8 jun. 2016

Keepass, ¿costos vs seguridad?

El gestor de contraseñas Keepass se ha visto envuelto en polémica en los últimos días debido a una decisión tomada por uno de sus desarrolladores, Dominik Reichl, quien había preferido no aplicar un parche de seguridad debido a la posible merma en los ingresos que la aplicación genera a través de publicidad.
La discusión sobre la vulnerabilidad CVE-2016-5119 es muy provechosa y resultó beneficiosa para mejorar el producto.

El desarrollador argumentó que los "costes indirectos" eran demasiado altos como para publicar la actualización, la cual tendría que cifrar el tráfico web. El impacto de esta decisión podría ser bastante grave, ya que se abre la posibilidad de que un atacante secuestre el proceso de actualización y envíe malware al ordenador de la víctima.
De hecho hasta se ha publicado un vídeo en YouTube mostrando en acción la vulnerabilidad de KeePass que no se ha parcheado por motivos económicos.
En su defensa, Reichl ha dicho que quiere implementar el cifrado tan pronto como él lo vea posible. También quiere verificar si el usuario ha descargado un archivo firmado en caso de estar preocupado (Windows Explorer -  "Properties" - "Digital Signatures").

Pese a todo, resulta muy contradictorio ver la seguridad en segundo plano en un desarrollo destinado a crear una aplicación centrada en la seguridad.

Es cierto que muchas aplicaciones no tienen muchas formas de generar ingresos, viéndose forzadas muchas veces hasta a incluir publicidad. Sin embargo, esta política de anteponer los ingresos a la seguridad, más cuando se sabe que los usuarios están expuestos a una vulnerabilidad importante, podría terminar dañando mucho la reputación de KeePass, pudiendo incluso perder una gran cantidad de usuarios.

En estos días Reichl lanzará la nueva versión 2.34 con correcciones que mitigan el ataque y ahora la información sobre la versión será descargada desde servidores HTTPS.

Fuente: Muy Seguridad | Keepass | Engadget

1 comentario:

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!