www.mamboteam.com
E-Salinas - Soluciones informáticas Advertisement
Home
Tuesday, 07 September 2010
  
 
Main Menu
Home
News
Contact
Register
Linux Section
Imágenes
Linux Prodigy - Video
Important Links
Home
News
Contact
Register
Linux Section
Imágenes
Linux Prodigy - Video
Login





Lost Password?
No account yet? Register
Calendar
September 2010 October 2010
Su Mo Tu We Th Fr Sa
Week 35 1 2 3 4
Week 36 5 6 7 8 9 10 11
Week 37 12 13 14 15 16 17 18
Week 38 19 20 21 22 23 24 25
Week 39 26 27 28 29 30
Fallo en Debian pone en peligro millones de máquinas en Internet!!! E-mail
Written by Administrator   
Thursday, 29 May 2008
There are no translations available

Un fallo en Debian pone en Peligro millones de máquinas en Internet!!

El normalmente cauto SANS Internet Storm Center ha calificado el incidente de "muy, muy, muy serio y escalofriante" - Un programador borró una línea de código que genera las claves de cifrado

Un error ha originado que, desde septiembre de 2006, las claves de cifrado generadas con la distribución de GNU/Linux Debian se puedan romper fácilmente. Esto deja millones de máquinas abiertas a los intrusos e inutiliza certificados usados en el comercio y la banca electrónicos. El normalmente cauto SANS Internet Storm Center lo ha calificado de "muy, muy, muy serio y escalofriante".

Debian es el sistema operativo libre más popular entre los administradores de sistemas. Está hecho totalmente por voluntarios. Hace dos años, al querer solucionar un problema y debido a un malentendido, uno de ellos borró una línea de código del paquete de herramientas OpenSSL del sistema. OpenSSL sirve para generar las claves de cifrado con que se hacen operaciones seguras en Internet.

La línea borrada afectaba a la aleatoriedad de las claves, necesaria para que sean fuertes. Esta quedó tan reducida que hacía muy fácil romperlas y atacar cualquier operación realizada con ellas. Por ejemplo, se podría alterar el certificado de un banco o una tienda, crear una web falsa y hacer creer a los visitantes que están en la legítima, o descifrar las comunicaciones entre una web segura y sus clientes y cazar los datos que se cruzasen, o tener en pocos minutos el control total del servidor de una empresa, o acceder a su red privada virtual y espiar sus movimientos, o cambiar la configuración de un servidor de nombres de dominio y llevar a la gente donde el atacante quiera.

"El impacto es enorme", afirma Jordi Mallach, del equipo de desarrolladores de Debian. A las pocas horas de conocerse el agujero, como lo llaman, ya corrían programas maliciosos en Internet para explotarlo. Según Mallach no sería extraño que apareciese un gusano que automatizase este ataque: "Habrá servidores que, a buen seguro, acabarán siendo controlados por alguna botnet".

El fallo no es exclusivo de Debian. Afecta también a las distribuciones derivadas de esta, como Ubuntu, la más popular entre usuarios domésticos, y Linex, de Extremadura. Tampoco están a salvo otros sistemas, explica Sergio de los Santos, de Hispasec: "Las claves han podido ser generadas en Debian y después usadas en Windows, ya que los formatos de archivo son estándar. El espectro es infinito".

El gurú de seguridad Bruce Schneier lo ha llamado "el gran lío" y no es para menos, ya que no se soluciona aplicando un parche: "Hay que regenerar manualmente las claves, revocar las antiguas, comprobar dónde fueron a parar las inseguras, cambiar contraseñas. Y los usuarios no podemos saber si el administrador del sitio al que nos conectamos lo ha hecho", explica De los Santos.

Lo paradójico, dice el experto, es que "afecta a quien más se ha preocupado de la seguridad y ha elegido la criptografía asimétrica para autentificarse él y sus usuarios". Así, velar por la seguridad ha desembocado en uno de los mayores agujeros informáticos de la historia que, añade De los Santos, "no se va a solucionar nunca; los ecos se oirán siempre porque habrá quienes no harán jamás las comprobaciones necesarias".

Respuesta rápida

Debian ha actuado con celeridad. A las pocas horas de conocer el error sacó los parches y una lista de claves afectadas. Diversas autoridades certificadoras se han ofrecido a certificar las nuevas claves gratuitamente, cuando el servicio cuesta 200 euros al año. Esto no ha evitado una lluvia de críticas sobre Debian y la seguridad de los programas libres.

Mallach defiende: "La respuesta de Debian ha sido totalmente profesional. Desde el primer momento se ha informado con transparencia del problema y se ha ofrecido toda la información y herramientas para solucionarlo". Pero reconoce: "esto debe servir para que la gente se tome el argumento de 'código abierto igual a código auditado' con más perspectiva. Aunque el código está disponible para ser revisado, hay muy poca gente que lo hace. En este caso, se encontró por casualidad dos años después de pasar inadvertido por todos los controles".

