplo, la debilidad en el generador de números aleatorios de Debian provocada por una actualización del código en el que se “limpió” de una “molesta” herramienta de depuración, eliminando de paso la inicialización de la semilla de números aleatorios y que llevó a tener que actualizar OpenSSL para Debian y sistemas derivados del mismo, como Ubuntu, pero que ha dejado libres multitud de certificados digitales vulnerables que deberían ser generados de nuevo. Pues bien, varios proveedores de OpenID (de bastante magnitud además) fueron afectados por dicho problema.

Hace unos días se presentó una noticia sobre la vulnerabilidad del algoritmo del servidor de OpenID utilizado en Weblogs, S.L. y en multitud de servicios similares. Se trataba de un código en PHP que ya no está siendo mantenido, y que presentaba diversas vulnerabilidades que permitirían a un usuario malicioso realizar un ataque combinado de XSS y XSRF mediante el que podría usurpar la identidad del usuario que accediese al sitio web malicioso. El descubridor de las vulnerabilidades, José Carlos, abunda en la descripción del ataque e incluye en su blog un exploit demostrativo. Afortunadamente, Weblogs ha sido avisada de esto y se ha corregido el problema, pero es altamente probable que muchos servidores se encuentren afectados por éste.

Si a todo esto sumamos que OpenID no ha tenido la acogida que habría sido de esperar ante lo interesante de la idea, ¿en qué estado se encuentra ahora este sistema de identificación digital? ¿Vosotros usáis OpenID habitualmente? ¿Qué os parece, en uno u otro caso, dicho sistema? Os dejo algunos enlaces interesantes al respecto.

• Maestros del Web.
• Herramientas anti-phishing en MyOpenID
• Phishing en OpenID. Aunque algo antigua, interesante.
• El generador de números aleatorios de Debian, comprometido.

Pues nada, los aficionados al phishing siguen dando de comer a Lobosoft. Ahora nos llega otro correo de (supuestamente) eBay informando que mi cuenta ha sido robada por alguien que intentaba poner artículos a la venta. El supuesto eBay nos indica que han tomado las medidas oportunas para bloquear la cuenta, pero que si deseamos reactivarla debemos acceder a una dirección ¿rusa? y autenticarnos. Si a esto sumamos los caracteres en cirílico que aparecen dispersos en el mensaje (algo que, aunque de forma menos evidente, me alertó en el phishing del DNI electrónico), tenemos el caldo de cultivo completo para otro ataque manifiesto. Dejo una captura del mensaje, por si alguien recibe uno parecido, que sepa que se trata del mismo:

Estimado(a) cliente!
Hemos encontrado indicios de que una tercera persona ha podido acceder a tu cuenta de eBay para poner artнculos en venta. Acabamos de tomar las medidas necesarias para protegerla. Los datos de tu tarjeta de crйdito y tu cuenta bancaria estбn seguros en eBay, ya que se encuentran cifrados y se guardan en un servidor protegido, fuera del alcance de intrusos.
Para recuperar el control de tu cuenta, sigue este paso: https://signin.ebay.es/ws/eBayISAPI.dll?SignIn&ru=http%3A/.eb/wwway.es/&37_trksid=m

Para no abundar más en el tema, dejo también un par de capturas de otros correos con ataques phishing recibidos desde ¿Caja Madrid?, ¿La Caixa? y ¿Caixa Laietana?, entidades bancarias donde un atacante ha intentado acceder a cuentas corrientes que no tengo en dichas entidades. Interesantísima cuestión sería saber cómo lo han conseguido, pardiez.

Como siempre, cuidado y desconfianza con todo aquello que venga por el correo electrónico. Como hablaba el otro día en la playa que nos paga la empresa con mi amigo, el señor Albloguera, la invasión de spam va a provocar que terminen dando la razón a Microsoft y se empiece a cobrar por correo enviado. Aunque yo apostaría por medidas más duras de las fuerzas de seguridad y un mayor control de las rutas de envío de mails, algo complejo cuando hablamos de Internet, sin duda. En cualquier caso, siempre nos quedarán Echelon y la Enfopol.