Nierox - El Blog De Todos

Comparando Fedora 9 con Ubuntu 8.04

Junio 7, 2008 – 1:12 pm

En PCWorld crearon una revisión entre estas dos distribuciones y estas fueron las conclusiones:

“Para los usuarios ya familiarizados con Linux, Fedora 9 es una excelente elección. Sus robustas características de seguridad y opciones de instalación lo hacen de alguna manera más versátil que Ubuntu. Para la mayoría, sin embargo, incluyendo a millones interesados en probar Linux por primera vez, a Fedora le falta el acabado y la simplicidad lista-para-usar de su rival más popular”.

“Ubuntu 8.04 ofrece un nivel de funcionalidad comparable al de Mac OS X y Windows, desde su instalación hasta su uso diario. Para usuarios con moderadas necesidades de computación como navegar por la Web, e-mail y creación de documentos básica, Hardy es una opción atractiva”.

Fuente: Vivalinux

Escrito en GNU/Linux, Ubuntu Por Joshua | 1 Comentario » Visto 186 Veces

Entrevista a Jordi Mallach, desarrollador de Debian, sobre el bug de Debian

Junio 5, 2008 – 2:25 pm

Los que ya leyeron sobre el Bug de Debian leean esta entrevista para saber mas sobre el bug, que afecta a todos

¿A quién afecta esto?

El impacto es enorme. La biblioteca libssl de Debian y sus distribuciones derivadas ha estado generando material criptográfico débil durante casi dos años. En Debian la mayoría de la gente ha estado afectada desde el lanzamiento de la última versión, etch, hace un año, pero los usuarios de Ubuntu han estado expuestos al error durante tres versiones.

Debian es bastante popular en ambientes universitarios y entre muchos administradores de sistemas, y Ubuntu es el líder en los usuarios domésticos, con lo que estamos hablando de millones de ordenadores
afectados. Ahora bien, es difícil de estimar cifras concretas porque nadie sabe, ni puede saber a ciencia cierta cuantas instalaciones de Debian o Ubuntu hay en el mundo; existe una opción en ambas
distribuciones, desactivada por defecto, que permite saber de la existencia de esa instalación y la versión de sus paquetes instalados, pero el porcentaje de usuarios que la han activado es ínfima.

Lo más grave es que no sólo los usuarios de Debian deben estar intranquilos. Todos los administradores de servidores con SSH o certificados SSL, sean o no basados en Debian, deberían hacer una comprobación exhaustiva de todos sus certificados SSL y claves SSH en busca de claves vulnerables, porque pueden tener autorizadas claves públicas débiles, que podrían permitir entradas a sus servidores.

Por ejemplo, por la manera que se usan las claves SSH de tipo DSA, no es exagerado decir que *todas* las claves DSA, tanto las generadas en máquinas vulnerables o en máquinas “seguras” deberían considerarse comprometidas y no usarse más. Algunos administradores están recomendando desactivar el soporte para claves DSA y usar sólo RSA a partir de ahora. Y eso no significa que las claves RSA sean seguras. No lo son, si se han generado en sistemas con una libbssl débil.

¿Qué significa para las empresas? ¿A qué peligros las expone?

Básicamente deberán estudiar el uso que hacen de la criptografía en sus sistemas, entender hasta dónde hay riesgos incluso si no usan Debian o Ubuntu e invertir el tiempo necesario en asegurarse de que no están autorizando ninguna entrada insegura en el sistema. De no hacerlo, es más que probable que si tienen servidores afectados accesibles desde Internet, estos acaben infectados por gusanos diseñados para aprovechar esta vulnerabilidad.

¿Y para el resto de usuarios?

Exactamente lo mismo, pero a nivel más local y reducido. Si no toman medidas, en unos meses su ordenador puede convertirse en un «zombie». O un usuario podría conectar a un servidor web supuestamente seguro que use un certificado generado por una versión afectada de OpenSSL. Sería
posible descifrar datos sensibles ya que la parte privada del certificado usado para el cifrado es conocida.

