La inseguridad de las actualizaciones automáticas.

Malte Timmerman (uno de los desarrolladores de StarOffice/OpenOffice.org) nos habla en su blog sobre el peligro de las actualizaciones automáticas de los programas (OpenOffice.org incluido).

El problema es éste:

1) Las actualizaciones automáticas se hacen normalmente conectándose a un dominio.

2) Para poder conectarse a un dominio hay que convertirlo a una IP. Esto se hace a través de un servidor de DNS. Este servidor de DNS podría ser atacado o algún troyano (o similar) podría cambiar en nuestro ordenador el servidor DNS que usemos. De esta forma, en lugar de conectarnos al servidor “oficial” con las actualizaciones podríamos, en realidad, estar conectándonos con un servidor “maligno”.

3) La actualización descargada se ejecuta automáticamente infectando nuestro sistema.

Teniendo en cuenta los últimos avisos con el tema de los agujeros de seguridad en los DNS realmente es algo preocupante.

Para evitar este problema Malte propone que siempre comprobemos las fimas MD5 de los ficheros que nos descarguemos (una práctica recomendada siempre). Este es un trabajo que debemos hacerlo nosotros mismos, ya que si le dejamos la tarea a la herramienta de actualización automática tendremos el mismo problema ya que se descargará unos MD5 falsos.

Su recomentación es que usemos, mientras se encuentra una solución mejor, que usemos la herramienta de actualización pra saber si hay actualizaciones y después descarguemos las actualizaciones “a mano” y las comprobemos.

Aquí tenemos los MD5Sums para las distintas versiones de OpenOffice.org.