Grave problema en Linux afecta la seguridad de Internet

[M!x]

El problema se deriva de una corrección al código hecha hace dos años (en 2006), que tuvo como involuntaria consecuencia dejar su distribución OpenSSL vulnerable.

Un grave error ha sido revelado en Debian Linux y sus paquetes derivados, tales como Ubuntu.

OpenSSL se utiliza para proporcionar autenticación y cifrado del tráfico web en conexiones SSL (Secure Sockets Layer), además de otras funciones criptográficas. OpenSSL hizo posible que construir un sitio HTTPS, fuera más sencillo y barato.

La fuerza de la clave pública generada, se basa en gran parte, en la cantidad de claves posibles que se pueden utilizar para cifrar los datos. Claves de 1024, 2048 o 4096 bits, significan una enorme cantidad de combinaciones, tantas como para que un ataque de fuerza bruta (probar todas las combinaciones posibles hasta dar con la correcta), lleven una cantidad prohibitiva de tiempo.

El error introducido desde 2006 en Debian, reduce esta cantidad de combinaciones a tan solo 32768 (una clave de 16 bits). Esto puede tomar a un programa de computadora, en el peor de los casos, encontrar la clave correcta en tan solo 20 minutos. De hecho, ya existe un exploit para este fallo, que logra hacerlo en ese tiempo, para poder acceder a un servidor.

Tan grave es el problema que el SANS Storm Center cambió su nivel de alerta a amarillo (reflejado también en el nivel de alerta de VSAntivirus).

Alguien ya ha generado un listado de todas las posibles claves generadas con estas 32768, y tan solo le llevó unas pocas horas. Quien acceda a ese listado (o quien lo genere por su cuenta), podría hackear cualquier contraseña generada con la ayuda de OpenSSL, sin siquiera usar fuerza bruta.

La seguridad de muchos sitios bajo Linux, dependen de certificados generados por OpenSSL para cifrar el tráfico de la red. Una actualización ya ha sido publicada, pero ello no resuelve el problema. Hay que generar nuevos certificados, ya que cualquiera creado desde 2006 hasta hoy, puede ser fácilmente eludido.

También será necesario cambiar todas las contraseñas que hayan sido generadas utilizando OpenSSL, desde servidores a redes privadas. Los usuarios comunes, deberán cambiar por lo menos las claves de acceso a sus servidores, sitios SSL, etc., suponiendo claro está, que los responsables de los sitios ya hayan actualizado su software.

Se trata de un problema mucho más grande de los que algunos piensan. Tampoco es cuestión de estar a favor o en contra del software libre, aunque sin dudas el caso dará tela para mucha discusión al respecto. Por ejemplo, el código vulnerable siempre estuvo disponible para cualquiera, pero nadie le prestó atención en casi dos años.

El SANS Storm Center advierte además, sobre algunas facilidades que tendrían los atacantes. El nuevo paquete de Debian para SSH (ssh_4.3p2-9etch1), también aplica un paquete llamado "openssh-blacklist". Después de esta actualización, un servidor SSH rechazará claves de la serie comprometida (16 bits).

El paquete también instala una nueva herramienta llamada "ssh-vulnkey", que permite cazar aquellos archivos que tengan claves débiles. El problema es que si bien estas herramientas pretenden ayudar a quienes apliquen los parches, también podrían ser utilizadas por los atacantes para detectar más fácilmente a quienes aún no han instalado la actualización.

Fuente:  antivirusgratis.com.ar

[joaco79]

muy buen dato!!! Gracias, voy a ponerme a buscar algo mas del tema 

[javierxar]

ya tamos como con windows

[Emedus]

ya tamos como con windows

Sea con Windows, Linux o cualquier garompa... no importa si es de código abierto, cerrado, entreabierto o solo lo dejen para espiar por la cerradura. Cualquier PC conectada a Internet es vulnerable no importa el SO, Antivirus, FireWall, etc.

Alguien muy sabio alguna vez dijo una frase muy simple, tonta y a la vez verdadera: "la PC más segura no es la que tiene Linux, Windows o el mejor antivirus... sino la que no está conectada a Internet"

[ariel2901]

ya tamos como con windows

Hace mucho dije que el día que aparezca una noticia de este tipo iba a ser el día más feliz de mi vida (en lo que se refiera al mundo informático, por supuesto)

PD: a mi forma de ver es muy cierto lo que dice Emedus.

