jueves, agosto 16, 2007

Master en Gestion de Sistemas Ubuntu

El mes de agosto de este año está siendo agitado para Ubuntu y los servidores. Después de la “maldad” que puse sobre el downtime de los sitios web dónde el sitio Ubuntu.com salía con más de 1 día de parada en lo que va de año, resulta, que unos días antes de la festividad de “San Ubuntu Iluminador” se cepillaron 5 de los 8 servidores de los sitios de las comunidades Ubuntu. Muchos de estos sitios, como dicen en el mail de alerta, no son muy activos. ¿Eso es una buena noticia?

Tras analizar las posibles causas se encuentran que:

a) the servers, especially zambezi were running an incredible amount of web software (over 15 packages[1] that we recognised) and of all the ones where it's trivial to determine a version, they were without exception out-of-date and missing security patches.
An attacker could have gotten a shell through almost any of these sites.


Todo el software que corría, absolutante todo, sin excepción, corría con software sin actualizar parches de seguridad. Esto ha resultado bastante curioso, pues al ir a comprobar desde cuando, resulta, que llevaban desde el día 24 de Octubre de 2006. Es decir, 9 meses y medio sin actualizar un software expuesto a Internet. Muy hábil.


Penitencia: 10 San Ubuntu Ilumínanos en penitencia por no actualizar cada parche y 150 San Ubuntu Ilumínanos en penitencia por usar Debian.

b) FTP (not sftp, without SSL) was being used to access the machines, so an attacker (in the right place) could also have gotten access by sniffing the clear-text passwords.

Contraseñas sin cifrar... mmmm... ¿quién montó esto el día 1?

Penitencia: 20 San Ububuntu ilumínamos por cada acceso de usuario y 50 por cada acceso como root/admin en texto claro.

c) The servers have not been upgraded past breezy due to problems with the network card and later kernels. This probably allowed the attacker to gain root.

O sea, que al tener problemas con los drivers, no se podía actualizar el hardware y debido a ello, todos los fallos de seguridad de los últimos 9 meses y medio, incluidos los que permitían ejecución remota de código y elevación de privilegios han hecho que “probablemente” el atacante fuera root.

Penitencia: 100 San Ubuntu ilumínanos por NO hacer nada sabiendo que estaban en esta situación y dejar que se llegara a esto.

Esto ha pasado por no usar Ubuntu para los servidores en lugar de Debian y además, por no tomar un soporte anual para el servicio. El coste de esto no es tanto hombre, veamos, os cojo soporte para 8 servidores y para 8 desktops, para que podáis currar sin problemas y sale:


Que en Euros son : 28,250.59 EUR

Tras leer toda la historia, esto no deja de recordarme a lo que pasó el año pasado con Gluck en Debian, así que, en honor a los administradores que no parchean los servidores les digo la frase que más me gusto

“you do an excellent job”

Saludos Malignos!

20 comentarios:

Anónimo dijo...

¡¡¡Noooooo!!!! El maligno usando el navegador del zorro, ya verás cuando se enteren en Spectra. Se te va a acabar el chollo...

Anónimo dijo...

La mejor forma de comprobar que esto es una CAGADA en mayúsculas, de las que no hay por donde cogerlas, es que el primer comentario "anónimo" sólo acierte a indicar que la captura está hecha con Firefox.

Anónimo dijo...

¿Una cagada? Mas bien como tener diarrea en medio de una era sin papel a mano y llevando pantalones cortos; ahora que lo de los 28mil pavos ufff anda que no habrá gente que pueda llevar 8 servidores como deus manda por ese dinero.

FilEMASTER dijo...

si es que no veis mas alla de vuestras narices...

Este es el modelo de negocio del software gratis...

Dejan que peten sus servidores para demostrar que el soporte es necesario y asi que la gente pague 28k leuros al año de soporte...

Con Spectra es todo mucho mas caro, tienes que pagar las licencias y todo...

Anónimo dijo...

Filemaster xDDDD. Que utilicen tu servidor para corrar un bot y joder atus coleguitas del canal...pse, pero que lo usen para enviar spam... xDDDDDDDD es una putada. Para todo lo demás, MasterCard

Anónimo dijo...

