«#apt-get install libertad» Wallpaper

Fuente | Maqndon

Anuncio publicitario

Tremendo agujero en Debian y derivados

Hoy me escribió elfio un mail para avisarme del bombazo de noticia (sin duda la noticia del día) del que además esta tarde han comentado en clase de Criptografía.

El fallo en cuestión compromete la seguridad de millones de máquinas, ¡ DESDE HACE MÁS DE 2 AÑOS !

Un error ha originado que, desde septiembre de 2006, las claves de cifrado generadas con la distribución de GNU/Linux Debian se puedan romper fácilmente. Esto deja millones de máquinas abiertas a los intrusos e inutiliza certificados usados en el comercio y la banca electrónicos. El normalmente cauto SANS Internet Storm Center lo ha calificado de «muy, muy, muy serio y escalofriante».

Debian es el sistema operativo libre más popular entre los administradores de sistemas. Está hecho totalmente por voluntarios. Hace dos años, al querer solucionar un problema y debido a un malentendido, uno de ellos borró una línea de código del paquete de herramientas OpenSSL del sistema. OpenSSL sirve para generar las claves de cifrado con que se hacen operaciones seguras en Internet.

La línea borrada afectaba a la aleatoriedad de las claves, necesaria para que sean fuertes. Esta quedó tan reducida que hacía muy fácil romperlas y atacar cualquier operación realizada con ellas. Por ejemplo, se podría alterar el certificado de un banco o una tienda, crear una web falsa y hacer creer a los visitantes que están en la legítima, o descifrar las comunicaciones entre una web segura y sus clientes y cazar los datos que se cruzasen, o tener en pocos minutos el control total del servidor de una empresa, o acceder a su red privada virtual y espiar sus movimientos, o cambiar la configuración de un servidor de nombres de dominio y llevar a la gente donde el atacante quiera.

«El impacto es enorme», afirma Jordi Mallach, del equipo de desarrolladores de Debian. A las pocas horas de conocerse el agujero, como lo llaman, ya corrían programas maliciosos en Internet para explotarlo. Según Mallach no sería extraño que apareciese un gusano que automatizase este ataque: «Habrá servidores que, a buen seguro, acabarán siendo controlados por alguna botnet».

El fallo no es exclusivo de Debian. Afecta también a las distribuciones derivadas de esta, como Ubuntu, la más popular entre usuarios domésticos, y Linex, de Extremadura. Tampoco están a salvo otros sistemas, explica Sergio de los Santos, de Hispasec: «Las claves han podido ser generadas en Debian y después usadas en Windows, ya que los formatos de archivo son estándar. El espectro es infinito».

El gurú de seguridad Bruce Schneier lo ha llamado «el gran lío» y no es para menos, ya que no se soluciona aplicando un parche: «Hay que regenerar manualmente las claves, revocar las antiguas, comprobar dónde fueron a parar las inseguras, cambiar contraseñas. Y los usuarios no podemos saber si el administrador del sitio al que nos conectamos lo ha hecho», explica De los Santos.

Lo paradójico, dice el experto, es que «afecta a quien más se ha preocupado de la seguridad y ha elegido la criptografía asimétrica para autentificarse él y sus usuarios». Así, velar por la seguridad ha desembocado en uno de los mayores agujeros informáticos de la historia que, añade De los Santos, «no se va a solucionar nunca; los ecos se oirán siempre porque habrá quienes no harán jamás las comprobaciones necesarias».

Respuesta rápida

Debian ha actuado con celeridad. A las pocas horas de conocer el error sacó los parches y una lista de claves afectadas. Diversas autoridades certificadoras se han ofrecido a certificar las nuevas claves gratuitamente, cuando el servicio cuesta 200 euros al año. Esto no ha evitado una lluvia de críticas sobre Debian y la seguridad de los programas libres.

