{"id":396,"date":"2008-05-15T09:22:21","date_gmt":"2008-05-15T12:22:21","guid":{"rendered":"http:\/\/www.maurom.com\/blog\/?p=396"},"modified":"2012-09-03T22:59:29","modified_gmt":"2012-09-04T01:59:29","slug":"mirar-para-adentro","status":"publish","type":"post","link":"https:\/\/maurom.com\/blog\/2008\/05\/15\/mirar-para-adentro\/","title":{"rendered":"Mirar para adentro"},"content":{"rendered":"<p>El <span style=\"font-weight: bold;\">aviso de seguridad de Debian <\/span><a style=\"font-weight: bold;\" href=\"http:\/\/www.debian.org\/security\/2008\/dsa-1571\">DSA-1571-1<\/a> arranca as\u00ed&#8230; <span style=\"font-style: italic;\">&#8220;Luciano Bello descubri\u00f3 que el generador de n\u00fameros aleatorios en el paquete openssl de Debian es predecible. Esto es causado por un cambio realizado al paquete openssl particular de Debian. Como resultado, el material de clave criptogr\u00e1fica puede ser comprometido.&#8221;<\/span><\/p>\n<p>&#8230; y con ese primer p\u00e1rrafo se desencadena <a href=\"http:\/\/lbello.livejournal.com\/52684.html\">el apocalipsis criptogr\u00e1fico<\/a>, como bien lo denomina Luciano en su blog.<\/p>\n<p>La falla descubierta por Bello es cr\u00edtica al extremo. Permite comprometer un sistema en cuesti\u00f3n de minutos u horas y afecta desde hace 2 a\u00f1os a miles de hosts en el mundo que corren Debian y sus derivados. Estamos hablando de que es posible vulnerar los controles de acceso a virtualmente cualquier host con un servicio openssh que est\u00e9 utilizando claves p\u00fablicas. Ya <a href=\"http:\/\/www.milw0rm.com\/exploits\/5622\">hay scripts como para<\/a> <a href=\"http:\/\/metasploit.com\/users\/hdm\/tools\/debian-openssl\/\">entretenerse bajando servers<\/a> por todos lados.<\/p>\n<p>Como debianero\/debianita (near fanatic) que soy, esto me preocupa, y mucho. Si bien la soluci\u00f3n fue bastante trivial (yo ya hice lo debido en cada host), as\u00ed como tambi\u00e9n lo es la falla original, creo que es momento de plantearse seriamente el proceso de aplicaci\u00f3n de parches en el proyecto. Luciano lo deja m\u00e1s que claro en su blog: <span style=\"font-style: italic;\">&#8220;&#8230; necesitamos un proceso de auditor\u00eda real en los parches espec\u00edficos de Debian. <span style=\"font-weight: bold;\">Es dif\u00edcil, pero necesario.<\/span>&#8220;<\/span><\/p>\n<p>En la red ya hay un c\u00famulo de repartijas de responsabilidades, en <a href=\"http:\/\/it.slashdot.org\/it\/08\/05\/13\/1533212.shtml\">.\/ en ingl\u00e9s<\/a>, en <a href=\"http:\/\/barrapunto.com\/articles\/08\/05\/13\/1442221.shtml\">.\/ en castellano<\/a>. Lo que yo saco en limpio es m\u00e1s o menos lo siguiente:<\/p>\n<ul>\n<li>Muchos de nosotros como desarrolladores de software libre tenemos una parte de responsabilidad ya, por el m\u00ednimo hecho de no auditar c\u00f3digo por nuestra propia seguridad (y me incluyo entre los que no lo han hecho). Obviamente en los casos donde uno pueda, ya que leer c\u00f3digo no es para cualquiera y cada paquete tiene lo suyo.<\/li>\n<li>El responsable del paquete tambi\u00e9n tiene lo suyo por realizar la modificaci\u00f3n sin interiorizarse un poco m\u00e1s en el algoritmo subyacente (sepa Ud. que aqu\u00ed hablo por tener boca y con autoridad nula). Aunque su responsabilidad no es tanta como se le ha atribu\u00eddo originalmente, pues&#8230;<\/li>\n<li>Los desarrolladores de openssl (a quien debo mis respetos) s\u00ed <a href=\"http:\/\/marc.info\/?l=openssl-dev&amp;m=114651085826293&amp;w=2\">fueron consultados originalmente<\/a> respecto del parche, pero la respuesta <a href=\"http:\/\/marc.info\/?l=openssl-dev&amp;m=114652287210110&amp;w=2\"> no fue lo suficientemente expl\u00edcita<\/a>. Muchos ya han expresado su opini\u00f3n respecto de que quiz\u00e1 <a href=\"http:\/\/blog.drinsama.de\/erich\/en\/linux\/2008051401-debian-openssl-desaster.html\">deber\u00edan documentar un poco m\u00e1s el c\u00f3digo fuente<\/a>.<\/li>\n<\/ul>\n<p>Mas all\u00e1 de lo malo que \u00e9sto ha sido (digo, la vulnerabilidad), rescato <span title=\"brain fsum bug\"><s>dos<\/s> tres<\/span> cosas:<\/p>\n<ul>\n<li>La <span style=\"font-weight: bold;\">transparencia<\/span> en los procedimientos de publicaci\u00f3n y tratamiento de la vulnerabilidad. Un fallo de estas caracter\u00edsticas en un producto privativo podr\u00eda implicar una p\u00e9rdida importante para su empresa proveedora, que en su intento de minimizar el impacto podr\u00eda optar por ocultar no s\u00f3lo el fallo sino su reparaci\u00f3n. Los m\u00e1s conspirativos pueden pensar, incluso, que esto ocurre constantemente en muchos productos de software. Debian, por las caracter\u00edsticas del proyecto y por c\u00f3mo es llevado a cabo tiene la clave en el <a href=\"http:\/\/www.debian.org\/social_contract\">punto 3 del contrato social<\/a>:<span style=\"font-weight: bold;\"> No ocultaremos los problemas.<\/span> S\u00f3lo esto, para m\u00ed, es fant\u00e1stico.<\/li>\n<li>La <span style=\"font-weight: bold;\">celeridad<\/span> con que actu\u00f3 la comunidad. Para calcular esto deber\u00edamos saber con exactitud cu\u00e1ndo se contact\u00f3 Luciano con la gente de security, pero el hecho es que al momento de la publicaci\u00f3n de la falla ya estaba en los mirrors la version de openssl arreglada.<\/li>\n<li>Y el hecho de que <span style=\"font-weight: bold;\">haya sido un propio<\/span> <span style=\"font-weight: bold;\">Debian Developer<\/span> (y argentino para colmo, tras que no somos agrandados) el que lo haya detectado. De ac\u00e1 es donde viene el t\u00edtulo del post, \u00e9l hizo lo que muchos debemos hacer: <span style=\"font-weight: bold;\">mirar para adentro<\/span>.<\/li>\n<\/ul>\n<p>Para finalizar:<\/p>\n<ul>\n<li>Mis felicitaciones a Luciano por su primer DSA que ha sido impactante.<\/li>\n<li>Cayendo se vuelve a andar, as\u00ed dicen&#8230;<\/li>\n<li>Ah, y aprovechen iptables que para algo est\u00e1.<\/li>\n<\/ul>\n<p>Saludos!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El aviso de seguridad de Debian DSA-1571-1 arranca as\u00ed&#8230; &#8220;Luciano Bello descubri\u00f3 que el generador de n\u00fameros aleatorios en el paquete openssl de Debian es predecible. Esto es causado por un cambio realizado al paquete openssl particular de Debian. Como resultado, el material de clave criptogr\u00e1fica puede ser comprometido.&#8221; &#8230; y con ese primer p\u00e1rrafo [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[5,8,3],"_links":{"self":[{"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/posts\/396"}],"collection":[{"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/comments?post=396"}],"version-history":[{"count":0,"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/posts\/396\/revisions"}],"wp:attachment":[{"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/media?parent=396"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/categories?post=396"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/tags?post=396"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}