La criptografía en Debian ha sufrido un grave revés. Se ha descubierto que el generador de números aleatorios del paquete OpenSSL de Debian es predecible.

El fallo fue introducido en la versión OpenSSL 0.9.8c-1 de septiembre de 2006. Al intentar solucionar un código aparentemente incorrecto con la herramienta Valgrind, se eliminó por error una línea crucial para el sustento entrópico de OpenSSL que nada tenía que ver. Se eliminaron más líneas de código de la cuenta. Valgrind es un programa que detecta y alerta sobre el uso de memoria no inicializada (lo que sería un fallo en cualquier otra aplicación) pero en OpenSSL es legítimo porque se utiliza para ganar entropía. Un claro ejemplo de lo peligroso de intentar solucionar un fallo sin entender completamente el problema, y de introducir cambios no supervisados en este caso, por los desarrolladores oficiales de OpenSSL.

A efectos prácticos, se podría deducir la clave privada a partir de la pública de los usuarios, con lo que la criptografía asimétrica, usada en SSL y SSH por ejemplo, deja de ser fiable para la autenticación y para la confidencialidad. Cualquier clave pública o firma, generada por esa versión de OpenSSL en Debian en los últimos dos años... pasa a ser sospechosa y vulnerable.

Incluso Debian, como medida preventiva, ha deshabilitado el acceso SSH a sus sistemas centrales. El problema para los administradores de un servidor público con SSL no es pequeño. Los administradores, para empezar, deben tener conocimiento de este desastre. Después, regenerar la clave para que tenga la fortaleza que debe. Y por último, volver a certificarlas, con el coste económico que conlleva según el certificador.

Aunque el problema es específico de Debian, puede arrastrar a las numerosas distribuciones basadas en ella. Pero además, puede salpicar a cualquier distribución donde se hayan importado claves débiles. Las claves afectadas son las usadas en SSH, OpenVPN, DNSSEC, claves utilizadas en certificados X.509 y para conexiones SSL/TLS. Las claves generadas con GnuPG o GNUTLS no se ven afectadas porque no usan OpenSSL.


Este problema crea un precedente peligroso para el mito de la seguridad a través de Linux, especialmente porque Debian es la distribución más rigurosa al momento de analizar y liberar sus paquetes de actualización, además posee una de las comunidades más activas. Con todo, a pesar de contar con todas las características que, en teoría, garantizarían que el código sea rigurosamente revisado (una de las cualidades del software libre sobre el comercial o cerrado) este error estuvo en sus sistemas por casi 2 años.

Personalmente esto no me hace cambiar de opinión sobre el software libre, además yo nunca he creído que sea invulnerable o no esté sujeto a errores pero sí creo que es más seguro que Windows. Espero que a los seguidores excesivamente "entusiastas" del software libre les haga reflexionar y moderar en sus expectativas.

Por otro lado, lamentablemente ya se escuchan a algunos usuarios de linux anunciando que dejarán de usar Debian; medida por demás precipitada porque una mancha no puede echar por tierra años de grandes aportes que ha hecho esta distribución, no olvidemos que Ubuntu no sería posible sin Debian

Fuentes (1) (2) (3)

Un fallo muy fuerte y muy jodedor el cual pudo acarrear miles de pérdidas así como accesos no autorizados.

Aunque como mencionas, mucha gente comenta que ya no usarán Debian si al caso vamos yo no usaría ninguna distribución de Linux porque a fin de cuentas, todas las distribuciones hacen sus retoques aquí o allá al código original así que nadie se salva de un error de este tipo; claro, no trato de excusar la falla porque ciertamente me parece que hubo mucha irresponsabilidad.

Quizá esta falla haga reflexionar a los manetenedores de Debian y ahora auditen de una forma más exaustiva su código; pero lo hecho hecho está y ya mucha gente firmó su retirada de utilización de Debian algo sin duda alguna muy malo para la comunidad de Debian.

Yo seguiré con este sistema probablemente hasta que me aburra de él o consiga algo mejor, pero por ahora sigue siendo mi distro preferida.


Salu2

que tonteria, Debian por una falla no deja de ser un distro de hierro. Hay peores y mas errores en Windows y sus usuarios ni se quejan.

Para los que usamos Ubuntu esto podria sonar alarmante, pero conociendo a la comunidad Linux, el error tal vez se arreglado pronto.

De hecho el error fue arreglado a penas fue anunciado pero en este caso el problema no es solamente que fue solucionado de una vez sino que estuvo ahí 2 años y nadie se dio cuenta.

Sería difícil pensar que absolutamente nadie se haya dado cuenta, probablemente alguien sabía de la falla y no quiso decir nada para poder explotar la vulnerabilidad y así obtener mucho dinero.

Otra de las cosas es que para poder arreglar el fallo no solo basta con actualizar el paquete openssh sino también hay que regenerar todas y cada una de las llaves creadas en el servidor el cual, probablemente sean muchas, algo que sin duda es una completa "joda" hacer a mano una por una.

Fallos así son difíciles de tratar por algunos usuarios que lo que buscan es confiabilidad y creo que esto genenerará desconfianza entre muchos usuarios (incluyendome a mi). Soy de los que cree que realmente Linux como sistema para servidores no es tan bueno como mencionan.

La mayoría de usuarios de Ubuntu son usuarios domésticos y dudo que realmente les importe. También dudo que alguien que verdaderamente sepa de sistemas vaya a instalar Ubuntu en un servidor. Debian por otro lado es una distribuciones más famosas por su confiabilidad en servidores, por eso este error y cómo se generó es un golpe duro para el sistema y su comunidad.