No, este problema va a persistir durante años, porque no basta con actualizar los servidores y aplicar los parches. También hay que, manualmente, comprobar los certificados del sistema y las claves de
SSH de los usuarios para asegurarse de que el sistema no está autorizando entradas con claves débiles. Lamentablemente habrá servidores con esta debilidad en la red durante años, que a buen seguro acabarán siendo controlados por alguna «botnet».

¿Demuestra eso que no hay que fiarse del software desarrollado por voluntarios?

Yo no lo creo. Sí debe servir para que la gente se tome el argumento de «codigo abierto = código auditado» con un poco más de perspectiva: la realidad es que aunque el código está disponible para ser revisado, hay muy poca gente dedicada a auditarlo para encontrar posibles vulnerabilidades. En este caso, Luciano Bello lo encontró por casualidad dos años después de pasar inadvertido por todos los controles.

Con el software privativo, no podemos saber si hay errores de este tipo esperando a ser explotado porque no podemos comprobarlo como ha pasado en este caso, ni ahora ni dentro de dos años. Por otro lado, también se puede analizar la respuesta de Debian, Ubuntu y la comunidad del
software libre frente a este problema. Pese a ser un error mayúsculo, que seguramente dañará la credibilidad y reputación de Debian, creo que la respuesta y el trato que se le ha dado a la situación ha sido totalmente profesional. Desde el primer momento, se ha informado transparentemente de la magnitud del problema y se ha ofrecido toda la información y herramientas para ayudar a los usuarios y administradores a identificar y reemplazar el material criptográfico vulnerable.

Si eso hubiese sucedido en Microsoft, habría cabezas cortadas.

Debian es un proyecto voluntario y evidentemente no va a haber “despidos” ni “expulsiones”. En muchos medios “on-line”, se está haciendo ver que todo el problema viene porque un “novato” tocó un par de líneas de código que no entendía realmente, generando así una especie de apocalipsis criptógráfica. No es tan sencillo; el autor del cambio trató de informarse de la idoneidad y consecuencias del cambio preguntando a los autores de OpenSSL, recibiendo, debido a un cúmulo de
malentendidos, una respuesta positiva. Aunque la responsabilidad final es claramente de Debian, los autores de OpenSSL también han aprendido algunas lecciones y seguramente serán más cuidadosos a la hora de informar correctamente de cómo se puede contactar con ellos para este tipo de consultas, y comentarán los trozos de código tan crítico como este para que quien lo revise sea consciente de lo que supone cambiar una línea.

Dentro del proyecto se es muy consciente de la gravedad del asunto, y a la vez que se tomaban las medidas necesarias para publicar información útil sobre la vulnerabilidad, y se parcheaban y reemplazaban las claves de los servidores internos, la comunidad de desarrolladores ya discutía en los blogs y las listas de correo qué hacer para intentar evitar situaciones como esta en el futuro. Además, esta no es el tipo de piedra en el que se tropieza dos veces. Está claro que las personas que mantienen código de seguridad, criptográfico, etc. irán con pies de plomo y serán mucho más explícitos a la hora de pedir opinión a los autores originales, para que no haya malentendidos como en esta ocasión.

El artículo no podrá ser muy largo, así que tendré que resumir bastante lo que me cuentas. Si te parece bien, cuando haya salido publicado, publicaré yo por mi cuenta la entrevista entera.

He sido “verbose” porque quería explicar muchas cosas, y porque no me han gustado nada algunos calificativos de este incidente por parte de algunos medios (chapuza, ñapa, etc), y por eso quería darte un escrito suficientemente claro sobre este tema. Lo que defiendo es que la cagada por parte de Debian es mayúscula, pero no es fruto de que alguien ha tocado algo que no sabe, ni que Debian va por libre y la caga y tal. Que hay también muchas cosas a corregir en OpenSSL, y que esto puede pasar otras veces en otras distribuciones.

Articulo original: Home of Mercè

Escrito en General Por Joshua | 2 Comentarios » Visto 133 Veces

Un grave fallo en Debian pone en peligro millones de maquinas en internet

Junio 5, 2008 – 2:11 pm

Ahi un grave fallo en la distribucion Debian y sus deribados que afecta nuestra seguridad:

Un error ha provocado que, desde septiembre de 2006, las claves de cifrado generadas con la distribución de GNU/Linux Debian se puedan romper fácilmente. Esto deja millones de máquinas abiertas a los intrusos e inutiliza certificados usados en el comercio y la banca electrónicos. El normalmente cauto SANS Internet Storm Center lo ha calificado de “muy, muy, muy serio y escalofriante”.

Debian es el sistema operativo libre más popular entre los administradores de sistemas. Está hecho totalmente por voluntarios. Hace dos años, al querer solucionar un problema y debido a un malentendido, uno de ellos borró una línea de código del paquete de herramientas OpenSSL del sistema. OpenSSL sirve para generar las claves de cifrado con que se hacen operaciones seguras en Internet.

La línea borrada afectaba a la aleatoriedad de las claves, necesaria para que sean fuertes. Esta quedó tan reducida que hacía muy fácil romperlas y atacar cualquier operación realizada con ellas. Por ejemplo, se podría impersonar el certificado de un banco o una tienda en línea, crear una web falsa y hacer creer a los visitantes que están en la legítima.

O descifrar las comunicaciones entre una web segura y sus clientes y cazar todos los datos que se cruzasen entre ellos. O tener en pocos minutos el control total del servidor de una empresa. O acceder a la Red Privada Virtual de la misma y espiar sus movimientos. O cambiar la configuración de un servidor de nombres de dominio y llevar a la gente donde el atacante quiera.

“El impacto es enorme”, afirma Jordi Mallach, del equipo de desarrolladores de Debian. A las pocas horas de conocerse “El Agujero”, como lo llaman, ya corrían programas maliciosos en Internet para explotarlo. Según Mallach no sería extraño que apareciese un gusano que automatizase este ataque: “Habrá servidores que, a buen seguro, acabarán siendo controlados por alguna “botnet”".

El fallo no es exclusivo de Debian. Afecta también a las distribuciones derivadas de esta, como Ubuntu, la más popular entre usuarios domésticos, y Linex, creada por el gobierno de Extremadura. Tampoco están a salvo otros sistemas, explica Sergio de los Santos, de la consultora Hispasec: “Las claves han podido ser generadas en Debian y después usadas en Windows, ya que los formatos de archivo son estándar. El espectro es virtualmente infinito”.

El gurú de seguridad Bruce Schneier lo ha llamado “el gran lío” y no es para menos ya que no se soluciona aplicando un parche: “Hay que regenerar manualmente las claves, revocar las antiguas, certificarlas, comprobar dónde fueron a parar las inseguras, cambiar contraseñas. Y los usuarios no podemos saber si el administrador del sitio al que nos conectamos lo ha hecho o no”, explica Sergio de los Santos.

Lo paradójico, dice el experto, es que “afecta a quien más se ha preocupado de la seguridad y ha elegido la criptografía asimétrica para autenticarse él y sus usuarios”. Así, velar por la seguridad ha desembocado en uno de los mayores agujeros informáticos de la historia que, añade De los Santos, “no se va a solucionar nunca, los ecos se oirán siempre porque habrá quienes no harán jamás las comprobaciones necesarias”.

Debian ha actuado con celeridad y, a las pocas horas de conocer el error, sacaba los parches y una lista de claves afectadas. Diversas autoridades certificadoras se han ofrecido a certificar las nuevas claves gratuitamente, cuando este servicio cuesta alrededor de 200 euros al año. Esto no ha evitado una lluvia de críticas sobre Debian y la seguridad de los programas libres.

Jordi Mallach defiende: “La respuesta de Debian ha sido totalmente profesional. Desde el primer momento se ha informado con transparencia del problema y se ha ofrecido toda la información y herramientas para solucionarlo”. Pero reconoce que “esto debe servir para que la gente se tome el argumento de ‘código abierto igual a código auditado’ con más perspectiva”.

