El problema se deriva de una corrección al código hecha hace dos años (en 2006), que tuvo como involuntaria consecuencia dejar su distribución OpenSSL vulnerable.

Un grave error ha sido revelado en Debian Linux y sus paquetes derivados, tales como Ubuntu.

OpenSSL se utiliza para proporcionar autenticación y cifrado del tráfico web en conexiones SSL (Secure Sockets Layer), además de otras funciones criptográficas. OpenSSL hizo posible que construir un sitio HTTPS, fuera más sencillo y barato.

La fuerza de la clave pública generada, se basa en gran parte, en la cantidad de claves posibles que se pueden utilizar para cifrar los datos. Claves de 1024, 2048 o 4096 bits, significan una enorme cantidad de combinaciones, tantas como para que un ataque de fuerza bruta (probar todas las combinaciones posibles hasta dar con la correcta), lleven una cantidad prohibitiva de tiempo.

El error introducido desde 2006 en Debian, reduce esta cantidad de combinaciones a tan solo 32768 (una clave de 16 bits). Esto puede tomar a un programa de computadora, en el peor de los casos, encontrar la clave correcta en tan solo 20 minutos. De hecho, ya existe un exploit para este fallo, que logra hacerlo en ese tiempo, para poder acceder a un servidor.

Tan grave es el problema que el SANS Storm Center cambió su nivel de alerta a amarillo (reflejado también en el nivel de alerta de VSAntivirus).

Alguien ya ha generado un listado de todas las posibles claves generadas con estas 32768, y tan solo le llevó unas pocas horas. Quien acceda a ese listado (o quien lo genere por su cuenta), podría hackear cualquier contraseña generada con la ayuda de OpenSSL, sin siquiera usar fuerza bruta.

La seguridad de muchos sitios bajo Linux, dependen de certificados generados por OpenSSL para cifrar el tráfico de la red. Una actualización ya ha sido publicada, pero ello no resuelve el problema. Hay que generar nuevos certificados, ya que cualquiera creado desde 2006 hasta hoy, puede ser fácilmente eludido.

También será necesario cambiar todas las contraseñas que hayan sido generadas utilizando OpenSSL, desde servidores a redes privadas. Los usuarios comunes, deberán cambiar por lo menos las claves de acceso a sus servidores, sitios SSL, etc., suponiendo claro está, que los responsables de los sitios ya hayan actualizado su software.

Se trata de un problema mucho más grande de los que algunos piensan. Tampoco es cuestión de estar a favor o en contra del software libre, aunque sin dudas el caso dará tela para mucha discusión al respecto. Por ejemplo, el código vulnerable siempre estuvo disponible para cualquiera, pero nadie le prestó atención en casi dos años.

El SANS Storm Center advierte además, sobre algunas facilidades que tendrían los atacantes. El nuevo paquete de Debian para SSH (ssh_4.3p2-9etch1), también aplica un paquete llamado "openssh-blacklist". Después de esta actualización, un servidor SSH rechazará claves de la serie comprometida (16 bits).

El paquete también instala una nueva herramienta llamada "ssh-vulnkey", que permite cazar aquellos archivos que tengan claves débiles. El problema es que si bien estas herramientas pretenden ayudar a quienes apliquen los parches, también podrían ser utilizadas por los atacantes para detectar más fácilmente a quienes aún no han instalado la actualización.

Fuente:  antivirusgratis.com.ar

muy buen dato!!! Gracias, voy a ponerme a buscar algo mas del tema 

ya tamos como con windows

Cita de: javierxar en Mayo 19, 2008, 01:32:47
ya tamos como con windows

Sea con Windows, Linux o cualquier garompa... no importa si es de código abierto, cerrado, entreabierto o solo lo dejen para espiar por la cerradura. Cualquier PC conectada a Internet es vulnerable no importa el SO, Antivirus, FireWall, etc.

Alguien muy sabio alguna vez dijo una frase muy simple, tonta y a la vez verdadera: "la PC más segura no es la que tiene Linux, Windows o el mejor antivirus... sino la que no está conectada a Internet"

Cita de: javierxar en Mayo 19, 2008, 01:32:47
ya tamos como con windows

Hace mucho dije que el día que aparezca una noticia de este tipo iba a ser el día más feliz de mi vida (en lo que se refiera al mundo informático, por supuesto)

PD: a mi forma de ver es muy cierto lo que dice Emedus.

Cita de: Emedus en Mayo 19, 2008, 01:41:35

Cita de: javierxar en Mayo 19, 2008, 01:32:47
ya tamos como con windows

Sea con Windows, Linux o cualquier garompa... no importa si es de código abierto, cerrado, entreabierto o solo lo dejen para espiar por la cerradura. Cualquier PC conectada a Internet es vulnerable no importa el SO, Antivirus, FireWall, etc.

Alguien muy sabio alguna vez dijo una frase muy simple, tonta y a la vez verdadera: "la PC más segura no es la que tiene Linux, Windows o el mejor antivirus... sino la que no está conectada a Internet"

Totalmente de acuerdo...

Cita de: Emedus en Mayo 19, 2008, 01:41:35
Alguien muy sabio alguna vez dijo una frase muy simple, tonta y a la vez verdadera: "la PC más segura no es la que tiene Linux, Windows o el mejor antivirus... sino la que no está conectada a Internet"

Error.
La PC más segura es la PC apagada. (Aunque hay una vulnerabilidad HASTA para una PC apagada...  )

Cita de: javierxar en Mayo 19, 2008, 01:32:47
ya tamos como con windows

Tampoco es para tanto.
El problema se resolvió en cuestión de horas...

Cita de: ariel2901 en Mayo 19, 2008, 01:47:33
Hace mucho dije que el día que aparezca una noticia de este tipo iba a ser el día más feliz de mi vida (en lo que se refiera al mundo informático, por supuesto)

Hace rato que hay vulnerabilidades para Linux... así que ya deberías haber tenido varios días felices...

¿recién te enteras?

Saludos.

Cita de: ZeiterZ en Mayo 19, 2008, 05:57:13
Error.
La PC más segura es la PC apagada. (Aunque hay una vulnerabilidad HASTA para una PC apagada...  )

Falso, la pc mas segura es como digo siempre la que se sabe usar como corresponde. 
Mi computadora está casi todo el día prendida y conectada a internet y es muy segura, por más que no me crean.

Cita de: ZeiterZ en Mayo 19, 2008, 05:57:13
Tampoco es para tanto.
El problema se resolvió en cuestión de horas...

Por más que lo hayan resuelto en un segundo, fue vulnerada

Cita de: ariel2901 en Mayo 19, 2008, 01:47:33
Hace mucho dije que el día que aparezca una noticia de este tipo iba a ser el día más feliz de mi vida (en lo que se refiera al mundo informático, por supuesto)

x2 

Cita de: ZeiterZ en Mayo 19, 2008, 05:57:13
Hace rato que hay vulnerabilidades para Linux... así que ya deberías haber tenido varios días felices...
¿recién te enteras?
Saludos.

Me extraña que digas esto, siempre que leo las noticias no se dice otra cosa de linux más que su seguridad y su falta de vulnerabilidades. 

ariel, emedus 

Despues se quejan cuando ZeiterZ, u otro seguidor del pinguino, expone algun error de Windows, y ya saltan todos como si estuviesen insultando a su madre.

Aca se puso una noticia para informar (creo, por que mix no dio su opinion), y lo unico que hicieron fue atacar el sistema operativo completo

Cita de: leande en Mayo 19, 2008, 09:42:06
Despues se quejan cuando ZeiterZ, u otro seguidor del pinguino, expone algun error de Windows, y ya saltan todos como si estuviesen insultando a su madre.

Aca se puso una noticia para informar (creo, por que mix no dio su opinion), y lo unico que hicieron fue atacar el sistema operativo completo

Una vez que sale, dejanos disfrutarlos...

Cita de: dorkt en Mayo 19, 2008, 10:07:44

Cita de: leande en Mayo 19, 2008, 09:42:06
Despues se quejan cuando ZeiterZ, u otro seguidor del pinguino, expone algun error de Windows, y ya saltan todos como si estuviesen insultando a su madre.

Aca se puso una noticia para informar (creo, por que mix no dio su opinion), y lo unico que hicieron fue atacar el sistema operativo completo

Una vez que sale, dejanos disfrutarlos...

El tema es que esto no es una competencia, pero muchos se lo toman asi, a tal punto de llegar a armar larguisimas discusiones (tanto aca en el foro, como en todos lados), hasta a veces de forma necia, sin escuchar (o leer ) lo que dice el otro (y ni hablar cuando se sube el tono y legan a insultarse, como paso aca ene l foro, que casi se tuvieron que cerrar temas por el tema de las discuciones). Y no estoy hablando de los de windows solamente, sino de los dos lados. Yo particularmente no me meto en estas discuciones, por que me precen que son al pedo, y mucho mas cuando se trata de "imponer" un SO, y no solo dar las ventajar y desventajas de cada uno, y deja que el usuario decida que usar. Yo tengo tanto windows xp en mi pc, como kubuntu, y depende de lo que tenga que hacer, uso uno u el otro , por ej: para programar, me guta mas el kubuntu, por que tengo varios escritorios, me parece más comodo, y las herramientas, como el eclipse, mySQL, apache u cualquier otra, las tengo igual, pero para ver pelis u editar algun video o dvd uso windows, por que estoy acostumbrado a las herramientas que tengo ahi, y ademas por mas que busque no encontre tan buenos resultados con los programas de linux. Pero como dije, no es custion de imponer, sino si alguien quire, dar las ventajas y desventajas, y que el usuario decida.

podes decir que el SO es seguro cuando aparece una vulnerabilidad ... Y ES NOTICIA
no como otros SO (que no voy a nombrar para no generar debates al cuete) que cuando aparece la vulnerabilidad estas esperando hasta meses en que se encuentre un fix.


para los afectados por esta vulnerabilidad:

<modo sarcastic>
les recomiendo que se bajen el "OpenSSL 3.0 VSTA super+ " del Rapidshare, formateen el HD, le instalen un bootloader, reinstalen el SO, usen la clave x0p3-33ka-036s-334ws-8dhs-3hd6-3bha-986d-342f-76eh-dhk7-sdf2, se bajen el crack de www.telainfectotoda.com, ojo que el crack trae spyware, asi que despues de activar el producto, hay que pasar el spykiller y el HDP antivirus, despues usan el patch que lo bajan del mismo sitio para que se actualice mes a mes, tambien pasen el antispyware y el antivirus, aunque no hay ninguna seguridad que el mes que viene se actualice, porque van a cambiar las contraseñas en el servidor, asi que se bajan un keygen del antes mencionado sitio. si el HDP antivirus te dice que el keygen es un virus, no le hagas caso, ponele "continuar" que va a andar todo bien  
</modo sarcastic>

o bien pueden usar el gestor de actualizaciones o de paquetes que viene en el SO y no tenes ni que reiniciar la compu  

Cita de: draugmordin en Mayo 19, 2008, 10:43:57
podes decir que el SO es seguro cuando aparece una vulnerabilidad ... Y ES NOTICIA
no como otros SO (que no voy a nombrar para no generar debates al cuete) que cuando aparece la vulnerabilidad estas esperando hasta meses en que se encuentre un fix.

gracias draugmordin por dar un ejemplo de lo que dije arriba 

Cita de: andres2006 en Mayo 19, 2008, 08:43:39

Cita de: ZeiterZ en Mayo 19, 2008, 05:57:13
Error.
La PC más segura es la PC apagada. (Aunque hay una vulnerabilidad HASTA para una PC apagada...  )

Falso, la pc mas segura es como digo siempre la que se sabe usar como corresponde. 
Mi computadora está casi todo el día prendida y conectada a internet y es muy segura, por más que no me crean.

No sabes cuánto te equivocas...
Que tu PC no haya sido atacada y vulnerada no quiere decir que sea segura.

Cita de: andres2006 en Mayo 19, 2008, 08:43:39

Cita de: ZeiterZ en Mayo 19, 2008, 05:57:13
Tampoco es para tanto.
El problema se resolvió en cuestión de horas...

Por más que lo hayan resuelto en un segundo, fue vulnerada

Error.
La vulnerabilidad fue descubierta por un argentino en un análisis de código.
No fue descubierta a causa de una vulneración exitosa.

Cita de: andres2006 en Mayo 19, 2008, 08:43:39

Cita de: ariel2901 en Mayo 19, 2008, 01:47:33
Hace mucho dije que el día que aparezca una noticia de este tipo iba a ser el día más feliz de mi vida (en lo que se refiera al mundo informático, por supuesto)

x2 

"Mal de muchos, consuelo de..." (Refrán)

Cita de: andres2006 en Mayo 19, 2008, 08:43:39

Cita de: andres2006 en Mayo 19, 2008, 08:43:39

Cita de: ZeiterZ en Mayo 19, 2008, 05:57:13
Hace rato que hay vulnerabilidades para Linux... así que ya deberías haber tenido varios días felices...
¿recién te enteras?
Saludos.

Me extraña que digas esto, siempre que leo las noticias no se dice otra cosa de linux más que su seguridad y su falta de vulnerabilidades. 

Deberías cambiar tus fuentes. Evidentemente no te hace nada bien.

Saludos.

A ver... se descubrió una vulnerabilidad, no que miles de sistemas hayan sido vulnerados exitosamente. Y esa vulnerabilidad fué corregida en cuestión de horas. De hecho, argento y los otros servidores en la misma conexión tienen el parche aplicado desde la semana pasada.

Por otro lado, la vulnerabilidad descubierta fué sobre ssh, no sobre todo el sistema operativo (o su kernel), aquellos sistemas con ssh desactivado no estaban expuestos, además, por normas de seguridad, si es necesario el uso de ssh, debe configurarse el servidor para negar el acceso del superusuario, minimizando con ello el riesgo ante un ataque (hay otras medidas de seguridad que también ayudan mucho mas). Linux (o cualquier sistema *nix) proveen las herramientas necesarias para que un administrador pueda definir los niveles de seguridad adecuados y, con ello, reduzca al mínimo el peligro de ataques exitosos a sus sistemas. TODO sistema es vulnerable, eso lo sabe hasta mi perro, pero algunos tienen herramientas básicas para minimizar los riesgos y, descubiertas las vulnerabilidades, se aplican las soluciones en forma casi inmediata (NO se niega la existencia de la vulnerabilidad, al contrario, se reconoce se informa y se corrige).

Por otro lado, si para los detractores de linux, éste sistema operativo es inseguro, les propongo entonces migrar argentop2p a windows server 2003 y ver cuanto dura en línea. 

SaludOS/2