[paulo1986]

ya tamos como con windows

Sea con Windows, Linux o cualquier garompa... no importa si es de código abierto, cerrado, entreabierto o solo lo dejen para espiar por la cerradura. Cualquier PC conectada a Internet es vulnerable no importa el SO, Antivirus, FireWall, etc.

Alguien muy sabio alguna vez dijo una frase muy simple, tonta y a la vez verdadera: "la PC más segura no es la que tiene Linux, Windows o el mejor antivirus... sino la que no está conectada a Internet"

Totalmente de acuerdo...

[ZeiterZ]

Alguien muy sabio alguna vez dijo una frase muy simple, tonta y a la vez verdadera: "la PC más segura no es la que tiene Linux, Windows o el mejor antivirus... sino la que no está conectada a Internet"

Error.
La PC más segura es la PC apagada. (Aunque hay una vulnerabilidad HASTA para una PC apagada...  )

ya tamos como con windows

Tampoco es para tanto.
El problema se resolvió en cuestión de horas...

Hace mucho dije que el día que aparezca una noticia de este tipo iba a ser el día más feliz de mi vida (en lo que se refiera al mundo informático, por supuesto)

Hace rato que hay vulnerabilidades para Linux... así que ya deberías haber tenido varios días felices...

¿recién te enteras?

Saludos.

[andres2006]

Error.
La PC más segura es la PC apagada. (Aunque hay una vulnerabilidad HASTA para una PC apagada...  )

Falso, la pc mas segura es como digo siempre la que se sabe usar como corresponde. 
Mi computadora está casi todo el día prendida y conectada a internet y es muy segura, por más que no me crean.

Tampoco es para tanto.
El problema se resolvió en cuestión de horas...

Por más que lo hayan resuelto en un segundo, fue vulnerada

Hace mucho dije que el día que aparezca una noticia de este tipo iba a ser el día más feliz de mi vida (en lo que se refiera al mundo informático, por supuesto)

x2 

Hace rato que hay vulnerabilidades para Linux... así que ya deberías haber tenido varios días felices...
¿recién te enteras?
Saludos.

Me extraña que digas esto, siempre que leo las noticias no se dice otra cosa de linux más que su seguridad y su falta de vulnerabilidades. 

ariel, emedus 

[leande]

Despues se quejan cuando ZeiterZ, u otro seguidor del pinguino, expone algun error de Windows, y ya saltan todos como si estuviesen insultando a su madre.

Aca se puso una noticia para informar (creo, por que mix no dio su opinion), y lo unico que hicieron fue atacar el sistema operativo completo

[brun]

Despues se quejan cuando ZeiterZ, u otro seguidor del pinguino, expone algun error de Windows, y ya saltan todos como si estuviesen insultando a su madre.

Aca se puso una noticia para informar (creo, por que mix no dio su opinion), y lo unico que hicieron fue atacar el sistema operativo completo

Una vez que sale, dejanos disfrutarlos...

[leande]

Despues se quejan cuando ZeiterZ, u otro seguidor del pinguino, expone algun error de Windows, y ya saltan todos como si estuviesen insultando a su madre.

Aca se puso una noticia para informar (creo, por que mix no dio su opinion), y lo unico que hicieron fue atacar el sistema operativo completo

Una vez que sale, dejanos disfrutarlos...

El tema es que esto no es una competencia, pero muchos se lo toman asi, a tal punto de llegar a armar larguisimas discusiones (tanto aca en el foro, como en todos lados), hasta a veces de forma necia, sin escuchar (o leer ) lo que dice el otro (y ni hablar cuando se sube el tono y legan a insultarse, como paso aca ene l foro, que casi se tuvieron que cerrar temas por el tema de las discuciones). Y no estoy hablando de los de windows solamente, sino de los dos lados. Yo particularmente no me meto en estas discuciones, por que me precen que son al pedo, y mucho mas cuando se trata de "imponer" un SO, y no solo dar las ventajar y desventajas de cada uno, y deja que el usuario decida que usar. Yo tengo tanto windows xp en mi pc, como kubuntu, y depende de lo que tenga que hacer, uso uno u el otro , por ej: para programar, me guta mas el kubuntu, por que tengo varios escritorios, me parece más comodo, y las herramientas, como el eclipse, mySQL, apache u cualquier otra, las tengo igual, pero para ver pelis u editar algun video o dvd uso windows, por que estoy acostumbrado a las herramientas que tengo ahi, y ademas por mas que busque no encontre tan buenos resultados con los programas de linux. Pero como dije, no es custion de imponer, sino si alguien quire, dar las ventajas y desventajas, y que el usuario decida.

