jueves, mayo 15, 2008

Qué bello!

El gran Lucciano Bello, en su caida en picado hacia el lado del mal ha encontrado una vulnerabilidad en el paquetito OpenSSL que se mantiene en Debian [DSA-1571-1 Openssl], ese que se utiliza para la generación de las claves. Me encanta el título que ha puesto Luciano al post: cryptographic apocalypse.

El reveulo que se ha generado a nivel mundial ha sido de ordago, lo que demuestra que cuando un argentino se pone a tocar las bolas...., lo hace de verdad. ;)

He de decir que me siento doblemente feliz, en primer lugar porque me encanta que Luciano, que es un tipo genial, tenga el crédito de haberse currado este trabajo. Espero que ahora nos haga algún paper extenso sobre que ha pasado, cómo y porqué ha sucedido esto que yo con el código fuente no me apaño para entender bien estas cosas de poner mal escritas las palabras. (Ramió, please HELP!!!). En el blog de nuestro amigo, en el expediente de seguridad de Debian y, por supuesto, tampoco en la web del proyecto, que parece que está todo muy tranquilo..(desde noviembre del 2007), no hay ninguna explicación detallada del problema y su posible explotación (vale, sí, que las claves pueden ser predecibles). En segundo lugar estoy feliz, porqué....¿mmm que iba yo a decir?

El caso es que la cagada fue producida por un mantenedor de Debian, alguien que hace la misma labor que hace Luciano. A menudo hay petas entre los mantenedores y los desarrolladores del proyecto y muchas veces, bugs corregidos por los mantenedores no son reintegrados al proyecto original. Esto hace que la heterogenéidad de versiones crezca, que el mantenimiento se multiplique y que el trabajo de mantenimiento de una misma utilidad cada vez sea mayor, pues hay que empezar a mantener muchos proyectos similares que podrían ser el mismo. En este caso ha provocado una buena reacción en cadena. ¿Es esto una buena forma de crecer y avanzar? Si cuando haya que añadir una nueva función o haya que cambiar una nueva cosa hay que cambiarla en 10 paquetes OpenSSL que son muy similares, pero no iguales... al final, hay que repetir el desarrollo, hay que repetetir los tests y hay que repetir ...absolutamente todas las tareas.

¿Cuantas distribuciones hay basadas en Debian? ¿Cuantos se verán afectados por esto? De momento se ha publicado un método para comprobar y recrear claves vulnerables: Key Rollover.

Bueno Luciano, ahora, que tal cepillarse... no sé, ¿el FTP?. Mis respetos enhorabuena una vez más ¡guapetón!.

Saludos Malignos!

17 comentarios:

Anónimo dijo...

Esto demuestra que no hay ningún software perfecto, lo bueno es que como lo enfoca debian, ya se puede instalar la versión correcta creo que esta disponible desde ayer.

Chema prefiero esta información que ese minimanual para ubuntu, de esos ya hay muchos. Escribe sobre lo que es lo tuyo, te lo agradeceremos.

Saludos

Antonio

Anónimo dijo...

Me lo parece a mí o te produce cierta satisfacción escrotal que se descubran fallos en todo lo que empiece por "Open"?

Mira que eres malo malísimo...

Anónimo dijo...

Juas juas, ¿no te estarías "tocando" mientras escribías esto? juas juas juas
Coincido con el primer anónimo, deja de darnos la brasa con el putubuntu:)

Por cierto, ¿cuando vas a comentar algo sobre lo que publicó Cesar Cerrudo (otro argentino tocando las bolas) en el HITB el mes pasado?

Un saludo.

Chema Alonso dijo...

@Antonio...sí, yo ya estoy cansado también del ubuntu.

@tayoken, ¿tú crees?

@anónimo, sí, tendría que comentar lo de nuestro amigo Cerrudo, que además Cerrudo es uno de mis preferidos. Sus charlas molan mucho y sus papers son muy buenos.

Saludos Malignos!

Anónimo dijo...

Vaya, que curioso, estás un poco desactualizado, esta vulnerabilidad lleva ya un tiempecito.. (ni siquiera 48horas y ya hay parche), mola mas esta que afectó a 500.000 servidores microsoft :

http://aprilis.es/Vacuna_al_problema_de_SQL_injection_mayo_2008

que hasta casi un mes después no salió la vacuna,, debió retrasarse tanto porque como siempre la culpa no era de microsoft, era de los desarrolladores.... pandilla de ineptos...

Anónimo dijo...

@Maligno: No, soy ateo, mi dios no es Bilipuertas...

Sorry, chiste fácil...

Anónimo dijo...

Pos na, espero ansioso tus comentarios sobre el último trabajo de Cerrudo, y espero verte en alguno de los eventos próximos que comentas en el siguiente post.
Gracias por responder.

evilteq dijo...

Lo de "cryptographic apocalypse" me encantó también. Yo no pienso que sea el apocalipsis, no se acaba el mundo, pero vamos, es como si los cuatro jinetes se hubieran dado una juerga. Basicamente, las claves generadas desde hace año y medio son tan útiles como una puerta de papel en la caja fuerte de un banco; otra cosa es que el guardia de la puerta te deje entrar.

