jueves, mayo 15, 2008

Mirar para adentro

El aviso de seguridad de Debian DSA-1571-1 arranca así... "Luciano Bello descubrió que el generador de números aleatorios en el paquete openssl de Debian es predecible. Esto es causado por un cambio realizado al paquete openssl particular de Debian. Como resultado, el material de clave criptográfica puede ser comprometido."

... y con ese primer párrafo se desencadena el apocalipsis criptográfico, como bien lo denomina Luciano en su blog.

La falla descubierta por Bello es crítica al extremo. Permite comprometer un sistema en cuestión de minutos u horas y afecta desde hace 2 años a miles de hosts en el mundo que corren Debian y sus derivados. Estamos hablando de que es posible vulnerar los controles de acceso a virtualmente cualquier host con un servicio openssh que esté utilizando claves públicas. Ya hay scripts como para entretenerse bajando servers por todos lados.

Como debianero/debianita (near fanatic) que soy, esto me preocupa, y mucho. Si bien la solución fue bastante trivial (yo ya hice lo debido en cada host), así como también lo es la falla original, creo que es momento de plantearse seriamente el proceso de aplicación de parches en el proyecto. Luciano lo deja más que claro en su blog: "... necesitamos un proceso de auditoría real en los parches específicos de Debian. Es difícil, pero necesario."

En la red ya hay un cúmulo de repartijas de responsabilidades, en ./ en inglés, en ./ en castellano. Lo que yo saco en limpio es más o menos lo siguiente:
  • Muchos de nosotros como desarrolladores de software libre tenemos una parte de responsabilidad ya, por el mínimo hecho de no auditar código por nuestra propia seguridad (y me incluyo entre los que no lo han hecho). Obviamente en los casos donde uno pueda, ya que leer código no es para cualquiera y cada paquete tiene lo suyo.
  • El responsable del paquete también tiene lo suyo por realizar la modificación sin interiorizarse un poco más en el algoritmo subyacente (sepa Ud. que aquí hablo por tener boca y con autoridad nula). Aunque su responsabilidad no es tanta como se le ha atribuído originalmente, pues...
Mas allá de lo malo que ésto ha sido (digo, la vulnerabilidad), rescato dos tres cosas:
  • La transparencia en los procedimientos de publicación y tratamiento de la vulnerabilidad. Un fallo de estas características en un producto privativo podría implicar una pérdida importante para su empresa proveedora, que en su intento de minimizar el impacto podría optar por ocultar no sólo el fallo sino su reparación. Los más conspirativos pueden pensar, incluso, que esto ocurre constantemente en muchos productos de software. Debian, por las características del proyecto y por cómo es llevado a cabo tiene la clave en el punto 3 del contrato social: No ocultaremos los problemas. Sólo esto, para mí, es fantástico.
  • La celeridad con que actuó la comunidad. Para calcular esto deberíamos saber con exactitud cuándo se contactó Luciano con la gente de security, pero el hecho es que al momento de la publicación de la falla ya estaba en los mirrors la version de openssl arreglada.
  • Y el hecho de que haya sido un propio Debian Developer (y argentino para colmo, tras que no somos agrandados) el que lo haya detectado. De acá es donde viene el título del post, él hizo lo que muchos debemos hacer: mirar para adentro.
Para finalizar:
  • Mis felicitaciones a Luciano por su primer DSA que ha sido impactante.
  • Cayendo se vuelve a andar, así dicen...
  • Ah, y aprovechen iptables que para algo está.
Saludos!

lunes, mayo 12, 2008

Orgullo, prejuicio y nada de persuasión

Estaba leyendo el suplemento de informática de La Nación y la columna de esta semana de Ariel Torres me pareció muy interesante. Se titula "Orgullo, prejuicio y nada de persuasión" y trata de los call-centers de ADSL... Alguno los conoce?

Les recomiendo los comentarios de los lectores: no tienen desperdicio.

viernes, mayo 02, 2008

Tu celular te da vergüencita ?

Me he ca**do de risa con el comercial de una conocida empresa de telefonía celular. La escena? Un juicio, un testigo, su celular y un relato conmovedor...



ROFLMAO !

Super Mario en 14k de Javascript

El Super Mario ya es un juegazo legendario. A mi juicio uno de los mejores, sino el mejor.
Pero hacerlo en javascript, jugable e idéntico, eso es ingenio al cubo.


Ah, no me creen? Me tratan de mentiroso? Véanlo ustedes mismos.