lunes, 14 de abril de 2014

esta vez en Linux y Sabian, que… ¿Casi todo el mundo usamos programas libres?

Noticia, Se descubre otro fallo muy grave en una librería SSL, esta vez en Linux - 04/03/2014 16:11:41

" Hace unos días os hablábamos del fallo goto fail en la librería de SSL de OS X e iOS. Y, casualidades de la vida, hoy ha aparecido otro similar en GnuTLS, una librería de SSL para Linux, con consecuencias muy similares. Un atacante con conocimiento del fallo podría crear certificados que siempre serían aceptados como válidos por la librería, y espiar así comunicaciones aparentemente seguras.
En realidad, el fallo no tiene prácticamente que ver con criptografía. En la función encargada de verificar la validez de certificados X.509 tipo ASN.1, el desarrollador se equivocó al programar y no se interpretó bien el código de salida. Así, un código de retorno negativo que indica un error se convertía en un código de retorno distinto de 0 que indica que todo ha ido bien. Este esquema de @0xabad1dea lo explica con más claridad para los que sepáis programación.
*: Podéis ver qué aplicaciones dependen de GnuTLS ejecutando apt-cache rdepends libgnutls26 en Debian y derivados. Es posible que no todas las aplicaciones utilicen siempre GnuTLS sino que sólo lo tengan como opción.
Este fallo tan estúpido habría sido introducido hace 10 años. Es muy grave. La librería GnuTLS es ampliamente usada en Linux por varios programas para establecer conexiones seguras por SSL, y todas ellas se ven afectadas por la vulnerabilidad. Por ejemplo, aplicaciones* como Chromium, el servidor Apache en ciertas configuraciones, Filezilla u OpenOffice usarían GnuTLS para establecer sus conexiones seguras. Alguien con conocimiento del fallo podría haber interceptado las comunicaciones usando un certificado inválido pero que no haría saltar ninguna alarma. Eso sí, es improbable que alguien haya tenido acceso a ese fallo.
Por suerte, el parche ya está disponible y muchas distribuciones lo tienen ya listo para que podáis actualizar.
Software libre, seguridad y casualidades
El primer tema que se nos viene a la cabeza con este fallo es el del software libre y la seguridad. Uno podría pensar que es muy curioso el hecho de que nadie haya visto el fallo (estúpido aunque no del todo obvio) en 10 años a pesar de que el código esté disponible para que cualquier lo mire. Por otra parte, también podríamos pensar que quizás si no hubiese sido software libre, la auditoría de RedHat no habría encontrado el fallo. ¿O quizás sí?
Este fallo cuestiona el mantra muchas veces repetido de "el software libre es más seguro porque hay más ojos para detectar bugs". La criptografía es un tema muy, muy complejo y lo que se necesitan no son muchos ojos inexpertos mirando por encima, sino sólo unos pocos expertos en el tema y con la motivación para hacer una auditoría a fondo, explorando y entendiendo el código.
Por otra parte, también resulta muy casual que se descubra ahora este fallo, tan cercano en el tiempo al de Apple y además muy similar. Uno podría especular con la relación de la NSA con este fallo, aunque por otra parte tampoco parece muy probable: por ejemplo, se pueden encontrar por Internet hilos de correo discutiendo el poco cuidado de los desarrolladores de GnuTLS. Como siempre, no hay nada seguro, aunque tampoco alimentaría paranoias de este tipo.
Vía | Ars Technica
-
La noticia Se descubre otro fallo muy grave en una librería SSL, esta vez en Linux fue publicada originalmente en Genbeta por Guillermo Julián.

Ver artículo...
" Fuente Artículo

Interesante, Sabian, que… ¿Casi todo el mundo usamos programas libres? - 31/08/2010 9:59:54

" Ustedes seguramente sin darse cuenta, están usando software libre aunque ustedes dirán que son de Windows. Yo uso Windows, pero… ¡Estoy en contra totalmente! Yo quiero saber el funcionamiento de mi sistema operativo en todo momento, cómo ha sido situado y modificarlo si este no me gusta; ya que si encima pago por una licencia a los señores de Microsoft Corporation me gustaría poder hacerlo. Usas ¿Firefox?, ¿OpenOffice?, ¿Abiword?, ¿Audacity?, ¿ClamWin?, ¿Filezilla?, ¿Thunderbird?, ¿VLC?, ¿Miro?… todo es programas constituidos con licencia ¡Libre!.
Tras un tiempo de uso Windows se vuelve inestable, y comienza a hacer cosillas que afectan al rendimiento del equipo y anula la productividad del usuario, Tras el arranque se nos muestra un escritorio, pero todavía no se puede utilizar nada. Los iconos están todos ahí, parece que ya se ha iniciado la sesión, pero si intentamos abrir cualquier aplicación, nada responde, el ordenador sigue frito mientras continúa rascando y rascando insaciable de disco duro. ¿No se puede presentar el escritorio cuando ya sea posible utilizarlo?; Arreglar problemas, ciencia infusa. Debido a que nunca sabemos bien qué es lo que windows está haciendo por debajo, ni disponemos de logs que podamos revisar para ver qué ha pasado, solamente podemos usar software de seguridad, desinstalar programitas… El registro de configuraciones, otro agujero negro más. Probablemente sepas qué es el registro de configuraciones (se entra ejecutando regedit.exe), y quizá has tenido que abrirlo alguna vez para algo, pero, ¿realmente es posible encontrar algo ahí
Consulte la Fuente de este Artículo

No hay comentarios: