in ,

Agujero de seguridad en Linux

Un gran agujero de seguridad ha sido encontrado en el código básico que emplean una gran cantidad de programas destinados a proteger a los equipos que corren diferentes versiones de Linux. Increíblemente, el problema se originó en mayo del 2006, cuando un grupo de programadores cometió un error que no fue detectado por la comunidad open-source.

Ubuntu está entre los afectados.

La controversia sobre qué sistema operativo es el más seguro está al rojo vivo. Quizás por una cuestión de “tradición”, se supone que Linux es mucho más seguro que Windows, y que el OS X es prácticamente invulnerable a los ataques de los hackers. Sin embargo, hace unas semanas supimos que en un concurso de seguridad, el primero en caer fue el sistema operativo estrella de Apple, que solo duro un par de minutos antes de ser hackeado por un equipo de expertos.

Básicamente, el error al que nos referimos se encuentra en el mecanismo que debe crear la “entropía” necesaria para que el generador de contraseñas sea efectivo. En general, y aunque cueste creerlo, es muy difícil escribir un software que genere números al azar. Es decir, verdaderamente al azar. Dado que un ordenador es una maquina perfectamente lógica y determinística, no puede directamente “inventar” un número completamente fruto del azar. En su lugar, se emplean algoritmos de pseudos- azar, muy complicados, que brindan números que se distribuyen lo más uniformemente posible en el espacio elegido.

En caso de que estos números tiendan a “agruparse” en determinados rangos, la efectividad del algoritmo se ve muy disminuida. En el caso de las contraseñas, dada la gran velocidad de los ordenadores actuales, deben ser lo bastante fuertes como para resistir un ataque por “fuerza bruta” o mediante diccionarios. Si se dispone del tiempo suficiente, cualquier sistema basado en contraseñas puede ser vulnerado. El secreto esta en que la contraseña sea lo suficientemente robusta como para “resistir” el ataque durante miles de años. Y eso necesita de algoritmos generadores de números aleatorios lo suficientemente buenos.

Existe una librería, llamada OpenSSL library que proporciona las rutinas necesarias para la generación de claves utilizadas por el programa de acceso remoto SSH,  el IPsec Virtual Private Network (VPN), el Apache Web server, software de correo electrónico y muchísimos programas más. Un par de líneas de código mal escritas dentro de este paquete hizo que millones de ordenadores que basaban su seguridad en OpenSSL library quedasen desprotegidos.

Sin entrar en detalles matemáticos (que pueden consultarse aquí), lo que ocurrió fue que un algoritmo destinado a proveer seguridad de 128 bits (que proporciona 3.400.000.000.000.000.000.000.000.000.000.000.000.000 contraseñas diferentes) por error se redujo en la practica a solo 15 bits (lo que limita las contraseñas posibles a “solo” 32.767). En lugar de necesitar algunos millones de años de pruebas para acceder a los sistemas protegidos, un hacker podría entrar en segundos.

Debian, una versión de Linux elegida a menudo por los fanáticos de la seguridad, y Ubuntu, quizás la más exitosa distribución entre los usuarios hogareños fueron afectadas por el error.

Reportar

¿Qué te pareció?

Escrito por Ariel Palazzesi

11 Comments

Leave a Reply
  1. Pero que exageración, tampoco es para taaaanta noticia esas cosas se solucionan en un upgrade automatico en cuanto a ubuntu reemplazando la libreria defectuosa y ubuntu es poco utilizado como server salvo en servidores ciegos (sin salida a internet) asi que tanto riesgo como tener windows recien instalado sin parches ni antivirus no es ni remotamente… Ahora era considerado esta mal por que sigue siendo considerado. Lo bueno del software open-source es que esas cosas son cosas solucionables, si tenes un windows server y tenes un bug en el kernel no podes compilarlo por que no tenes los sources…

    • jeje, realmente si es grave, ya que además de simplemente parchar, es necesario regenerar cada clave de cada servicio o programa que hubiese utilizado la versión anterior. Es una tarea muy tediosa si se es un administrador de muchos equipos, y lo digo por lo que me han comentado algunos amigos que administran algunos equipos (y no muchos en comparación a otras empresas).

  2. Simplemente es un error, todo error tiene su solucion, aqui lo interesante es su parche que creo que ya esta en las actualizaciones de Debian etch, alo que yo se.
    Un pequeño tropiezo, pero porque no se descubrio antes?, tal vez no hubo quien tratara de romperlo por esta via, tal ves no le tomaron improtancia, tal vez lo sabian los crackers y no lo revelaron, quien sabe, lo buneo esque esta solucionado.

  3. Si, claro que se soluciono, todos los dias se conocen nuevos agujerazos de seguridad en windows y nadie hace noticia de ello, jajaja mil service packs para multiples hoyos, los softwares como corel y adobe tienen muchos bugs y bue, este comentario es lo que molesta realmente: — Quizás por una cuestión de “tradición”, se supone que Linux es mucho más seguro que Windows — tradicion? ponganse a probar vulnerabilidades y veran que SI es mucho mas seguro que windows, y no las imitaciones baratas de seguridad como las quiso implementar windows vista haciendote 100 preguntas hasta para apagar la maquina… y bueno…

  4. En linux un error es noticia porque practicamente no tiene.
    En windows no es cosa del otro mundo, solo programan porque ese es su trabajo, pero no lo hacen con pacion y empeño.

    • ja! me parto, hay muchisimos xploits y vulnerabilidades para Linux, de hecho en ciertos momentos ha llegado a superar a Windows en realación nº de xploits aparecidos al mes.
      Se nota que eres un chavalillo que no tiene mucha idea, date una vuelta por muchos de los sitios donde recopilan vulnerabilidades y echale un vistazo a Linux y su Apache, Sendmail, MySQL, PHP, etc… hay para escribir varios libros.

      • pero imagino que pasa lo mismo cuando llenas tu servidor windows de servicios equivalentes no ?

        es decir, es obvio que entre mas cosas instales, mayor la posibilidad de encontrar un hueco de seguridad, el asunto es que en caso de windows los encuentras tanto en un desktop como en un server…

        Aunque aqui no se trata de la tipica pelea de cual S.O. es mejor… si no que al momento de escoger miremos las lo resultados de pruebas de seguridad como de las que se habla en el articulo.

        Si no.. pues usemos FreeBSD.. :p

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Greenpeace Vs. consolas: “son toxicas”

El nuevo vídeo de Weezer y los personajes más famosos de YouTube