Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

La Nación: El Desastre Debian nos afectará por años.

Comentario del editor (Joel Barrios): ¡Hagamos campaña por informar y para regenerar llaves públicas!

Un artículo en el diario La Nación, de Argentina, dice que pasarán muchos años antes de que se olvide el incidente en la comunidad del software libre. Será imposible determinar hasta donde llegarán las consecuencias del denominado Desastre Debian. El artículo menciona que lo único que se puede rescatar, e incluso aplaudir, es que se hizo público y jamás se ocultó, como es algo que si suele ocurrir con el software propietario.

Para resumir el incidente, durante un año y ocho meses quienes utilizaron Debian estuvieron creando llaves públicas inseguras, debido a que dos líneas de código fueron eliminadas en OpenSSL y que crearon vulnerabilidad en el generador de números seudoaleatorios haciendo que se se empezaron a utilizaran como semillas los identificadores de proceso (PID). Debido a que en Linux sólo puede haber 32,768 identificadores de proceso, el número de semillas disponibles para generar números al azar se volvió ridículamente bajo. Como el algoritmo que se usa para producir números al azar es conocida, teniendo esto en cuenta y las posibles semillas, es fácil adivinar el cifrado resultante.

De acuerdo al autor del artículo, Ariel Torres, el Desastre Debian no afectará solo a Debian mismo, sino que alcanza a cualquier sistema donde algún administrador usuario de Debian haya puesto una llave pública.

Ariel Torres opina que el hecho de que la distribución de GNU/Linux más respetada haya quedado asociada a un desastre de seguridad informática es motivo de preocupación. Sin embargo el incidente deja varias lecciones para meditar y evitar que se repitan los mismos errores. A nadie conviene que desparezca el Software Libre, ni siquiera a sus opositores.Todo es una simple ecuación económica. Un estudio de la Universidad del Rey Juan Carlos, de Madrid, España, llegó a la conclusión de que si las 283 millones de líneas de código de Debian fueran propiedad de una compañía privada, estas habrían costado alrededor de 5400 millones de euros.

Fuente: La Nación.


Atención: Salvo que se indique lo contrario, la licencia del texto de este documento es Creative Commons Reconocimiento 2.5, mediante la cual usted tiene permitido copiar, modificar, comunicar y distribuir el contenido de este texto, de manera total o parcial, y publicarlo o difundirlo en cualquier otro sitio de Internet o medio de comunicaciòn, siempre y cuando incluya o cite (1)el nombre de este sitio de Internet, (2)enlace permanente de este documento, (3)nombre del autor y (4)la misma licencia de distribución.

Opciones: Imprimir | Recomendar | Enlace permanente

Twitter Facebook Google Bookmarks Bitacoras.com Wikio Menéame Technorati Bloglines Digg Yahoo Buzz

Seguimientos (Trackback)

URL de seguimiento para esta entrada:
http://www.alcancelibre.org/trackback.php/20080604135211790
  • La Nación: El Desastre Debian nos afectará por años.
  • 3comentarios
  • Crea cuenta nueva
Agregar comentario

Los siguientes comentarios son de la persona que los haya enviado. Este sitio se deslinda de cualquier responsabilidad respecto de las opiniones expresadas por los participantes en nuestros foros y secciones de comentarios, y el hecho de publicar las mismas no significa que se esté de acuerdo con éstas.

  • La Nación: El Desastre Debian nos afectará por años.
  • Escrito por:Xcause el  05/06/2008, 01:11
esto tiene algo que ver con lo que una vez...con unos hacker's que se metieron a los servidores de debian, en los depositorios y entremezclaron paquetes con codigos maliciosos para los servidores basados en debian?
cada vez que se actualizaban pasaba su gran asaña?, que las firmas de los paquetes eran aun asi los orginales, sin embargo estaban infectados? 
segun que esto era un gran ejemplo de que "nada es seguro apesar de lo que hagan siempre habra algo que se pueda romper en seguridad"?



  • La Nación: El Desastre Debian nos afectará por años.
  • Escrito por:Samuel el  05/06/2008, 05:55
No tiene nada que ver lo que comentas. Con respecto al problema que se menciona en la nota, pues si el fallo de seguridad es grave, no se si tan grave como el del kernel de Linux ocurrido recientemente. Pues el fallo en Openssl afecta todos los servicios que utilicen claves y certificados generados por OpenSSL desde la versión 0.9.8c-1.  El fallo afecta solo a Debian y derivados porque en Debian realizan modificaciones a las aplicaciones o paquetes con el fin de mejorarlas comunicándole las mejoras a los desarrolladores de la aplicación para la mejoría de las mismas. En este caso no fue mejoría sino todo lo contrario. Y como las distribuciones basadas en Debian toman los paquetes de esta pues también resultaron afectados.

Aunque con una simple actualización (aptitude upgrade) se corregía el problema sustituyendo automáticamente todas las claves afectadas de todos los servicios. La verdad es que estuvieron desprotegidos todo este tiempo sin saberse todos los servicios que corrían esta versión de Openssl. 

---
Debian la mejor distro. La mayor recopilación de paquetes disponibles con un simple "aptitude install paquete".

  • La Nación: El Desastre Debian nos afectará por años.
  • Escrito por:Joel Barrios Dueñas el  07/06/2008, 00:31
Lo que si es un hecho es que muchos no se han enterado aún. Algunos apenas se enteraron ahora que lo comentamos de nuevo. Probablemente otros tantos se enterarán después. No es que desde ya haya gente tratando de craquear servidores con llaves generadas desde Debian, pero si será una molestia por algún tiempo. Como una cascara de maíz palomero que se queda atorado entre las muelas.

---
--
Joel Barrios Dueñas.
Director General Alcance Libre, A.C.
http://www.AlcanceLibre.org/
La libertad del conocimiento al alcance de quien la busca.