Artículo Completo Tomado de: ElPais.Com  

 
Last Updated ( Thursday, 29 May 2008 )
 
< Prev   Next >
[ Back ]
RSS VivaLinux
Language
Events
There are no upcoming events currently scheduled.
View Full Calendar

Buscar en:
Google
Web
www.toptutoriales.com
www.sipcolombia.com
www.esalinas.net
Articles...
Recuperar Password de root There are no translations availableSi hemos olvidado nuestra contraseña root,tenemos opción de recuperarla, he quí algunos tips para realizar este proceso, gracias a nuestros amigos de opensourcespot.orgReiniciar el sistema y cuando aparece el Grub, seleccionar el la opcion failsafe (a prueba de errores). Se iniciará en modo consola y como root logueado.Entonces escribes "passwd" y te pedira que introduscas una nueva contraseña. Finalmente solo te queda reiniciar el sistema.Utilizar un Live-CD o el primer disco de instalación (en el caso de Red Hat o Fedora). Podemos usar cualquier distribución o versión, no tiene porque coincidir con la que tenemos intalada en el equipo. Arrancamos el equipo desde el CD o DVD.Si el CD o DVD arranca en modo gráfico tendremos una opción de rescate (Rescue installed system), sino escribimos linux rescue para entrar en modo rescate.Una vez accedemos al sistema debemos asignar permisos de root con el siguiente comando: chroot /mnt/sysimage.Ahora ya puedes cambiar el password de root (o de cualquier otro usuario) con el comando: passwd root (o passwd [nombre_usuario] si quieres cambiar la de otro usuario)Reiniciar el equipo (comando: reboot), retirar el CD o DVD y acceder al sistema con la nueva contraseña.Fuente: Opensourcespot   Tekton Labs   Details...

RedHat planea sustituir Xorg There are no translations availableRedHat Inicia un proyecto para sustituir XorgNo es un secreto que una gran parte del código del servidor X.Org es antiguo y en algunos casos algo abultado. El servidor X.Org continúa evolucionando y ha recibido un gran número de adiciones en los últimos tiempos, pero ello no ayuda a que el servidor sea más ligero o tenga un código más limpio.Para ayudar en ese aspecto Kristian Høgsberg, de Red Hat, ha comenzado un nuevo proyecto conocido como Wayland Realmente Wayland no será una optimización del Servidor X sino que más bien será un nuevo y liger Servidor X. Estará diseñado para funcionar con las últimas tecnologías gráficas como son kernel mode-setting y Graphics Execution Manager. Wayland incluirá también su propio administrador de composición.La teoría que promueve Wayland es sencilla, dado que todo es renderizado y compuesto directamente sin ningún tipo de complejas APIs u objetos con los que lidiar como actualmente sucede con X.Org. Según su creador, Wayland será: “un nuevo servidor X que implementa sólo la pequeña fracción de las características X que actualmente usamos cuando se ejecuta un escritorio compuesto", que son esencialmente administración de buffer (parecido a lo que DRI2 hace en X.org), manejo de elementos de entrada y ayudar al compositor a componer el escritorio. Todo el rendimiento está hecho en la zona del cliente como renderizado directo (como OpenGL hace a día de hoy), y las características en modos de representación y configuración de otro hardware se hace en el kernel, lo que quita mucha complejidad al servidor. Fuente: TodoLinux   Details...

Download NFSP!

Problema criptográfico en Debian There are no translations availableProblema criptográfico de Debian parece estar siendo aprovechado activamente por atacantes.Se está advirtiendo a los administradores  que posiblemente, el famoso problema en la generación de números aleatorios que sufrió OpenSSL para Debian el pasado mes de mayo, está siendo aprovechado (probablemente de forma automática) para instalar rootkits en servidores Linux vulnerables. En mayo la criptografía sufrió un grave revés. Se descubrió que el generador de números aleatorios del paquete OpenSSL de Debian era predecible. Las claves generadas con él en los últimos dos años ya no eran fiables o verdaderamente seguras. A efectos prácticos, se podría deducir la clave privada a partir de la pública de los usuarios, con lo que la criptografía asimétrica dejaba de ser fiable para la autenticación y para la confidencialidad. Pronto se generó todo el espacio posible de claves vulnerables (públicas y privadas) y se desarrollaron exploits específicos para poder acceder a sistemas SSH protegidos con criptografía pública.Fuente: Articulo Tomado  de Fentlinux   Details...

 
Top!
Joomla! is Free Software released under the GNU/GPL License.
Design by Mamboteam.com!
 Top!