jueves, mayo 15, 2008

Juguetes para Debian

Uff, esto se está poniendo calentito!

Ya existen exploits por todas partes, hay exploits para los servicios SSH, pero claro, también hay para descifrar sesiones VPN-SSL o HTTP-s grabadas (¡Un plugin para Wireshark ya!) o para poder realizar ataques MITM en tiempo real (¿estarán añadiendo esta utilidad ya a Cain?) o para mil cosas.

Hablando con Luciano me comenta que la gente ha empezado a desparramar con la teoría de la conspiración (¿recordaís los bugs de Spectra que dejaba a drede para que el gobierno tomara el control?).

H.D. More ya tiene publicados un juguetitos especiales para Debian...y derivados.

OpenSSL PRNG Debian Toys

Este fallo lleva ya un buen tiempo, y, pese a disponerse del código fuente, ha pasado mucho tiempo sin descubrirse. La solución ha sido rápida, pero parece que no ha sido tan fina como debiera y están empezarse a darse situaciones complejas.

Esto huele a que el título que puso Luciano en su blog no va a ser tan descabellado.

Un buena fiesta. Suerte a los Debianitas que me imagino el curro que tenéis.

Saludos Malignos!

16 comentarios:

Anónimo dijo...

sudo apt-get update
sudo apt-get upgrade

...

sudor :).

Chema Alonso dijo...

@anónimo, si fuera así de fácil solucionar todo esto...

Y cuando decía debinaitas, me refería a los que mantienen Debian como Luciano...

Saludos!

Tonio dijo...

Ostia tron, la entrevista que te hicieron fue muy corta coño.

Así no se puede... de todas formas, macho tu donde vas a parar?????

que tio!

Ale, que tengo trabajo, yo todo orgulloso de tener una Debian etch en mi viejo portatil y ahora mis claves por medio mundo, meKagoenlaPuta!!

BlackTigerX dijo...

jeje, si que le pegaron duro a Linux con esto

Anónimo dijo...

"Un problema similar se reportó en Windows. En noviembre de 2007, un
equipo de investigadores israelíes publicaron un análisis criptográfico
sobre el algoritmo usado por Microsoft Windows 2000 y XP para generar
números aleatorios, el PRNG (Pseudo-Random Number Generator).
Descubrieron que contenía serios problemas en su implementación. Las
conclusiones del estudio revelaban (entre otros fallos) que es posible,
y relativamente sencillo, predecir los resultados previos y futuros del
algoritmo a partir del conocimiento de un estado interno del generador,
así como las claves de sesión usadas y las que se usarán en un futuro
para cifrar información. Vista no sufría el problema, y Microsoft dijo
que lo arreglaría en el Service Pack 3 para XP. Según parece no ha sido
así y aunque han mejorado algunas funciones criptográficas con él, no
han resuelto este problema en concreto. "

http://www.hispasec.com/unaaldia/3490

Anónimo dijo...

Qué caXXXncete estás hecho... estás disfrutando de lo lindo!!

Justo esta semana pasada he explicado en clase cómo funciona SSH, he instalado OpenSSH en Debian y había alardeado de su seguridad... no comment.

Un saludo!

Chema Alonso dijo...

@anónimo, el problema es similar, pero no igual. Tengo pendiente una conversación con De los Santos sobre esto. ;)

Anónimo dijo...

@chen doy fe!
tambien doy fe de que nos hizo spam con este blog xD

Salu2

Anónimo dijo...

Para los que dicen que esto es un palo gordo a linux...

Que tienen que ver churras con merinas? Es un fallo (eso si, gordo) en un paquete concreto por un mantenedor debian. Ni OpenSSL es linux (que tambien se usa en muchisimas app en windows, y en muchos otros S.O.), ni pasa en el codigo fuente original (solo debian y derivados).

Anónimo dijo...

Ondia.. dos más dos...

Chema, ¿Ubuntu está basado en debian, no? O sea que ahora eres vulnerable...

evilteq dijo...

@primer anónimo:
el sudo no es retroactivo (están trabajando en ello, pero es que Dios también usa código cerrado para aquello del tiempo).

Me encantan los "desparrames con la teoría de la conspiración". En este caso esto todo mucho mas rebuscado, pues todo estaba al aire libre. Me encanta :)

Ubuntu, y un montón más de distribuciones, están basadas en debian.

Anónimo dijo...

Offtopic:

Hablando de errores de debian y ubuntu. Y aprovechando que estas cumpliendo tu penitencia con ubuntu. Has notado que a menudo se cuelga el firefox cuando visitas youtube??

Yo tengo 2 linux distintos. En uno tengo ubuntu y en otro arch. En el de ubuntu se me cuelga el firefox muy a menudo cuando estoy viendo videos en el youtube (tambien en youporn y redtube pero eso no deberia decirlo ;) ) se me queda totalmente colgado el firefox. En arch, que yo sepa, no me ocurre.

Por cierto la actualizacion de ubuntu ya avisa que va actualizar las claves de ssh

Chema Alonso dijo...

@anónimo, yo creía que cuando se pone negro es para darle un rollo cine negro...

Saludos!

Anónimo dijo...

"un palo grande para linux"
Una afirmación que algunos hacen casi con intención de "herir?" - No lo digo por ningún comentario en particular o comentarios de aquí, es sólo una reflexión -

1 - Como bien han dicho más arriba, el problema es de un paquete, no de linux. Además si nos ponemos puristas, Linux, es el kernel solamente así que en todo caso sería el palo a GNU/Linux.

2 - Ohh soledad mustios collados... Los desarrolladores son personas, y una de las cosas que caracterizan al ser humano es que suele equivocarse. - Supongo que algunos de los acusadores han de ser replicantes... pues ojo que harrison ford vuelve - :)
3 - Tras el descubrimiento del bug, la lista de debian-developers empezó a tener movimiento, para consultar dudas y ponerse manos a la obra a trabajar. Creo que es un ejemplo de colaboración y de lo que es la filosofía del software libre.

...Algunos dirán que solo "vemos la paja en el ojo ajeno" yque acusamos siempre a los chicos de Redmon. Pero en cuanto tenemos un fallo nosotros lo justificamos... Pues quizás, cada uno tira para su casa ¿O no?

Saludos.

1;

Anónimo dijo...

@juan luis belmonte
"los desarrolladores de linux son personas y se equivocan"

Los desarroladores de Microsoft, por el contrario, son una panda de monos verdes africanos (cercopthecus aethiops) a los que han emborrachado con absenta, de ahi que windows sea más inseguro. Son protohombres tarados por el alcohol y por tanto más tendentes a errores.

Anónimo dijo...

Aquí, lo explica :

http://www.hispasec.com/unaaldia/3492

Es realmente grave, como alguna CA utilizase Debian + la versión de OpenSSL afectada ...

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares