Poll

Navegador predeterminado de ALDOS

¿Cuál debe ser el navegador predeterminado en ALDOS?

  •  Firefox (opción actual)
  •  Qupzilla
  •  Otter Browser
  •  Seamonkey
  •  Chromium

Resultados
Other polls | 1,466 voters | 1 comentarios

Conectados...

Usuarios invitados: 613

Bienvenido(a) a Alcance Libre 05/09/2025, 20:00

Home >Seguridad

La Nación: El Desastre Debian nos afectará por años.

Seguridad
Comentario del editor (Joel Barrios): ¡Hagamos campaña por informar y para regenerar llaves públicas!

Un artículo en el diario La Nación, de Argentina, dice que pasarán muchos años antes de que se olvide el incidente en la comunidad del software libre. Será imposible determinar hasta donde llegarán las consecuencias del denominado Desastre Debian. El artículo menciona que lo único que se puede rescatar, e incluso aplaudir, es que se hizo público y jamás se ocultó, como es algo que si suele ocurrir con el software propietario.

Para resumir el incidente, durante un año y ocho meses quienes utilizaron Debian estuvieron creando llaves públicas inseguras, debido a que dos líneas de código fueron eliminadas en OpenSSL y que crearon vulnerabilidad en el generador de números seudoaleatorios haciendo que se se empezaron a utilizaran como semillas los identificadores de proceso (PID). Debido a que en Linux sólo puede haber 32,768 identificadores de proceso, el número de semillas disponibles para generar números al azar se volvió ridículamente bajo. Como el algoritmo que se usa para producir números al azar es conocida, teniendo esto en cuenta y las posibles semillas, es fácil adivinar el cifrado resultante.

De acuerdo al autor del artículo, Ariel Torres, el Desastre Debian no afectará solo a Debian mismo, sino que alcanza a cualquier sistema donde algún administrador usuario de Debian haya puesto una llave pública.

Ariel Torres opina que el hecho de que la distribución de GNU/Linux más respetada haya quedado asociada a un desastre de seguridad informática es motivo de preocupación. Sin embargo el incidente deja varias lecciones para meditar y evitar que se repitan los mismos errores. A nadie conviene que desparezca el Software Libre, ni siquiera a sus opositores.Todo es una simple ecuación económica. Un estudio de la Universidad del Rey Juan Carlos, de Madrid, España, llegó a la conclusión de que si las 283 millones de líneas de código de Debian fueran propiedad de una compañía privada, estas habrían costado alrededor de 5400 millones de euros.

Fuente: La Nación.

Filed under: Seguridad

Seguimiento

TURL de seguimiento para esta entrada:
https://blog.alcancelibre.org/trackback.php/20080604135211790

No hay seguimientos para esta entrada.

Los siguientes comentarios son de la persona que los haya enviado. Este sitio no se hace responsable de las opiniones expresadas por los participantes en los foros y secciones de comentarios, y el hecho de publicar las mismas no significa que esté de acuerdo con ellas.

Comments are closed and no new posts are allowed.

  • La Nación: El Desastre Debian nos afectará por años.
  • Escrito por:Xcause sobre 04/06/2008, 20:11
esto tiene algo que ver con lo que una vez...con unos hacker's que se metieron a los servidores de debian, en los depositorios y entremezclaron paquetes con codigos maliciosos para los servidores basados en debian?
cada vez que se actualizaban pasaba su gran asaña?, que las firmas de los paquetes eran aun asi los orginales, sin embargo estaban infectados? 
segun que esto era un gran ejemplo de que "nada es seguro apesar de lo que hagan siempre habra algo que se pueda romper en seguridad"?



---
de vuelta en vuelta (8) tururu
  • La Nación: El Desastre Debian nos afectará por años.
  • Escrito por:Samuel sobre 05/06/2008, 00:55
No tiene nada que ver lo que comentas. Con respecto al problema que se menciona en la nota, pues si el fallo de seguridad es grave, no se si tan grave como el del kernel de Linux ocurrido recientemente. Pues el fallo en Openssl afecta todos los servicios que utilicen claves y certificados generados por OpenSSL desde la versión 0.9.8c-1.  El fallo afecta solo a Debian y derivados porque en Debian realizan modificaciones a las aplicaciones o paquetes con el fin de mejorarlas comunicándole las mejoras a los desarrolladores de la aplicación para la mejoría de las mismas. En este caso no fue mejoría sino todo lo contrario. Y como las distribuciones basadas en Debian toman los paquetes de esta pues también resultaron afectados.

Aunque con una simple actualización (aptitude upgrade) se corregía el problema sustituyendo automáticamente todas las claves afectadas de todos los servicios. La verdad es que estuvieron desprotegidos todo este tiempo sin saberse todos los servicios que corrían esta versión de Openssl. 

---
Debian la mejor distro. La mayor recopilación de paquetes disponibles con un simple "aptitude install paquete".

---
Debian la mejor distro. La mayor recopilación de paquetes disponibles con un simple "aptitude install paquete".
  • La Nación: El Desastre Debian nos afectará por años.
  • Escrito por:Joel Barrios Dueñas sobre 06/06/2008, 19:31
Lo que si es un hecho es que muchos no se han enterado aún. Algunos apenas se enteraron ahora que lo comentamos de nuevo. Probablemente otros tantos se enterarán después. No es que desde ya haya gente tratando de craquear servidores con llaves generadas desde Debian, pero si será una molestia por algún tiempo. Como una cascara de maíz palomero que se queda atorado entre las muelas.

---
--
Joel Barrios Dueñas.
Director General Alcance Libre, A.C.
http://www.AlcanceLibre.org/
La libertad del conocimiento al alcance de quien la busca.

---
Debian la mejor distro. La mayor recopilación de paquetes disponibles con un simple "aptitude install paquete".