[draugmordin]

podes decir que el SO es seguro cuando aparece una vulnerabilidad ... Y ES NOTICIA
no como otros SO (que no voy a nombrar para no generar debates al cuete) que cuando aparece la vulnerabilidad estas esperando hasta meses en que se encuentre un fix.


para los afectados por esta vulnerabilidad:

<modo sarcastic>
les recomiendo que se bajen el "OpenSSL 3.0 VSTA super+ " del Rapidshare, formateen el HD, le instalen un bootloader, reinstalen el SO, usen la clave x0p3-33ka-036s-334ws-8dhs-3hd6-3bha-986d-342f-76eh-dhk7-sdf2, se bajen el crack de www.telainfectotoda.com, ojo que el crack trae spyware, asi que despues de activar el producto, hay que pasar el spykiller y el HDP antivirus, despues usan el patch que lo bajan del mismo sitio para que se actualice mes a mes, tambien pasen el antispyware y el antivirus, aunque no hay ninguna seguridad que el mes que viene se actualice, porque van a cambiar las contraseñas en el servidor, asi que se bajan un keygen del antes mencionado sitio. si el HDP antivirus te dice que el keygen es un virus, no le hagas caso, ponele "continuar" que va a andar todo bien  
</modo sarcastic>

o bien pueden usar el gestor de actualizaciones o de paquetes que viene en el SO y no tenes ni que reiniciar la compu  

[leande]

podes decir que el SO es seguro cuando aparece una vulnerabilidad ... Y ES NOTICIA
no como otros SO (que no voy a nombrar para no generar debates al cuete) que cuando aparece la vulnerabilidad estas esperando hasta meses en que se encuentre un fix.

gracias draugmordin por dar un ejemplo de lo que dije arriba 

[ZeiterZ]

Error.
La PC más segura es la PC apagada. (Aunque hay una vulnerabilidad HASTA para una PC apagada...  )

Falso, la pc mas segura es como digo siempre la que se sabe usar como corresponde. 
Mi computadora está casi todo el día prendida y conectada a internet y es muy segura, por más que no me crean.

No sabes cuánto te equivocas...
Que tu PC no haya sido atacada y vulnerada no quiere decir que sea segura.

Tampoco es para tanto.
El problema se resolvió en cuestión de horas...

Por más que lo hayan resuelto en un segundo, fue vulnerada

Error.
La vulnerabilidad fue descubierta por un argentino en un análisis de código.
No fue descubierta a causa de una vulneración exitosa.

Hace mucho dije que el día que aparezca una noticia de este tipo iba a ser el día más feliz de mi vida (en lo que se refiera al mundo informático, por supuesto)

x2 

"Mal de muchos, consuelo de..." (Refrán)

Hace rato que hay vulnerabilidades para Linux... así que ya deberías haber tenido varios días felices...
¿recién te enteras?
Saludos.

Me extraña que digas esto, siempre que leo las noticias no se dice otra cosa de linux más que su seguridad y su falta de vulnerabilidades. 

Deberías cambiar tus fuentes. Evidentemente no te hace nada bien.

Saludos.

[DAX]

A ver... se descubrió una vulnerabilidad, no que miles de sistemas hayan sido vulnerados exitosamente. Y esa vulnerabilidad fué corregida en cuestión de horas. De hecho, argento y los otros servidores en la misma conexión tienen el parche aplicado desde la semana pasada.

Por otro lado, la vulnerabilidad descubierta fué sobre ssh, no sobre todo el sistema operativo (o su kernel), aquellos sistemas con ssh desactivado no estaban expuestos, además, por normas de seguridad, si es necesario el uso de ssh, debe configurarse el servidor para negar el acceso del superusuario, minimizando con ello el riesgo ante un ataque (hay otras medidas de seguridad que también ayudan mucho mas). Linux (o cualquier sistema *nix) proveen las herramientas necesarias para que un administrador pueda definir los niveles de seguridad adecuados y, con ello, reduzca al mínimo el peligro de ataques exitosos a sus sistemas. TODO sistema es vulnerable, eso lo sabe hasta mi perro, pero algunos tienen herramientas básicas para minimizar los riesgos y, descubiertas las vulnerabilidades, se aplican las soluciones en forma casi inmediata (NO se niega la existencia de la vulnerabilidad, al contrario, se reconoce se informa y se corrige).

Por otro lado, si para los detractores de linux, éste sistema operativo es inseguro, les propongo entonces migrar argentop2p a windows server 2003 y ver cuanto dura en línea. 

SaludOS/2

[Emedus]

A ver... se descubrió una vulnerabilidad, no que miles de sistemas hayan sido vulnerados exitosamente. Y esa vulnerabilidad fué corregida en cuestión de horas. De hecho, argento y los otros servidores en la misma conexión tienen el parche aplicado desde la semana pasada.

Por otro lado, la vulnerabilidad descubierta fué sobre ssh, no sobre todo el sistema operativo (o su kernel), aquellos sistemas con ssh desactivado no estaban expuestos, además, por normas de seguridad, si es necesario el uso de ssh, debe configurarse el servidor para negar el acceso del superusuario, minimizando con ello el riesgo ante un ataque (hay otras medidas de seguridad que también ayudan mucho mas). Linux (o cualquier sistema *nix) proveen las herramientas necesarias para que un administrador pueda definir los niveles de seguridad adecuados y, con ello, reduzca al mínimo el peligro de ataques exitosos a sus sistemas. TODO sistema es vulnerable, eso lo sabe hasta mi perro, pero algunos tienen herramientas básicas para minimizar los riesgos y, descubiertas las vulnerabilidades, se aplican las soluciones en forma casi inmediata (NO se niega la existencia de la vulnerabilidad, al contrario, se reconoce se informa y se corrige).

Por otro lado, si para los detractores de linux, éste sistema operativo es inseguro, les propongo entonces migrar argentop2p a windows server 2003 y ver cuanto dura en línea. 

SaludOS/2

NOOOO!!!! POR LEJOS SE SABE QUE LINUX ES LO MEJOR PARA REDES!!! Lo ponés en un servidor de Windows y no dura ni 3 segundos!!! Más cuando hay competencia de otros P2P envidiosos! 

Error.
La PC más segura es la PC apagada. (Aunque hay una vulnerabilidad HASTA para una PC apagada...  )

Falso, la pc mas segura es como digo siempre la que se sabe usar como corresponde. 
Mi computadora está casi todo el día prendida y conectada a internet y es muy segura, por más que no me crean.

No sabes cuánto te equivocas...
Que tu PC no haya sido atacada y vulnerada no quiere decir que sea segura.

En eso concuerdo con Z. 

Se... incluso a mi me llama la atención decir eso... 

Pero es verdad. Mi PC la tengo con el NOD32 seteado con el manual de Argento (lo mejor que me pasó en la vida), el Firewall que me recomendó Trip (el Kerio que es un fierro) y un par de programitas como Spybot, Ad-aware y eso... aunque solo los uso para escanear, no de control permanente. Y si bien mi PC está más sana vegetariano, no quita que venga Kevin Mitnick y haga lo que se le cante con mis archivos y mi PC entera.

Y yo tengo Windows. Si tuviera Linux me pasaría lo mismo. El que sabe y quiere, entra tengas lo que tengas!

Sin embargo Z no concuerdo con el hecho de la PC APAGADA. En si obviamente una PC apagada es segura... pero no tiene funcionabilidad ni utilidad permaneciéndo en tal estado. Por tanto, obviamente nos referimos a una PC prendida. Es como que yo diga que Volvo es el auto más seguro y vos me digas que el más seguro no es Volvo o un auto que no circule por la ciudad, sino el que tenga el motor apagado... bajo ese punto de vista, TODOS los autos son seguros, como todas las PC son seguras... estando apagadas... 

Eme! 

[ZeiterZ]

Error.
La PC más segura es la PC apagada. (Aunque hay una vulnerabilidad HASTA para una PC apagada...  )

Falso, la pc mas segura es como digo siempre la que se sabe usar como corresponde. 
Mi computadora está casi todo el día prendida y conectada a internet y es muy segura, por más que no me crean.

No sabes cuánto te equivocas...
Que tu PC no haya sido atacada y vulnerada no quiere decir que sea segura.

En eso concuerdo con Z. 

Se... incluso a mi me llama la atención decir eso... 

¿la verdad?... era inimaginable... ¡¡como profilaxis, ya saqué turno con el siquiatra!!

Y yo tengo Windows. Si tuviera Linux me pasaría lo mismo. El que sabe y quiere, entra tengas lo que tengas!