Sobre lo que dices de que no hay detalles... joer, si hay desde exploits, hasta tablas prehechas, pasando por ataques personales a la familia y los ancestros de los mantenedores de debian.

Por cierto, aunque es fácil echarse las manos a la cabeza al leer la razón del problema (yo mismamente me he quedado alucinando), creo que viene bien resaltar esta cita de Lucciano: "I think that many people are being very unfair with the OpenSSL’s maintainers. They made (and are making) a really good job. Was an accident, that things happens."

Sobre si esto pasa o no en programas con el código cerrado, pues nunca lo sabremos. Es lo que tienen las teorías conspiranoicas.

Anónimo dijo...

Viste, que grande Luciano, no??
Tenía esa idea sobre los nros generados y logró demostrarlo, un orgullo nacional :-)
y aunque conozco la de Cerrudo, espero a ver que vas a poner.....
y aprovecho para los que no saben, que cuando el "kia" malo estuvo en Bs As, hizo una entrevista para el diario, para los que no se enteraron, es esta
Reportaje Chema
Reportaje Chema
que lo disfruten, y CH no te enojes por ponerlo, para colmo por problemas de edicion (la nota de tapa tenía una imagen que ocupaba doble hoja, debió ir al medio del suplemento), te pusieron en hoja 2, donde saldría la nota de tapa , hasta esa suerte tuviste!
y ahora lo de debian, ufffff
;-)
y no sigo agregando cosas porque la previsualizacion del comentario, me pone cada vez captchas más dificiles
noo, jajaja, se debe dar cuenta que soy humano y me equivoco y previsualizo a cada rato, tonces cada vez el captcha es más fácil
saludos!!

Chema Alonso dijo...

@anonimo del SQL Injection... sí, era de los desarrolladores, de todas formas, deje un post para la gente que sacó esa noticia...

SQL Injection for dummies

@evilteq, sí, tiene gracia que se puedan averigüar las claves privadas a partir de las públicas...

Algo así como una cagada XXL.

@Alexav8, no te preocupes no me importa. Me sentí halagado con el trato recibido en Argentina.

Saludos Malignos.

Anónimo dijo...

¿Te alegras?

lo de estar en el lado del mal, explicar los temas con otra prespectiva, etc me parecía interesante. Como alguien que sabe tanto de seguridad y de informatica puede defender ciertas cosas sorprende y tiene gracia. Tambien era interesante que alguien desminitiera ciertos mitos que hay sobre el software libre.

Pero ultimamente esto da pena. Criticas defectos de usabilidad de programas que vienen con ubuntu para rajar a gusto de lo que odias, el software libre. Te comportas como los peores tecnicoless que tu tanto criticas cuando hablan de windows. Y ahora esto, en vez de explicar los detalles tecnicos de algo, lo que haces es alegrarte de que algo haya ido mal a "tu enemigo".

Empieza a darme asco este blog. Y tu. Y tus amiguetes que te dejan comentarios haciendote la pelota cada vez que escribes burlas.

Es tu blog, haz lo que quieras. Yo voy a dejar de leerlo.

Saludos

Chema Alonso dijo...

@anónimo, no me he alegrado, he sido irónico, que es distinto. La explicación es tan sencilla, como que comentaron una pequeña línea de código que se utilizaba para ampliar la semilla.

Siento que te haya parecido así. No es mi enemigo el software libre, como creo que se deja traslucir en este blog.

Saludos!

Chema Alonso dijo...

@anónimo, no me he alegrado, he sido irónico, que es distinto. La explicación es tan sencilla, como que comentaron una pequeña línea de código que se utilizaba para ampliar la semilla.

Siento que te haya parecido así. No es mi enemigo el software libre, como creo que se deja traslucir en este blog.

Saludos!

Anónimo dijo...

Reconócelo, Maligno, independientemente de qué se trate todos sentimos una pequeña y maligna satisfacción cuando alguien que no somos nosotros mete la pata hasta el fondo.

En otro campo: puente colgante que por error de cálculo oscila al viento (tuvieron que ponerle unos soportes extras en el centro del tablero) o sala de calderas sin salida de gases.

Éstas siempre las cuento entre risas y ahora añadiré el lío éste... mientras siento un escalofrío por la columna y murmuro para mí "que no me pase a mí, que no me pase a mí, ¡Por Dios, que no meta la pata así!", porque a todos nos puede pasar.

MarianoIT dijo...

En esto no hubo intencionalidad? En Linux los programadores no son todos buenas personas y honestos? que ingenuo que soy!.

Pense que Debian era la distribución que estas cosas no pasaban, problemas en el kernel de hace unas semanas, ahora esto... Realmente preocupante... Me voy a actualizar los servidores y cambiar las claves!!!

Saludos.

Anónimo dijo...

A Emily: Decirte que te falta un poco de educación. Me imagino que es porque te tuviste que dar un golpe en la cabeza cuando eras pequeño, y no se te han desarrollado bien las neuronas. Sólo decirte una cosa: No vuelvas.

Ciao

FDO: Uno de los pelotas del maligno

Anónimo dijo...

http://xkcd.com/424/

xD

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares