Skip to main content

ejwaAA hyftgmowhbxo, [url=http://xtrgqtoydlfl.com/]xtrgqtoydlfl[/url], [link=http://butkstmdkzgb.com/]butkstmdkzgb[/link], http://abwliaktnwyc.com/

Opciones de visualización de comentarios

Seleccione la forma que prefiera para mostrar los comentarios y haga clic en «Guardar las opciones» para activar los cambios.

"Seriedad"

Hola
Es algo muy muy serio porque significa que las claves privadas que te autentifican contra servidores, se calculan fácilmente y son muy pocas, por lo que se pueden generar todas y conectar de forma sencilla y sin clave a tus máquinas (si tienes claves comprometidas en tu .ssh/authorized_keys).

Cada máquina con ssh las genera y aparte los usuarios pueden aparte crear las suyas para utilizar autentificación de clave pública...

Existe una utilidad ssh-vulnkey que permite analizar las claves comprometidas del sistema y de los usuarios y las elimina, así como regenerar las claves ssh necesarias del sistema en caso de estar comprometidas.

En mi caso, ocurrió con mi pc de casa, no vulnerable porque no es accesible directamente desde internet, pero pudiera haberlo sido. El problema es que en este caso, la modificación de un código "upstream" por una serie de motivos sin reportar el código, además de ser poco "profesional" ha llevado a miles de sistemas a estar comprometidos y encima con Debian, una de las distribuciones más difundidas por su fama de estabilidad/seguridad.

Saludos
Pablo
--
Pablo Iranzo Gómez
(http://Alufis35.uv.es/~iranzo/)
(PGPKey Available on http://www.uv.es/~iranzop/PGPKey.pgp)
--
Postulado de Boling sobre la Ley de Murphy:

Si se encuentra bien, no se preocupe. Se le pasará

Por suerte alguien se ha dado cuenta finalmente

Por que por lo visto fué una cagadita de alguien que comentó unas líneas de código para poder depurar mejor, y que no le molestaran algunos mensajes, según he podido leer por ahí.

Los sistemas potencialmente comprometidos, deben de actualizarse y además, forzar la regeneración de las claves, así dejarán de ser vulnerables.

Respecto a lo demás, Pablo lo ha explicado muy bien, además de que en el enlace que pones también muy bien explicado.

En fin, estas cosas pasan, la gracia está en que, cuando el código fuente está visible, más pronto o más tarde, alguien lo ve. Al final, en cualquier desarrollo de software, cualquiera puede introducir gazapos. La principal diferencia radica en el número de personas que pueden llegar a ver el gazapo potencialmente, que en caso del software libre, el número es potencialmente más alta.

Muchos me contestarán con la famosa pregunta, ¿ah, que tu miras el código fuente del ssh, o del kernel de Linux?, y yo claro, les diré, pues mira, yo no, pero igual otros. Pero en mi caso, a veces si miro código de otras piezas de software, sobre todo web, aquí cada uno mira pues lo que le interesa, pero si hay posibilidad de mirar, pues siempre habrá alguno que mire. En el mundo del software propietario, por mucha gente que tenga la empresa, no pueden ser tantos los que miren el código, así que, en el caso de introducir gazapos, ya es más difícil de que sean encontrados.

Resumiendo, ¿el tema este es importante?, pues si, a mi modo de ver, en cuanto que ilustra que nada es infalible, pero que la transparencia puede ayudar a arreglar las cosas, pero no en cuanto a que demuestre que esto del software libre es inseguro, pues es justo lo contrario, ya que la seguridad por oscurantismo no es una garantía, si no una ruleta rusa. Si un sistema es seguro siendo transparente, será mucho más seguro que otro que no lo es.

Hay quien dirá, ¿pero si los sistemas de software libre tienen más número de errores?, si, en valor absoluto es posible, pero es por que se encuentran más, porque hay tajo donde buscar, pero también mejoran más aprisa, pues se arreglan mayor número de errores antes. Los otros sistemas, pueden tener errores o no tenerlos, nadie lo sabe, y si están y no están arreglados, tampoco se sabe normalmente, hasta..., que salen y nadie los puede parchear.

A mi me parece que lo más llamativo de este caso es "la forma" en que se introdujo el error, de lo cual, además, ya habrán tomado buena nota para que no se vuelva a reproducir, además de que rápidamente, se ha comunicado la forma de arreglarlo y minimizar el impacto.

Nº de fallos

Hola

Lo del nº de fallos del software libre es curioso porque se considera un fallo, desde un problema en firefox a un problema en apache, cuando por ejemplo, en un servidor en producción no suele estar firefox instalado, etc. Aparte, como tu dices, un fallo de seguridad se considera desde el tratamiento de una librería de PNG's a un fallo en kernel.

http://www.awe.com/mark/blog/200805262100.html Ahí tienes un análisis de los fallos de seguridad de RHEL 5 y como algunas tecnologías como Security Enhanced Linux ayudan a que en caso de haber un fallo, no sea explotable.

Saludos
Pablo

--
Pablo Iranzo Gómez
(http://Alufis35.uv.es/~iranzo/)
(PGPKey Available on http://www.uv.es/~iranzop/PGPKey.pgp)
--
Postulado de Boling sobre la Ley de Murphy:

Si se encuentra bien, no se preocupe. Se le pasará