jueves, agosto 16, 2007

Master en Gestion de Sistemas Ubuntu

El mes de agosto de este año está siendo agitado para Ubuntu y los servidores. Después de la “maldad” que puse sobre el downtime de los sitios web dónde el sitio Ubuntu.com salía con más de 1 día de parada en lo que va de año, resulta, que unos días antes de la festividad de “San Ubuntu Iluminador” se cepillaron 5 de los 8 servidores de los sitios de las comunidades Ubuntu. Muchos de estos sitios, como dicen en el mail de alerta, no son muy activos. ¿Eso es una buena noticia?

Tras analizar las posibles causas se encuentran que:

a) the servers, especially zambezi were running an incredible amount of web software (over 15 packages[1] that we recognised) and of all the ones where it's trivial to determine a version, they were without exception out-of-date and missing security patches.
An attacker could have gotten a shell through almost any of these sites.


Todo el software que corría, absolutante todo, sin excepción, corría con software sin actualizar parches de seguridad. Esto ha resultado bastante curioso, pues al ir a comprobar desde cuando, resulta, que llevaban desde el día 24 de Octubre de 2006. Es decir, 9 meses y medio sin actualizar un software expuesto a Internet. Muy hábil.


Penitencia: 10 San Ubuntu Ilumínanos en penitencia por no actualizar cada parche y 150 San Ubuntu Ilumínanos en penitencia por usar Debian.

b) FTP (not sftp, without SSL) was being used to access the machines, so an attacker (in the right place) could also have gotten access by sniffing the clear-text passwords.

Contraseñas sin cifrar... mmmm... ¿quién montó esto el día 1?

Penitencia: 20 San Ububuntu ilumínamos por cada acceso de usuario y 50 por cada acceso como root/admin en texto claro.

c) The servers have not been upgraded past breezy due to problems with the network card and later kernels. This probably allowed the attacker to gain root.

O sea, que al tener problemas con los drivers, no se podía actualizar el hardware y debido a ello, todos los fallos de seguridad de los últimos 9 meses y medio, incluidos los que permitían ejecución remota de código y elevación de privilegios han hecho que “probablemente” el atacante fuera root.

Penitencia: 100 San Ubuntu ilumínanos por NO hacer nada sabiendo que estaban en esta situación y dejar que se llegara a esto.

Esto ha pasado por no usar Ubuntu para los servidores en lugar de Debian y además, por no tomar un soporte anual para el servicio. El coste de esto no es tanto hombre, veamos, os cojo soporte para 8 servidores y para 8 desktops, para que podáis currar sin problemas y sale:


Que en Euros son : 28,250.59 EUR

Tras leer toda la historia, esto no deja de recordarme a lo que pasó el año pasado con Gluck en Debian, así que, en honor a los administradores que no parchean los servidores les digo la frase que más me gusto

“you do an excellent job”

Saludos Malignos!

20 comentarios:

  1. ¡¡¡Noooooo!!!! El maligno usando el navegador del zorro, ya verás cuando se enteren en Spectra. Se te va a acabar el chollo...

    ResponderEliminar
  2. La mejor forma de comprobar que esto es una CAGADA en mayúsculas, de las que no hay por donde cogerlas, es que el primer comentario "anónimo" sólo acierte a indicar que la captura está hecha con Firefox.

    ResponderEliminar
  3. ¿Una cagada? Mas bien como tener diarrea en medio de una era sin papel a mano y llevando pantalones cortos; ahora que lo de los 28mil pavos ufff anda que no habrá gente que pueda llevar 8 servidores como deus manda por ese dinero.

    ResponderEliminar
  4. si es que no veis mas alla de vuestras narices...

    Este es el modelo de negocio del software gratis...

    Dejan que peten sus servidores para demostrar que el soporte es necesario y asi que la gente pague 28k leuros al año de soporte...

    Con Spectra es todo mucho mas caro, tienes que pagar las licencias y todo...

    ResponderEliminar
  5. Filemaster xDDDD. Que utilicen tu servidor para corrar un bot y joder atus coleguitas del canal...pse, pero que lo usen para enviar spam... xDDDDDDDD es una putada. Para todo lo demás, MasterCard

    ResponderEliminar
  6. No teneis ni idea de lo que hablais. Con servidores Linux los boquetes de seguridad son escalables, interoperables, user-friendly...
    XD

    ResponderEliminar
  7. El que manda el e-mail de las causas en ratos libres hace la versión heavy metal de la free software song.