La lección de este lío es, dice Mallach, que “aunque el código está disponible para ser revisado, hay muy poca gente que lo hace. En este caso, se encontró por casualidad dos años después de pasar inadvertido por todos los controles”. De los Santos añade: “Puede que sean miles de ojos los que “miren”, cosas que dudo, pero muy poco los que “ven”. A efectos prácticos, cuando hablamos de programas tan complejos, pueden llegar a pasar exactamente igual con el código cerrado”.

Preguntas frecuentes sobre el problema critptográfico de Debian
http://www.hispasec.com/unaaldia/3492

Grave problema en Linux afecta la seguridad de Internet
http://www.vsantivirus.com/16-05-08.htm

Aviso de Debian
http://lists.debian.org/debian-security-announce/2008/msg00152.html

Debian and Ubuntu users: fix your keys/certificates NOW
http://isc.sans.org/diary.html?storyid=4420

Random Number Bug in Debian Linux
http://www.schneier.com/blog/archives/2008/05/random_number_b.html

Tenemos que conseguir arreglar este Bug para no estar tan desprotegidos

Fuente: Home of Mercè

Escrito en Debian Por Joshua | Sin Comentarios » Visto 154 Veces

Google Maps en la vida real

Junio 4, 2008 – 8:58 pm

Encontre en FFFFOUND (donde hay muchas imagenes que recomiendo que vean) esta imagen del Google Maps en la vida real jaja

Escrito en Distracciones Por Joshua | 2 Comentarios » Visto 133 Veces

Los amigos de Bill Gates

Junio 4, 2008 – 8:09 pm

¿Quienes son los mejores amigos de Bill Gates?

Control, Alt y Supr.

Control, Alt y Supr.

Fuente: chistes geek

Escrito en Distracciones Por Joshua | 5 Comentarios » Visto 127 Veces

Mas de 100 lectores de feed

Junio 4, 2008 – 6:27 pm

Me acuerdo cuando empeze este blog namas tenia como 10 lectores y nunca llegaban mas lectores hasta que poco a poco fue aumentando hasta que llego a 103 lectores el dia de hoy

Quiero dar las gracias a todos los que estan suscritos al blog y que muchos mas se suscriban a este pequeño blog

Tambien el blog es uno de los mejores segun Bitacoras y Blogalaxia

En Bitacoras estamos en el lugar 7:

En blogalaxia en el lugar 12:

Aver cuanto tiempo duramos en esas posiciones y gracias a todos

Escrito en General Por Joshua | 7 Comentarios » Visto 123 Veces

La filosofia del Open Source

Junio 4, 2008 – 5:17 pm

Este es un interesante post sobre la filosofia del Open Source creado por julian rodrigez

La filosofía del Open Source centra su atención en la premisa de que al compartir el código, el programa resultante tiende a ser de calidad superior al software propietario, es una visión meramente técnica. Por otro lado, el Software Libre funciona bajo un ideal: el software propietario, al no poder compartirse, es antiético dado que prohibir compartir entre seres humanos va en contra de las leyes naturales.

El movimiento Open Source tiene un decálogo que debe cumplir un código para poder llamarse “Open Source” (es de hacer notar que estas 10 premisas son completamente equivalentes con las 4 libertades o principios del Software Libre), éstas son :

1. Libre redistribución: el software debe poder ser regalado o vendido libremente.
2. Código fuente: el código fuente debe estar incluido u obtenerse libremente.
3. Trabajos derivados: la redistribución de modificaciones debe estar permitida.
4. Integridad del código fuente del autor: las licencias pueden requerir que las modificaciones sean redistribuidas sólo como parches.
5. Sin discriminación de personas o grupos: nadie puede dejarse fuera.
6. Sin discriminación de áreas de iniciativa: los usuarios comerciales no pueden ser excluidos.
7. Distribución de la licencia: deben aplicarse los mismos derechos a todo el que reciba el programa
8. La licencia no debe ser específica de un producto: el programa no puede licenciarse solo como parte de una distribución mayor.
9. La licencia no debe restringir otro software: la licencia no puede obligar a que algún otro software que sea distribuido con el software abierto deba también ser de código abierto.
10. La licencia debe ser tecnológicamente neutral: no debe requerirse la aceptación de la licencia por medio de un acceso por clic de ratón o de otra forma específica del medio de soporte del software.