Tremendo agujero en Debian y derivados

Hoy me escribió elfio un mail para avisarme del bombazo de noticia (sin duda la noticia del día) del que además esta tarde han comentado en clase de Criptografía.

El fallo en cuestión compromete la seguridad de millones de máquinas, ¡ DESDE HACE MÁS DE 2 AÑOS !

Un error ha originado que, desde septiembre de 2006, las claves de cifrado generadas con la distribución de GNU/Linux Debian se puedan romper fácilmente. Esto deja millones de máquinas abiertas a los intrusos e inutiliza certificados usados en el comercio y la banca electrónicos. El normalmente cauto SANS Internet Storm Center lo ha calificado de «muy, muy, muy serio y escalofriante».

Debian es el sistema operativo libre más popular entre los administradores de sistemas. Está hecho totalmente por voluntarios. Hace dos años, al querer solucionar un problema y debido a un malentendido, uno de ellos borró una línea de código del paquete de herramientas OpenSSL del sistema. OpenSSL sirve para generar las claves de cifrado con que se hacen operaciones seguras en Internet.

La línea borrada afectaba a la aleatoriedad de las claves, necesaria para que sean fuertes. Esta quedó tan reducida que hacía muy fácil romperlas y atacar cualquier operación realizada con ellas. Por ejemplo, se podría alterar el certificado de un banco o una tienda, crear una web falsa y hacer creer a los visitantes que están en la legítima, o descifrar las comunicaciones entre una web segura y sus clientes y cazar los datos que se cruzasen, o tener en pocos minutos el control total del servidor de una empresa, o acceder a su red privada virtual y espiar sus movimientos, o cambiar la configuración de un servidor de nombres de dominio y llevar a la gente donde el atacante quiera.

«El impacto es enorme», afirma Jordi Mallach, del equipo de desarrolladores de Debian. A las pocas horas de conocerse el agujero, como lo llaman, ya corrían programas maliciosos en Internet para explotarlo. Según Mallach no sería extraño que apareciese un gusano que automatizase este ataque: «Habrá servidores que, a buen seguro, acabarán siendo controlados por alguna botnet».

El fallo no es exclusivo de Debian. Afecta también a las distribuciones derivadas de esta, como Ubuntu, la más popular entre usuarios domésticos, y Linex, de Extremadura. Tampoco están a salvo otros sistemas, explica Sergio de los Santos, de Hispasec: «Las claves han podido ser generadas en Debian y después usadas en Windows, ya que los formatos de archivo son estándar. El espectro es infinito».

El gurú de seguridad Bruce Schneier lo ha llamado «el gran lío» y no es para menos, ya que no se soluciona aplicando un parche: «Hay que regenerar manualmente las claves, revocar las antiguas, comprobar dónde fueron a parar las inseguras, cambiar contraseñas. Y los usuarios no podemos saber si el administrador del sitio al que nos conectamos lo ha hecho», explica De los Santos.

Lo paradójico, dice el experto, es que «afecta a quien más se ha preocupado de la seguridad y ha elegido la criptografía asimétrica para autentificarse él y sus usuarios». Así, velar por la seguridad ha desembocado en uno de los mayores agujeros informáticos de la historia que, añade De los Santos, «no se va a solucionar nunca; los ecos se oirán siempre porque habrá quienes no harán jamás las comprobaciones necesarias».

Respuesta rápida

Debian ha actuado con celeridad. A las pocas horas de conocer el error sacó los parches y una lista de claves afectadas. Diversas autoridades certificadoras se han ofrecido a certificar las nuevas claves gratuitamente, cuando el servicio cuesta 200 euros al año. Esto no ha evitado una lluvia de críticas sobre Debian y la seguridad de los programas libres.

Mallach defiende: «La respuesta de Debian ha sido totalmente profesional. Desde el primer momento se ha informado con transparencia del problema y se ha ofrecido toda la información y herramientas para solucionarlo». Pero reconoce: «esto debe servir para que la gente se tome el argumento de ‘código abierto igual a código auditado’ con más perspectiva. Aunque el código está disponible para ser revisado, hay muy poca gente que lo hace. En este caso, se encontró por casualidad dos años después de pasar inadvertido por todos los controles».

HISPASEC: http://www.hispasec.com/unaaldia/3492 DEBIAN: http://lists.debian.org/debian-security-announce/2008/msg00152.html

Fuente: El País (gracias elfio!)

salu2!

Anuncio publicitario

Los Goonies: Antes y Después

Sin duda una de mis películas favoritas de todos los tiempos, tiene algo mágico.

Acabo de encontrar una imagen cuando menos curiosa con los proteagonistas de la peli unos 20 años después.

Mejor no pararse a pensar como pasa el tiempo 🙂

salu2!!

Wallpapers molones

Me gustaron bastante estos wallpapers y quería compartirlos con vosotros. La mayoría son Widescreen pero hay alguno que no 🙂

Pack Elementary, de lo mejor que he visto

Hace tiempo os hablé de los iconos Elementary. Eran muy buenos salvo pequeños detallitos (como los iconos del Network Manager que eran los iconos por defecto del sistema).

Pues bien, hoy me dio por mirar si se actualizaron y ¡vaya si se han actualizado! Actualmente van por la versión 1.7 y yo me quedé en la 1.0, esta nueva y última versión es una auténtica maravilla.

Y no solo iconos, sino que el creador de los iconos nos deja además el Tema GTK Elementary y el Tema AWM Elementary. Tan solo he probado el tema GTK, pero debo decir que junto con los iconos dejan el sistema realmente bien 🙂

Aqui una captura usando todos los elementos (original del creador)

TODOS los recursos podéis encontrarlos en la web que se ha creado para el proyecto «Elementary Project«, espero que sigan mejorando así de bien.

salu2!

$ apt get-install wife

Ví esta genial tira en Cesarius Revolutions

GNU/Linux y los Virus: No sólo cuestión de popularidad

La poca difusión de Linux es obviamente un motivo de que no haya virus, pero no es el único motivo.

Supongamos que alguien hace un virus para Linux, que no pretende obtener privilegios de root y se conforma con los del usuario: podría hacer lo que quisiera excepto infectar programas. Hasta aquí bien. Inconvenientes…

1. Hay muchas distribuciones diferentes y costaría un poco que el virus funcionara en todas pero digamos que se centan en las principales, sobre todo Ubuntu, viene el segundo problema:
2. Eliminar un virus de windows puede ser una pesadilla. El virus toma el control en tal forma que los antivirus y eliminadores no funcionan. Hay que arrancar desde un diskette o CD pero en ese caso el virus puede aprovechar las “características de protección” de windows para dificultar la tarea. Incluso lograr eliminarlo no es ninguna garantía porque podría quedar algún disparador que lo reinstale al volver a arrancar. Y para colmo, los eliminadores de virus sólo eliminan virus conocidos. Contra un virus nuevo no hay NINGUNA solución. Lo más práctico suele ser formatear y reinstalar.En cambio en Linux el virus sólo puede estar en un lugar: el home del usuario. Ante cualquier problema basta con crear un usuario nuevo para tener en segundos un sistema totalmente funcional y libre de virus. No importa qué virus sea o si es conocida su manera de actuar o no. Un usuario diferente no puede estar infectado, se crea uno o se cambia a otro existente y problema solucionado en 10 segundos. Después se puede recuperar los documentos que sean necesarios. Una diferencia muy grande comparado con las horas o hasta dias que puede tomar solucionar un problema de virus en windows… pero igual quien sabe lo que podrían inventar los atacantes en el futuro, podría ser que el usuario fuera tan tonto lograra volver a infectarse pronto, así que:
3. La seguridad que estamos usando en Linux actualmente es bastante relajada. No estamos, ni de lejos, ajustando la seguridad al máximo. Lo primero que se podría hacer es quitar el permiso de ejecución al home de los usuarios. Bastaría con que el /home estuviera en una partición diferente para poder montarla con el flag “noexec” y listo. Pueden traer lo que quieran en una memoria USB que no podrán ejecutar nada. El único riesgo serían javascripts en navegadores y scripts en documentos. Implementar eso nos tomaría minutos y con seguridad nos daría unos cuantos años más de tranquilidad respecto de los virus. Pero imaginemos un mundo donde casi todo el mundo usara Linux y los que hacen virus, ahora flacos y hambrientos, decidieran dar lo mejor de sí para atacarnos. Bien podrían hacer un javascript que mandara spam, por ejemplo. Entonces:
4. Siempre nos queda el recurso de irnos a seguridades mucho más avanzadas, ya presentes en el núcleo de Linux desde hace años pero casi siempre innecesarias. Podríamos activar SELinux. Eso dejaría fuera de combate hasta a los javascripts, ya que podríamos fácilmente prohibir al browser cualquier conexión que no sea http o https. Esto no es comparable a los “seudo-firewalls” para windows ya que en el caso de Linux la seguridad está embebida en el mismo núcleo, y no sólo controla paquetes tcp/ip sino todo tipo de actividades de los programas, incluso cosas tan inofensivas como listar el contenido el disco. Es más, el activar SELinux nos protegería incluso ante fallos de seguridad en los programas, ya que en este punto se vuelve irrelevantes los permisos del usuario. Podríamos publicar en internet la clave del root y aún así seguir tranquilos.

Como se ve, Linux nos resultará seguro por muchos años más, y a diferencia de windows, la carrera de la seguridad en Linux la tenemos ganada antes de empezar porque partimos desde una posición mucho más ventajosa que los atacantes. Les llevamos de lejos la delantera y aún si no progresáramos NADA en muchos años, la seguridad nos serviría perfectamente.

Obviamente se progresa y mucho, así que la gran ventaja que llevamos se mantendrá y hasta podría aumentarse si viéramos que la situación es preocupante. Para el día que tengamos que preocuparnos porque no nos alcance SELinux, seguro que tendremos alternativas suficientes.

Fuente: El signo de los Cuatro y Kriptópolis

Elegante Wallpaper

Sencillo y limpio. Este wallpaper queda de lujo con el theme de Ubuntu Studio

salu2!

Gracias Beta-testers!

Quería agradecer a todos los que me estáis ayudando con mi proyecto. Habéis detectado numerosos errores que he ido corrigiendo, alguno de ellos eran graves y otros no tanto.

He subido al servidor de pruebas una nueva versión que entre otras cosas corrige:

– Ahora la indexación es más eficiente y recoge noticias con muchísima mayor frecuencia y eficacia.

– Las categorías relacionadas a la categoría actual visitada tienen más sentido, antes salía una lista monstruosa donde algunas no tenían nada que ver. Gracias Javi por el aviso.

Por otra parte sigo sin encontrar un nombre para el proyecto, me han propuesto algunos como BlogHunta (algo así como imitando a «Cazador de blogs» uniendo Blogs y Hunter) que no estaban mal, pero sigo seco de ideas y acepto TODAS vuestras sugerencias y críticas 🙂

Un saludo, y lo dicho ¡MIL GRACIAS por la AYUDA!

Video: GNU/Linux VS Window$

Gracias a Ciskod por el genial video!

Screenlet basado en Conky

Desde hace tiempo tenía ganas de instalarme conky, lo había visto en varios pantallazos de escritorios por la red pero a la hora de instalar vi que había que saber un poco para configurar el programa.

Hoy me dió por probar la versión de screenlets que está disponible a día de hoy para Hardy Heron:

$ sudo apt-get install screenlets

Y me encuentro con varios screenlets que no había visto nunca, entre ellos un sysmonitor o monitor del sistema que está basado en conky en cuanto a interfaz y aspectos a mostrar.

Si no tenéis ganas de configurar conky o bien tenéis los screenlets andando y preferís tenerlo todo desde una misma aplicación, podéis probarlo así. Aqui os dejo una capturilla del resultado.

Salu2!