Sin embargo Z no concuerdo con el hecho de la PC APAGADA. En si obviamente una PC apagada es segura... pero no tiene funcionabilidad ni utilidad permaneciéndo en tal estado. Por tanto, obviamente nos referimos a una PC prendida. Es como que yo diga que Volvo es el auto más seguro y vos me digas que el más seguro no es Volvo o un auto que no circule por la ciudad, sino el que tenga el motor apagado... bajo ese punto de vista, TODOS los autos son seguros, como todas las PC son seguras... estando apagadas... 

Eme! 

[/quote]

Es que mientras exista un programa, un sistema operativo, un controlador, un microprograma incorporado en el hardware existe el riesgo real de una mala programación, de un error, de una vulnerabilidad.

Y es tan así que se dice lo de la PC apagada justamente para que quede claro que es imposible que los errores, riesgos, vulnerabilidades, exploits, etc. desaparezcan.
Siempre habrá alguno.

Ni siquiera las PC aisladas están a salvo pues hay vulnerabilidades locales (es decir, explotables por los usuarios de la máquina) que permiten que usuarios no privilegiados se conviertan en superusuarios.

Saludos.

[Emedus]

Claro... pero más que nada acá nos referimos a virus y demás... no a errores y demás del SO... hablamos de vulnerabilidades que sean afectadas desde el afuera... si se me colgó la PC porque abrí 60 millones de ventanas al mismo tiempo y estoy laburando con 3 millones de cosas, encima hice kilombo en el registro y yo que se... ponele... y se me va a terminar haciendo pelota... pero no por culpa de otros... sino porque soy un boludo... 

Anécdota: El pequeño Emedus a los 13 años descubre que existe algo llamado "regedit" y como la PC iba lenta, para hacerla menos pesada de las cosas que tenía entra a borrar TODO lo que encuentra en éste... Después la PC no arrancaba... 

[ZeiterZ]

Claro... pero más que nada acá nos referimos a virus y demás... no a errores y demás del SO... hablamos de vulnerabilidades que sean afectadas desde el afuera... si se me colgó la PC porque abrí 60 millones de ventanas al mismo tiempo y estoy laburando con 3 millones de cosas, encima hice kilombo en el registro y yo que se... ponele... y se me va a terminar haciendo pelota... pero no por culpa de otros... sino porque soy un boludo... 

Anécdota: El pequeño Emedus a los 13 años descubre que existe algo llamado "regedit" y como la PC iba lenta, para hacerla menos pesada de las cosas que tenía entra a borrar TODO lo que encuentra en éste... Después la PC no arrancaba... 

Yo centré mi exposición en el tema de este hilo: la vulnerabilidad en OpenSSL y OpenSSH.
Como bien aclarara DAX, se veían afectadas computadoras con Linux y con funciones de servidor.

La vulnerabilidad no tiene relevancia para las instalaciones estándares de máquinas de escritorio con Linux, ya que sólo se instala la parte "cliente" de OpenSSL y de OpenSSH y, por lo tanto, no aceptan peticiones de acceso o validación ni locales ni desde otras máquinas.

En cuanto a los virus, gusanos, troyanos, etc., hoy están casi exclusivamente "asociados" (y forma parte del "combo") a ese conocido sistema operativo cuyo nombre no recuerdo  y que hace que el mundo existan MILLONES de computadoras zombis (controladas remotamente para efectuar ataques a otras computadoras, etc.).

Con respecto al mal uso por parte de usuario, en Linux el riesgo aparece con el uso de "sudo".
Los usuarios con bajos privilegios no tienen cómo comprometer la integridad del sistema Linux.
Pero el uso de sudo los equipara a los usuarios de Windows que por razones de comodidad (no voy a explayarme OTRA VEZ sobre este tema) usan sus máquinas con privilegios de administrador.

Pero originalmente no me refería a este tipo de "errores" o de riesgos sino a los que vienen incorporados en sí en el sistema, es decir, a errores de programación o de auditoría sobre los programas.

Saludos.

[Emedus]

En cuanto a los virus, gusanos, troyanos, etc., hoy están casi exclusivamente "asociados" (y forma parte del "combo") a ese conocido sistema operativo cuyo nombre no recuerdo  y que hace que el mundo existan MILLONES de computadoras zombis (controladas remotamente para efectuar ataques a otras computadoras, etc.).

mmmm... Mac...?