Salu2

guenas



razones para pasarse a DEBIAN...

Debian -- Acerca de Debian

El sistema operativo GNU

Why Linux is better

Parece que no entendemos la gravedad del error, cuando una distribución como Debian no es capaz de generar claves de seguridad ¿de qué fortaleza estamos hablando? ¿es hierro o mantequilla?. Y pensar que todo comienza con un error insignificante originado por el borrado de una línea de código.

Las ventajas del software libre en cuestiones de seguridad parte de la premisa de que el código está "a la vista", de manera que todos pueden revisarlo y detectar errores. Una comunidad enorme garantiza que la revisión será escrupulosa y estricta.

Pero en este caso se revela un problema de este enfoque, en realidad no siempre son muchos ojos los que revisan el código, sea porque la mayoría es voluntaria o porque sencillamente los que participan no siempre tienen los conocimientos necesarios para realizar una buena revisión. Además, con todas las bondades de la revisión comunitaria del código al final las decisiones terminan en el individuo porque alguien finalmente tiene que decidir qué líneas quedan y cuáles salen del código.

Según tengo entendido Kurt Roeckx, el presunto responsable, estuvo 4 meses antes del estropicio comentando si la eliminación de la línea del código dañaría la aleatoriedad de la generación de claves... pero nadie le dió una respuesta concreta, es más en beneficio de la depuración le sugirieron que podrían borrarlas (quitándose la responsabilidad) al final Kurt lo hizo con los resultados por todos conocidos.

Otra cosa que siembra dudas es que algunos se preguntan si era posible que un error de esas proporciones estuviera dos años sin que nadie dijera nada ¿no será que algunos sí se dieron cuenta y lo aprovecharon? Cuando leí esto me pareció que era un argumento demasiado malicioso pero en nuestro mundo cosas así no puede descartarse completamente.

Finalmente, el error fue resuelto, como siempre ocurre en el software libre, lamentablemente en este caso no basta actualizar el software... nada de escribir algunas palabritas en el terminal sino que hay un trabajote posterior que desanima a cualquiera.

Reitero que este grave incidente no significa que Debian haya dejado de ser una de las distribuciones más seguras de Linux (sino la más segura de todas). Lo que se cuestiona es precisamente esa fe casi ciega que algunos le tienen al modelo del software libre, que será mejor en mucho aspectos que el software comercial pero al que también pueden colarse errores monumentales como este.

De hecho creo sacar a relucir frases como "Windows es peor", "estas cosas pasan", "no somos infalibles ¿y...?" solamente son maneras de eludir el problema principal. A medida que el software se hace más complejo y Linux va alcanzando cuotas de mercado más grandes empieza a tambalear el modelo actual basada en comunidades voluntarias (con tiempo y dedicación aparentemente también limitados por otros quehaceres).

Esperemos que tropizos como éste no se repitan y mirando las cosas positivamente espero que le añadan un poco de moderación a las expectativas que muchos tienen hacia el software libre y especialmente Linux.

Saludos

Debian no es todo Linux (solo el 30 % ) He de suponer que tu como usuario avanzado haz de conocer a Slackware (que uso) y Red Hat, las cuales son otras distro de acero; que incluso los usuarios de Debian reconocen la fortaleza de esas dos distro.

Claro que siempre habra errores, pero no tienen una repercusion tan brutal como en otros lados. Yo no tomo a Linux como perfecto, pero siquiera es menos problematico que otros.

Lo que hace indirectamente que linux sea seguro es que esos errores son arreglados rapidamente y solo es cuestion de actualizar... Cuidado si esa noticia es exagerante en cuanto al nivel de gravedad en la vulnerabilidad.


Linux no es perfecto, pero lo que aparenta serlo perfecto son los millones de ojos que hay revisando el codigo, lo cual el error se hace publico y lo arreglan de inmediato.. todavia no hay maquinas afectadas por un atacante como las de windows, que sale mas facil lograr el ataque

guenas

me temo que si es EXAGERADA y perniciosa...

Lo que si es exagerado y pernicioso es la manía de no leer el fondo del asunto... ¿han revisado los enlaces que puse?

Sólo para que se den una idea Kriptópolis debe ser uno de los sitios más anti-microsoft que conozca. Es uno de los sitios donde clara y rotundamente creen en el software lbre no sólo por su gratuidad sino por su filosofía.

Sin embargo yo aprecio ese sitio no por su tendencia hacia el software libre sino por la calidad de los artículos, generalmente muy documentados; otra razón para visitarlo son los comentarios de los habituales del sitio, un puñado de ellos se nota que tienen un excelente nivel técnico de los cuales uno puede aprender mucho aunque no siempre comparta sus puntos de vista o sus conclusiones.

Lamentablemente no siempre se pueden encontrar comentarios serios y fundamentados en todos sitios, algunos se dejan llevar demasiado por sus preferencias. A razones y evidencias lo único que se les ocurre decir es que todo lo escrito es exagerado y pernicioso sin aportar nada que rebata o cuestione lo expuesto.

Yo no quiero que estén de acuerdo conmigo pero al menos analicen la información y saquen sus propias conclusiones y compártanlas. Para que vean de lo que hablo en el mismo Kriptópolis unos pocos días después de surgido el problema ya se puede leer que alguien ha preparado una lineas que a través de la consola permite crear nuevas claves de seguridad mucho más seguras. Claro, la cuestión de la re-certificación sigue siendo un problema pero al menos vemos que hay gente que está trabajando para facilitar las cosas y superar el impase.

Saludos.