OpenBSD decidió publicar el parche para KRACK antes que se hiciera pública la vulnerabilidad



Esta semana se conoció que los diferentes desarrolladores de sistemas operativos publicaron un parche para KRACK, un exploit creado por investigadores de seguridad que permite vulnerar el protocolo de seguridad inalámbrica WPA2, y también que los desarrolladores de OpenBSD, habían publicado el parche antes de la fecha prevista para el anuncio público de la vulnerabilidad, lo que motivó que algunos los acusaran de poner en peligro a los sistemas operativos que aún no habían creado el parche. Un desarrollador de OpenBSD explicó los motivos.




Aunque desde el proyecto no se respondió oficialmente a las críticas, un desarrollador dio una explicación que parece perfectamente válida sobre lo que sucedió con los descubridores del problema. Ante la pregunta del sitio web PlanetaDiego, otros desarrolladores la confirmaron.
Lo que pasó es que me lo dijeron ( el 15 de julio, y me impusieron un embargo de 6 semanas hasta finales de agosto. Ya nos quejábamos entonces de que esto era demasiado largo y dejábamos a la gente expuesta.
Luego consiguieron la participación del CERT(*) (y, por lo tanto, de las agencias gubernamentales estadounidenses) y tuvieron que extender aún más el embargo hasta el día de hoy. En ese momento ya teníamos el balón en marcha y decidimos atenernos al acuerdo original con él.
En esta situación, una petición para mantener el problema y arreglar el secreto es una petición para dejar a nuestros usuarios en riesgo y expuestos a los iniciados que potencialmente usarán el fallo para explotar a nuestros usuarios. Y no tenemos ni idea de quiénes son los otros iniciados. Tenemos que asumir que este tipo de información se filtrará y se disipa rápidamente en la “comunidad” de seguridad.
Elegimos servir las necesidades de nuestros usuarios que son las personas vulnerables en este drama. Estoy de acuerdo con esa elección.
 Parche:


===================================================================
RCS file: /cvs/src/sys/net80211/ieee80211_pae_input.c,v
retrieving revision 1.30
retrieving revision 1.31
diff -u -r1.30 -r1.31
--- src/sys/net80211/ieee80211_pae_input.c 2017/08/17 06:01:05 1.30
+++ src/sys/net80211/ieee80211_pae_input.c 2017/10/16 10:39:41 1.31
@@ -1,4 +1,4 @@
-/* $OpenBSD: ieee80211_pae_input.c,v 1.30 2017/08/17 06:01:05 stsp Exp $ */
+/* $OpenBSD: ieee80211_pae_input.c,v 1.31 2017/10/16 10:39:41 stsp Exp $ */

/*-
* Copyright (c) 2007,2008 Damien Bergamini
@@ -340,6 +340,12 @@
}
OpenBSD decidió publicar el parche para KRACK antes que se hiciera pública la vulnerabilidad OpenBSD decidió publicar el parche para KRACK antes que se hiciera pública la vulnerabilidad Reviewed by Zion3R on 4:04 Rating: 5