Quién sabe si continúa la fiesta en Argentina, pero formalmente la [EkoParty](http://www.ekoparty.org/cronograma.php) terminó ayer a la noche, más tarde de lo que se suponía, en el **Centro Cultural Konex**. El evento de seguridad informática contó con muchas conferencias interesantísimas, pero desde el inicio se sabía que habría una estrella: **Juliano Rizzo** y **Thai Duong** presentarían una vulnerabilidad 0 day para [ASP.NET](http://es.wikipedia.org/wiki/ASP.NET).

ASP.NET es el entorno creado por Microsoft para competir con [Java](http://alt1040.com/tag/java) y es utilizado aproximadamente por el 25% de los sitios de Internet. Por otra parte, una vulnerabilidad es calificada como «[0 day](http://es.wikipedia.org/wiki/Ataque_de_d%C3%ADa_cero)» cuando es, hasta el momento del anuncio, completamente desconocida: es decir, **ni Microsoft ni ninguna otra persona en el mundo conocían esta vulnerabilidad, por lo que no hay manera de evitarla** o detenerla.

La conferencia fue muy curiosa, ya que comenzaron explicando las cuestiones más técnicas sobre criptografía que hacen posible el ataque. Los conceptos eran fascinantes, pero había tensión en el aire: todos querían conocer, ver la vulnerabilidad. De todos modos, antes de hacerla pública, dedicaron unos minutos a comentar algunos de los problemas de seguridad más notables de ASP.NET. En principio, remarcaron el hecho de que viola la «regla dorada» del desarrollo web: no almacenes ningún dato de importancia crítica en el directorio raíz, ya que *Web.config*, el archivo de configuración más importante dentro del *framework*, se encuentra justamente en el directorio «root» y contiene información de usuarios y claves.

Además, la API de criptografía de ASP.NET no autentica los mensajes por defecto y no hay manera sencilla de generar las llaves: algunas veces son creadas en línea, nunca se cambian durante la vida de una aplicación y son utilizadas para todo. Con respecto a la vulnerabilidad, **es explotada mediante el Padding Oracle Attack y permite al atacante (según el caso) pues bien, hacer prácticamente lo que desee**.

Finalmente Juliano Rizzo y Thai Duong mostraron en una *demo* cómo funciona el ataque, llevado a cabo mediante **POET**, una herramientra creada por ellos y, como el código todavía no fue liberado, **arrojaron al público al final de la conferencia tres pendrives con la herramienta cargada**. Para estas horas, no quiero imaginar cuánta gente ya tiene en sus manos a POET (ni cuántos están experimentando con la vulnerabilidad por su propia cuenta).

Absolutamente **todos los sitios desarrollados en ASP.NET son posibles víctimas y no hay nada que puedan hacer todavía para evitarlo**. [Microsoft](http://alt1040.com/tag/microsoft), por su parte, publicó un [Security Advisory](http://www.microsoft.com/technet/security/advisory/2416728.mspx) en el que se hace eco de la vulnerabilidad, minimizando su gravedad y **asegura que la está investigando**, tras lo cual hará lo posible por ayudar a sus clientes. Microsoft dice que la vulnerabilidad «sólamente» permite que se filtre información, cuando depende de las aplicaciones que estén instaladas en el servidor, **siendo posible que se comprometa el sistema por completo**. De acuerdo a Microsoft todavía no ha sido reportado ningún ataque, pero aunque sea verdad no deberían hacerse esperar.

Ahora en Hipertextual

Suscríbete gratis a Hipertextual

Estamos más ocupados que nunca y hay demasiada información, lo sabemos. Déjanos ayudarte. Enviaremos todas las mañanas un correo electrócnio con las historias y artículos que realmente importan de la tecnología, ciencia y cultura digital.