Mallach defiende: «La respuesta de Debian ha sido totalmente profesional. Desde el primer momento se ha informado con transparencia del problema y se ha ofrecido toda la información y herramientas para solucionarlo». Pero reconoce: «esto debe servir para que la gente se tome el argumento de ‘código abierto igual a código auditado’ con más perspectiva. Aunque el código está disponible para ser revisado, hay muy poca gente que lo hace. En este caso, se encontró por casualidad dos años después de pasar inadvertido por todos los controles».

HISPASEC: http://www.hispasec.com/unaaldia/3492 DEBIAN: http://lists.debian.org/debian-security-announce/2008/msg00152.html

Fuente: El País (gracias elfio!)

salu2!

Arte «con carpetas»

Tremendo el post que comparte mi colega Juanje desde su blog, en el nos deja alguna obra de arte construida a base de carpetas en el escritorio. Para que no haya peleas, existen 3 versiones: Windows, Mac y Fedora (para mi la mejor imagen con diferencia al recordar el Día del tentáculo).

Aqui os dejo las imágenes, no tienen desperdicio 🙂

Spider-cerdo en MAC OS X Leopard

Ren y Stimpy en Windows XP

Purple Tentacle en Fedora Linux

No pudieron con Ubuntu

Quizás sea la noticia más leida del día, pero quería comentarla por si algún despistado no la ha leido aún.

La noticia es sin duda una alegría para todos los usuarios de los sistemas GNU/Linux, y sirve además para confirmar a aquellos excépticos que realmente unas de las grandes bazas de este sistema operativo es la seguridad y la estabilidad.

Cada día me gusta más ser usuario de Ubuntu 🙂 Aquis os dejo la noticia.

Concluyó el desafío “PWN 2 OWN” de la conferencia CanSecWest, que tenía U$S 20.000 en premios para repartir entre quienes pudieran hackear primero una MacBook Air con Mac OS X 10.5 “Leopard”, una laptop Fujitsu U810 con Windows Vista Ultimate SP1 y una Sony VAIO VGN-TZ37CN con Ubuntu 7.10, todas actualizadas con sus últimos parches de seguridad disponibles

• La primera en ser hackeada fué la MacBook Air, gracias a un exploit todavía no corregido en su navegador Safari. Charlie Miller, quién logró hackearla al segundo día del concurso, se llevó U$S 10.000 y la flamante nueva portátil de Apple.

• La segunda en ser hackeada fue la Fujitsu, aparentemente, por un bug multiplataforma en Java, que también podría afectar a los otros 2 sistemas operativos. Shane Macaulay, el hacker del Windows Vista Ultimate SP1, ganó U$S 5.000 y se llevó la laptop Fujitsu a su casa.

•  Al terminar el concurso, la Sony VAIO con Ubuntu permanecía imbatible, a pesar de que algunos de los 400 asistentes al evento encontraron errores en su sistema operativo Linux, nadie pudo explotarlos o no quisieron ponerse a trabajar en programar el código necesario para hackearlo.

• Miller, el primer ganador, dijo que eligió hackear primero la Mac porque pensó que sería un objetivo más fácil. Macaulay, el segundo ganador, no quiso discutir esa afirmación.

fuente: VivaLinux 

salu2!

Imprime, exportando en PDF, desde Ubuntu

Imagino que todos conoceréis las impresoras virtuales que son capaces de exportar lo que se quiere imprimir a PDF. Para los que no lo hayan manejado nunca, deciros que con estas impresoras, podemos exportar a PDF desde cualquier programa que tenga soporte de impresión que son prácticamente todos: Firefox (si queremos exportar una web a pdf), The Gimp, editor de textos, cualquier IDE de programación etc etc etc.

Bueno vamos a instalarnos en Ubuntu nuestra impresora virtual exportadora a PDF, para ello, usaremos cups-pdf. Para instalarlo, desde un terminal escribimos lo siguiente:

$ sudo apt-get install cups-pdf

Reiniciamos el servicio de impresión:

$ sudo /etc/init.d/cupsys restart

Ahora nos vamos a Sistema > Administración > impresoras y añadimos una nueva impresora, de tipo PDF, de tipo genérico y drivers Generic PDF File, tal y como os muestro en la siguiente imágenes:

Ya lo tenemos! Ahora desde cualquier programa con soporte de impresión, le damos a imprimir y seleccionamos la nueva impresora virtual.

vale, he imprimido, pero……. ¿Donde se guardan los archivos PDF creados? Pues muy fácil, en tu directorio home se habrá creado una carpeta PDF, allí están. 🙂

salu2!!

Gráfico – Guerra de Software

 Acabo de descrubrir una web, mshiltonj.com, desde la que la puntualmente actualizan un mapa o gráfico denominado «Software War», donde se enfrentan software y sistemas operativos privativos y software bajo licencias open source y software libre.

Otros mapas más antiguos:

• January 26, 2006
• 2003
• February, 2002
• October, 2000
• May, 2000
• September, 1999
• January, 1999
• August, 1998
• May, 1998
• March, 1998

Poster gigante: Anatomía de un sistema Linux

Impresionante el material que os traigo 🙂

Se trata de un poster gigante en formato pdf, donde junto a la imagen anterior, se detalla un poco la función de cada componente, aplicaciones más conocidas, lenguajes de programación, etc. Mejor verlo para hacerse una idea.

Ya solo me falta encontrarme un buen sitio donde imprimirme la imagen y que no me desplumen en el intento.

Visto en: Anatomy of a Linux System (en inglés)

salu2!!

Distribuciones Linux en la línea del tiempo

Al estilo de la Web con la Historia de Unix que ya comentamos hace tiempo, este grafo muestra la evolución de todas las distribuciones Linux desde el año 1993 hasta el pasado 2007.

Es curioso ver de donde nace cada distribución y como ha ido expandiéndose.

salu2!!

Sabores Linux

¿Porqué un pingüino?

El pingüino logotipo/mascota de Linux se debatió a principios de 1996 por varios desarrolladores de linux-kernel mailing list, aunque la idea de esta mascota vino de Alan Cox en primer lugar. Entre las muchas sugerencias para este logotipo, vinieron tiburones, águilas, etc…

En algún momento parece que Linus Torvalds casualmente, mencionó su afición por los pingüinos mediante un correo electrónico, ¡aqui teneis el mensaje original!.

Parece que también en una entrevista para el Australian Unix Users Group, Linus comenta más acontecimientos sobre su relación con los Pinguinos,

“He estado varias veces en Australia, principalmente para Linux.Conf.Au… pero en mi primer viaje, fue cuando fui picoteado por un Pingüino ferozmente… esto fue por el año 93 o algo así”…

¿Qué significa TUX?

James Hughes fue la primera persona en llamar al pingüino “Tux”, quien dijo que su nombre venía de “(T)orvalds (U)ni(X)”.

 Tux = “(T)orvalds (U)ni(X)”.

Tux nació en un concurso de logotipos de Linux… de hecho hay mucha confusión en esto, ya que realmente fueron tres los concursos en busca del logotipo de Linux, y parece ser que Tux no gano ninguno de ellos, es esta la razón por la que Tux es oficialmente conocido como la mascota de Linux, no el logotipo.

Larry Swing fue el creador de Tux, que como es de esperar se diseño bajo Linux y la versión 0.54 de GIMP.

Otras curiosidades dignas de mencionar de Tux son:

– Aparentemente este Pingüino no pertenece a ninguna de las 19 especies que existen, pero si tiene un parecido a Adelie penguin, y es vestido o retratado de manera diferente según el contexto… para parches de seguridad del Kernel, lleva casco, los ojos rojos y un hacha en la mano.

– Durante el COMDEX del 1999 se le preguntó a Linux si tená idea de cuantos pinguinos de peluche se le habían enviado a Hill Gates, en el que respondió con otra pregunta.. ¿Cerca de mil?.

– El tatuaje de Tux se conoce también como “Tuxtoo”.

– Otro uso sin crédito de Tux se puede ver actualmente en dunk the scammer, donde el diseño aparentemente intenta asociar a Tux como símbolo de la delincuencia en Internet.

Fuentes: Linux Screw, NoticiasTech