Barrapunto

El CC/CERT [cert.org] ha publicado el boletin de seguridad Asi mismo lo pueden encontrar en UNAM-CERT [unam-cert.unam.mx] con el numero 2003-021 [unam-cert.unam.mx]

Hola.

Por ejemplo, al de "Ale.. todos a reinstalar los windows..", ahora habria que decirle "Ale.. todos los linuxeros a comprobar todos los checksums de todo lo que han bajado..."

Si es que en todas partes cuecen habas... como era eso de la paja en el ojo ajeno y la viga en el propio?

Aprended de una vez, el riesgo son las personas no los sistemas.

Saludos.

si el servidor ha sido comprometido.

Hay que comprobar las firmas criptográficas (gpg/pgp) de los ficheros que nos descarguemos; és la única comprobación fiable.

Hola!

En el enlace a slashdot leo que parece que todo viene por "culpa" de la filosofia de Stallman y otros hackers que no creen en un mundo con passwords.

La verdad es que comparto la filosofia (en otro comentario se lee que si no te fias de la gente con la que trabajas no esperes una respuesta mas gentil de su parte) pero el mundo en el que vivimos nos obliga al uso de esas claves: no solo pq ahi fuera hay gente mala (lenguaje sencillo :-) sino tambien pq cuando empiecen a aflorar los problemas de seguridad empezaras a perder la confianza del resto de la humanidad.

¿Quien demonios se bajara cosas de gnu.org si cada dos por tres (pongamos) se descubre que el servidor ha estado comprometido por culpa de tu manera de plantear la seguridad? (es que ademas no es un problema esporadico, es la filosofia con la que se plantea todo, por lo que tampoco cambiara).

Estoy a favor de dar la maxima confianza a la gente, pero a ciertas alturas eso no se puede hacer.

Desde siempre una de las formas de definir algo es por contraposición y Linux no se escapada de ello ("gratis" - de pago, Soft Libre - Propietario . . .) y como decia aquel, de aquellos barros vienen estos lodos.
La rivalidad existe (y va a mas) podria ser beneficiosa pero hemos llegado a un punto en el que los fallos de sistemas micro$oft son casi celebrados por unos y los, menos frecuentes, fallos en sistemas Linux son aprovechados por otros (muchos trolls de forma anonima) para sacar del armario el resentimiento o las ganas de tocar . . . las narices.

Por eso mismo y mirandonos un poco el ombligo, la moderación sale con el hacha y el cuchillo entre los dientes en este tipo de noticias y hace poco en el hilo sobre el fallo del RPC no fue tan dura, no se, ¿quiza seria el momento de replantearse el abrir el debate sobre los post anonimos?

¿Y quién es la afortunada?

      Tengo puntos de moderación pero no voy a gastarlos por escribir este comentario.

      En el ftp de gnu.org lo dicen clarito: que se tenga conocimiento, sólo ha sido comprometido el servidor de ftp (y troyanizado el server, aunque no se cree que lo hayan sido las fuentes en el repositorio). Han restaurado backups anteriores a la intrusión de Marzo de aquellos paquetes que no habían sido modificados, y de los que habían tenido actualizaciones, están comprobando rigurosamente la fuente de los mismos, consultando a los mantenedores de cada proyecto.

      Nadie tiene que ponerse a verificar MD5s ni firmas por ahora, ya hacen eso en la FSF. Cuando salgan actualizaciones de seguridad, que probablemente las habrá (o eso, o el intruso era demasiado inocente), entonces será el momento, no de chequear, si no de actualizar.

      Joper, cuanta demagogia gratuita...

No entiendo por qué la gente se centra tanto en comparar las características técnicas de ambos sistemas operativos. Son tan diferentes por dentro, que resulta difícil encontrar verdaderas similitudes que nerezcan la pena comparar.

La verdad, yo NO uso Linux, o FreeBSD, o NetBSD, o OpenBSD, o Hurd, o FreeDOS, o... porque sean técnicamente mejor que Windows. Simplemente, los uso porque son sistemas operativos de licencia libre. Porque puedo aprender con ellos, trastear con ellos, copiárselo a los amigos y compañeros interesados, y en definitiva, formarme en el mundo tecnológico que más me apasiona: La informática. Eso, unido a una buena cantidad de programas para todo aquello que necesito (no me hace falta ni Autocad, ni Photoshop, ni el Counter Strike), hacen de estos sistemas perfectos para mis tareas (y probablemente las de muchas otras personas).

¿Tiene sentido seguir discutiendo tonterías?

Sinceramente, nadie es infalible y ha sido un gran error por parte de los admin del ftp de GNU.

Por otra parte, la idea esta en que nos demos cuenta de que nosotros, como usuarios, tomemos parte activa en el procedimiento de seguridad de nuestros sistemas... Eso es algo que diferencia el modus vivendi de un usuario Linux o BSD frente a Windows

Cuando se descubre un bug en Linux, la propia comunidad se hace eco por todas partes, y casi todos nos enteramos, porque tener un Linux generalmente significa un compromiso y una cierta responsabilidad con el Sistema. La politica de MS ha sido siempre "Todo es muy sencillo y no tienes que preocuparte de nada" y si sale algun error, muchos no se enteran porque ni se preocupan de ir al windows update, o de leer las ultimas novedades de su Sistema.

Afortunadamente, despues de que hayan dado estopa algunos Virus (gusanos) a nivel mundial, mucha gente en el entorno windows esta tomando conciencia de que no vale con que otros te avisen de posibles problemas... tienes que ir tu periodicamente a las fuentes de información. Asi se ha evitado alguna que otra catastrofe gracias a la intervencion activa de los usuarios a la hora de proteger su sistema.

Ahora a ver si esta preocupacion por evitar los virus se traduce tambien en una preocupacion por proteger minimamente el sistema y estar al dia de las posibles amenazas.

Pero en definitiva un fallo es un fallo; aqui y en Japón

Según su explicación [gnu.org] han utlizado el exploit ptrace, por lo que entiendo que ha sido alguien que tenía una cuenta de usuario en el servidor, es decir, alguien de la propia Gnu. Eso te hace pensar.

Hasta ese pundo se han llegado a confundir ambos términos. Un fallo en Linux compromete el sitio de GNU mientras una pandilla de usuarios de Windows con sed de venganza se alegra de que un software que ellos mismos pueden modificar y adaptar al sistema que utilizan se vea comprometido. No es ninguna novedad que cualquier software puede contener bugs. Ni lo es que el Outlook, por poner el ejemplo más evidente, sea un grifo abierto a cualquier extraño. Señores, si no ven la diferencia entre un agujero en un software libre y otro cerrado sigan gozando de la confianza que proporciona la empresa más importante del mundo. Al fin y al cabo, hay bugs que ya deberían tener copyright.

Eso es una evidencia tan grande que no creo que pueda escozer a nadie.

Simplemente digo que no es comparable.

Lo más sensato en lo que llevo leído de comentarios por ahora... ¡Esto se ha llenado de trolletes! Por suerte se pelean entre ellos :)

¿Otro?. No, el mismo. Al parecer el privilegio se ha ganado a través de la vulnerabilidad en el ptrace del kernel 2.4.20 y anteriores. Vulnerabilidad solucionada hace ya mucho tiempo mediante parches contra los kernels antiguos, o actualizando a las versiones 2.4.21 (que por cierto, ya estamos en la -rc2 de la 2.4.22) o 2.2.25, respectivamente.

Así que el único problema que ha habido en este caso ha sido: un administrador incompetente. Nada más. Y que debería haber hecho backups con más frecuencia, al menos de los MD5. Tener los MD5 sólamente en el mismo servidor donde tienes los archivos no sirve de mucho.

Saludos.

Nano, hubiera escocido si el hacker hubieras sido *tú* ;)

La diferencia, a "nosotros" nos han petado un servidor en un lejano pais llamad USA, a *ti* te han debido petar el PC lo menos por quinta vez esta semana y sin tener que salir de tu casa O;)

Por cierto, la GNU también distribuye soft para Windows y....

Microsoft usa productos GNU ¡¡ Bwahahahaha !!

;)

Que lenguaje de tags usas para escribir los comentarios? hay dtd disponible?

Me parece muy raro que el fallo fuera el bug del ptrace. Por lo que sé, para explotar el bug de ptrace hace falta acceso local a la máquina (o sea una shell), a no ser que obtuvieran acceso a un shell por otro bug y luego usaran el ptrace no me explico como puede ser.

¿ Es posible que fuera un fallo combinado del ftpd y del ptrace ?

Mas se parece a la cacería de Fraga, Cascos y demás (i)responsables de mantener el Prestig(e)io a flote.

¿Stallman tiene responsabilidades en la administración del site de gnu? ¿como Cascos y Fraga en el site este en que vivimos?