    ResponderEliminar
  8. ¿Esto con spectra como se evita?,

    A ver si lo recuerdo, hay que tener un sistema operativo que vale 500€ y hay que apretar en: inicio-panel de control-actualizaciones automáticas-descargar automáticamente e instalar (esto es gratis y te lo explican)

    ¿Para 8 servidores es mejor el wsus no? (que también es gratis)

    ¿Y si quiero estar en Canarias tranquílamente escribiendo post todo el dia, lo monitorizo con lo que ahora se llama scmm antes mom no? (vale pasta, pero, ¿lo hay gratis?)

    Juas, Juas.

    MiguelH.

    ResponderEliminar
  9. @anónimo, sí, lo uso, y en el mes de Septiembre y Octubro escribo unos artículos sobre como fortificar Apache sobre Linux. ¿Te sorprende?

    Por cierto... lo hice con Firefox, pq la web de canonical no iba bien con IE7... Qué raro!!

    Mira, le he pasado el markup validator del w3c y en la primera página tiene 8 fallos de validación. Si le miramos el CSS, el de accesibilidad y demás, ¿los pasará?.

    W3C Markup Validator www.canonical.com

    @Troxer, es que no funcionaba con IE7 :P

    @anónimo, el soporte es el negocio de Ubuntu y demases. Con los portátiles con Ubuntu instalado, se paga por ese soporte a canonical.

    @filemaster, es lo que tiene. Distinto modelos de negocio. Elige como pagar, pero paga! :P

    @resto, tiene cierta gracia pero la cagada en administración es XXL. Tal vez pensaban esa frase que digo en la charla de ¿seguro que estás seguro?. "Y a mi ¿quién me va a atacar?"

    ResponderEliminar
  10. Se os esta pasando lo mas importante... ¿Tendrían las ventanitas "flan"? ¿El atacante se pudo entretener mientras el John hacia su trabajo?

    ResponderEliminar
  11. Holaa.
    Pasaba a saludar, Chema.
    Saludos desde Argentina, quiero ir a tu charla, y no ppuedo. :(

    Que te vaya muy bien, cuentame luego que paso con eso que te envié del serial key de Windows Vista. :-)

    Manu

    ResponderEliminar
  12. ¡Chema, Chema... qué afilada es tu ironía cuando juzgas al enemigo y qué blandito cuando juzgas a tu querida micro$oft!

    Hace unos pocos meses le hicieron unos ataques a unos sitios de tu micro$soft del alma querida y en tu post (que hablaba de otra cosa) zanjaste el tema diciendo que era una "cagada de despiste" (No tengo a mano el enlace a esa entrada).

    Este de Ubuntu ha sido un caso parecido (sites secundarios y gestionados por gente que no es directamente Ubuntu) y rápidamente le dedicas una entrada completa con todo lujo de detalles.

    En fin, sólo quería recordarte que las negligencias pueden darse en ambos bandos. Y, realmente, más que a ti, quería recordárselo a tu grupito de admiradores que tan rápido hacen chistes extendiendo esta cagada a todo el soft. libre.

    ResponderEliminar
  13. Sí, anónimo, es exactamente lo mismo no validar un campo que no tener parcheada ninguna aplicación de unos cuantos servidores, acceder a los servidores con contraseñas en texto claro y tener el SO desactualizado. Lo mismisto.

    Por cierto, la entrada que dices es . Los traidores de Spectra somos tontainas, pero menos vaguetes para buscar las cosas.

    ResponderEliminar
  14. ¿Ves? Si ya digo que somos tontainas. La entrada es esta.

    ResponderEliminar
  15. @anónimo, creo que hice algún chiste y le recomendé los aparatitos de We share your pain!

    @manu, tal vez esté allí más tiempo y haga más cosas, así que tal vez nos podamos ver (y tal vez me apunte a participar en alguna charla gratis para la gente, estoy mirándolo). El martes me reuno con los compañeros de regreso y miro a ver que me cuentan.

    @Julio, gracias por la respuesta!

    ResponderEliminar
  16. Todo el que se dedica a la seguridad profesionalmente sabe que, esta reside en los administradores de sistemas y los recursos que disponen de varias indoles. Puede que tengas una opinión u otra o incluso preferencias, pero este ejemplo no representa nada, como no representa nada que hoy, que se han publicado estas vulnerabilidades que permiten ejecución de código remoto, no comentes nada:

    MS07-042 Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution (936227)
    MS07-043 Vulnerability in OLE Automation Could Allow Remote Code Execution (921503)
    MS07-044 Vulnerability in Microsoft Excel Could Allow Remote Code Execution (940965)
    MS07-046 Vulnerability in GDI Could Allow Remote Code Execution (938829)
    MS07-047 Vulnerabilities in Windows Media Player Could Allow Remote Code Execution (936782)
    MS07-048 Vulnerabilities in Windows Gadgets Could Allow Remote Code Execution (938123)
    MS07-049 Vulnerability in Virtual PC and Virtual Server Could Allow Elevation of Privilege (937986)
    MS07-050 Vulnerability in Vector Markup Language Could Allow Remote Code Execution (938127)

    En el curso Numero 1 de APRENDE A VENDER, ya comentan que para hacer publicidad lo mejor es contar caracteristicas de tu producto y no criticar el resto gratuitamente.

    Un abrazo.

    ResponderEliminar
  17. ¿Y en el curso numero 1 de logica avanzada te enseñan a seguir los enlaces?
    Para el curso 2 de logica avanzada se vera como descargar libremente (free) las soluciones gratuitas (free) a dichos problemas.
    Espero que en el curso 3 me enseñen a no dejar pasar ningun mes sin cuidar y revisar los servidores.

    ResponderEliminar
  18. Hola aramosf,

    como bien sabes, tú y yo nos dedicamnos a esto profesionalmente. La seguridad depende de tres factores, Personas, Procesos y Tecnología. Quizá el que menos impacto tiene es el tecnológico si los otros dos son buenos.

    Respecto a los fallos del mes, como sabrás estoy en un programa por ser MVP que me llegan antes de ser hechos públicos y estoy al tanto. Como ves, han sido 9 fallos para TODOS los productos de Spectra en un mes. ¿Te parece mal resultado? Yo creo que se está haciendo un trabajo excelente en reducir esos números, pero como dijo Santo Tomás de Aquino "Nada imperfecto puede crear algo perfecto". El ser humano es imperfecto y no puede hacer tecnología perfecta. Ni Linux es perfecto!

    Respecto a lo de vender, como ya sabras yo no vendo nada en Spectra y el post, como puedes leer, solo hace sorna de una cagada con mayusculas. ¿Tú dejarías 9 meses sin parchear tus servidores externos? ¿Tú pondrías acceso a servidores con passwords en texto claro?

    Y una segunda demencial que me ha hecho gracia. Los servidores de la comunidad Ubuntu funcionan con Debian y no se actulizan ¿por qué no hay drivers adecuados? Demencial. Podía haber hecho mil chistes, del tipo, "La comunidad Ubuntu no es capaz de programar un driver" o cualquier otra chorrada solo por divertirme, pero me conformé con quedarme ahí.

    Saludos compi...y sigo queriendo partirte las piernas. :P (con cariño)

    ResponderEliminar
  19. Me gusta ver que os preocupais de Ubuntu y del sw libre, bien, bien, significa que las cosas no se estan haciendo mal... hasta estais pensando en hacer código Open Source eso sí es un Wooooow; alguna trampa traera porque M$ esta claro que no sabe jugar limpio.

    -...ladran los perros Sancho, señal que caminamos...-

    ResponderEliminar
  20. Hola Galcet,

    me encantan las citas. Aprovechando el V centenario del Quijote, aproveché para leerme a mi compadre don Alonso Quijano.

    La sabiduría popular tiene mucho que enseñarnos, en temas de Seguridad informática, después de llevar años con esto se me apareció un refrán castellano digno de aplicarle a los sistemas Linux.

    "Dime de que presumes y te diré de que careces"

    Saludos!

    ResponderEliminar