No teneis ni idea de lo que hablais. Con servidores Linux los boquetes de seguridad son escalables, interoperables, user-friendly...
XD

Anónimo dijo...

El que manda el e-mail de las causas en ratos libres hace la versión heavy metal de la free software song.

Miguel H. dijo...

¿Esto con spectra como se evita?,

A ver si lo recuerdo, hay que tener un sistema operativo que vale 500€ y hay que apretar en: inicio-panel de control-actualizaciones automáticas-descargar automáticamente e instalar (esto es gratis y te lo explican)

¿Para 8 servidores es mejor el wsus no? (que también es gratis)

¿Y si quiero estar en Canarias tranquílamente escribiendo post todo el dia, lo monitorizo con lo que ahora se llama scmm antes mom no? (vale pasta, pero, ¿lo hay gratis?)

Juas, Juas.

MiguelH.

Chema Alonso dijo...

@anónimo, sí, lo uso, y en el mes de Septiembre y Octubro escribo unos artículos sobre como fortificar Apache sobre Linux. ¿Te sorprende?

Por cierto... lo hice con Firefox, pq la web de canonical no iba bien con IE7... Qué raro!!

Mira, le he pasado el markup validator del w3c y en la primera página tiene 8 fallos de validación. Si le miramos el CSS, el de accesibilidad y demás, ¿los pasará?.

W3C Markup Validator www.canonical.com

@Troxer, es que no funcionaba con IE7 :P

@anónimo, el soporte es el negocio de Ubuntu y demases. Con los portátiles con Ubuntu instalado, se paga por ese soporte a canonical.

@filemaster, es lo que tiene. Distinto modelos de negocio. Elige como pagar, pero paga! :P

@resto, tiene cierta gracia pero la cagada en administración es XXL. Tal vez pensaban esa frase que digo en la charla de ¿seguro que estás seguro?. "Y a mi ¿quién me va a atacar?"

Anónimo dijo...

Se os esta pasando lo mas importante... ¿Tendrían las ventanitas "flan"? ¿El atacante se pudo entretener mientras el John hacia su trabajo?

manu ^^ dijo...

Holaa.
Pasaba a saludar, Chema.
Saludos desde Argentina, quiero ir a tu charla, y no ppuedo. :(

Que te vaya muy bien, cuentame luego que paso con eso que te envié del serial key de Windows Vista. :-)

Manu

Anónimo dijo...

¡Chema, Chema... qué afilada es tu ironía cuando juzgas al enemigo y qué blandito cuando juzgas a tu querida micro$oft!

Hace unos pocos meses le hicieron unos ataques a unos sitios de tu micro$soft del alma querida y en tu post (que hablaba de otra cosa) zanjaste el tema diciendo que era una "cagada de despiste" (No tengo a mano el enlace a esa entrada).

Este de Ubuntu ha sido un caso parecido (sites secundarios y gestionados por gente que no es directamente Ubuntu) y rápidamente le dedicas una entrada completa con todo lujo de detalles.

En fin, sólo quería recordarte que las negligencias pueden darse en ambos bandos. Y, realmente, más que a ti, quería recordárselo a tu grupito de admiradores que tan rápido hacen chistes extendiendo esta cagada a todo el soft. libre.

Anónimo dijo...

Sí, anónimo, es exactamente lo mismo no validar un campo que no tener parcheada ninguna aplicación de unos cuantos servidores, acceder a los servidores con contraseñas en texto claro y tener el SO desactualizado. Lo mismisto.

Por cierto, la entrada que dices es . Los traidores de Spectra somos tontainas, pero menos vaguetes para buscar las cosas.

Anónimo dijo...

¿Ves? Si ya digo que somos tontainas. La entrada es esta.

Chema Alonso dijo...

@anónimo, creo que hice algún chiste y le recomendé los aparatitos de We share your pain!

@manu, tal vez esté allí más tiempo y haga más cosas, así que tal vez nos podamos ver (y tal vez me apunte a participar en alguna charla gratis para la gente, estoy mirándolo). El martes me reuno con los compañeros de regreso y miro a ver que me cuentan.

@Julio, gracias por la respuesta!

Anónimo dijo...

Todo el que se dedica a la seguridad profesionalmente sabe que, esta reside en los administradores de sistemas y los recursos que disponen de varias indoles. Puede que tengas una opinión u otra o incluso preferencias, pero este ejemplo no representa nada, como no representa nada que hoy, que se han publicado estas vulnerabilidades que permiten ejecución de código remoto, no comentes nada:

MS07-042 Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution (936227)
MS07-043 Vulnerability in OLE Automation Could Allow Remote Code Execution (921503)
MS07-044 Vulnerability in Microsoft Excel Could Allow Remote Code Execution (940965)
MS07-046 Vulnerability in GDI Could Allow Remote Code Execution (938829)
MS07-047 Vulnerabilities in Windows Media Player Could Allow Remote Code Execution (936782)
MS07-048 Vulnerabilities in Windows Gadgets Could Allow Remote Code Execution (938123)
MS07-049 Vulnerability in Virtual PC and Virtual Server Could Allow Elevation of Privilege (937986)
MS07-050 Vulnerability in Vector Markup Language Could Allow Remote Code Execution (938127)

En el curso Numero 1 de APRENDE A VENDER, ya comentan que para hacer publicidad lo mejor es contar caracteristicas de tu producto y no criticar el resto gratuitamente.

Un abrazo.

Anónimo dijo...

¿Y en el curso numero 1 de logica avanzada te enseñan a seguir los enlaces?
Para el curso 2 de logica avanzada se vera como descargar libremente (free) las soluciones gratuitas (free) a dichos problemas.
Espero que en el curso 3 me enseñen a no dejar pasar ningun mes sin cuidar y revisar los servidores.

Chema Alonso dijo...

Hola aramosf,

como bien sabes, tú y yo nos dedicamnos a esto profesionalmente. La seguridad depende de tres factores, Personas, Procesos y Tecnología. Quizá el que menos impacto tiene es el tecnológico si los otros dos son buenos.

Respecto a los fallos del mes, como sabrás estoy en un programa por ser MVP que me llegan antes de ser hechos públicos y estoy al tanto. Como ves, han sido 9 fallos para TODOS los productos de Spectra en un mes. ¿Te parece mal resultado? Yo creo que se está haciendo un trabajo excelente en reducir esos números, pero como dijo Santo Tomás de Aquino "Nada imperfecto puede crear algo perfecto". El ser humano es imperfecto y no puede hacer tecnología perfecta. Ni Linux es perfecto!

Respecto a lo de vender, como ya sabras yo no vendo nada en Spectra y el post, como puedes leer, solo hace sorna de una cagada con mayusculas. ¿Tú dejarías 9 meses sin parchear tus servidores externos? ¿Tú pondrías acceso a servidores con passwords en texto claro?

Y una segunda demencial que me ha hecho gracia. Los servidores de la comunidad Ubuntu funcionan con Debian y no se actulizan ¿por qué no hay drivers adecuados? Demencial. Podía haber hecho mil chistes, del tipo, "La comunidad Ubuntu no es capaz de programar un driver" o cualquier otra chorrada solo por divertirme, pero me conformé con quedarme ahí.

Saludos compi...y sigo queriendo partirte las piernas. :P (con cariño)

Anónimo dijo...

Me gusta ver que os preocupais de Ubuntu y del sw libre, bien, bien, significa que las cosas no se estan haciendo mal... hasta estais pensando en hacer código Open Source eso sí es un Wooooow; alguna trampa traera porque M$ esta claro que no sabe jugar limpio.

-...ladran los perros Sancho, señal que caminamos...-

Chema Alonso dijo...

Hola Galcet,

me encantan las citas. Aprovechando el V centenario del Quijote, aproveché para leerme a mi compadre don Alonso Quijano.

La sabiduría popular tiene mucho que enseñarnos, en temas de Seguridad informática, después de llevar años con esto se me apareció un refrán castellano digno de aplicarle a los sistemas Linux.

"Dime de que presumes y te diré de que careces"

Saludos!

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares