No quiero entrar en debates polémicos ni en comparativas debian vs SuSe,
pero por mi experiencia ganaría la espiral (y de goleada)
-----Mensaje original-----
De: Carlos Martinez [mailto:camarti@gmail.com]
Enviado el: jueves, 05 de junio de 2008 20:37
Para: opensuse-es@opensuse.org
Asunto: Re: [opensuse-es] [OT] Menos mal que no uso Debian
Saludos.
Desafortunadamente, esto que ha ocurrido con Debian y su SSL capado no
es para reirse.
Ha sido de sobra el golpe mas duro a la seguridad que ha recibido
Linux en toda su existencia. Ni siquiera el error vmsplice se le
compara y es algo que no se soluciona con actualizar, ni siquiera los
que usan otras distribuciones (y otros sistemas operativos) estan a
salvo, porque como probables usuarios activos de Internet
eventualmente van a interactuar (o ya lo han hecho), con claves y
certificados que da igual no usarlos. Y lo que es peor, el error anda
dando vueltas desde hace mucho rato asi que llevamos mucho tiempo en
una ventana de exposicion con las previsibles e imprevisibles
consecuencias de ello. Y seguirá dando vueltas muchos años mas.
El error ha afectado a Debian y a sus derivados, pero Linux es hoy
por hoy el hazmereir en cuanto a seguridad.
Para la mayoria de las personas Debian, Slackware, Red Hat, openSUSE,
Ubuntu, etc, "son Linux" (asi haya como 200 distribuciones distintas),
asi como para la mayoria de las personas Windows engloba a win98, NT,
2000, Me, XP, Vista, Server 2003, etc. Es decir, se habla de Linux y
GNU/Linux y hay un inclusion implicita de todas esas distribuciones,
asi como cuando se habla de Windows y hay una inclusion implicita de
todas las versiones de ese S.O y la mayoria se imagina un XP o Vista
con sus incontables defectos. No se hace distinción alguna y los
errores de uno se le achacan al otro.
Una cosa es hablar de comparar sistemas operativos de escritorio con
sistemas operativos orientados a servidores y otra cosa bien distinta
es comparar sistemas operativos de servidor, con sistemas operativos
de servidor. Las reglas cambian completamente y aqui ya dejamos de
hablar de firewalls todo en uno y click,click,click,listo y sistemas
"Que se instalan tal como estan recien salidos de la caja" para probar
su "seguridad" a sistemas que se piensan en horizontes de 5 años o mas
y que van a recibir toda clase de ataques desde todas partes del
mundo.
Linux es excelente en muchas cosas y esta mostrando ser lo
suficientemente flexible como para adaptarse a entornos con
necesidades distintas (Desktop, servidores, RT, dispositivos
embebidos, etc), pero no podemos dormirnos en los luareles y asumir
que cosas que eran hace 4-5 años ciertas (como windows apesta),
todavia lo siguen siendo. En otras palabras, en cuanto a seguridad se
refiere, Linux con cosas como las ocurridas en los ultimos meses se
esta quedando rezagado, porque dicho sea de paso aun los *BSD lo
superan en cuanto a seguridad y estabilidad se refiere y Windows 2003
le esta pisando los talones.
Y dado que esto da para mucho de hablar, no queda de mas mencionar que
el famoso error de ssl no afecta al ambiente Desktop, sino que estamos
hablando de ambientes tipo servidor y enterprise y seguramente
millones de dolares en certificados de seguridad SSL y otros cuantos
millones en comercio electronico que confia su seguridad en
certificados de juguete. La seguridad es un tema muy complejo y muchas
veces se dice que un servidor es tan seguro como la persona que lo
admistra.
Hasta la proxima
Carlos
2008/6/5 @LeX
2008/6/5 Juan Erbes
: Esto es lo que dicen los debianitas?
Los debianistas son la clase "elite" y mas pura del codigo libre .... Son los que tienen la comunidad mas grande mundialmente ...
Salu2
El día 5 de junio de 2008 13:40, Alfredo Amaya
escribió:
No flames, por favor
El día 5 de junio de 2008 17:38, Juan Erbes
escribió: El "Desastre Debian", llegó a los diarios de conocimiento publico: http://www.lanacion.com.ar/tecnologia/nota.asp?nota_id=1017063
Allá por 2006, un programador de Debian estaba trabajando en OpenSSL cuando el depurador, un sistema que se usa para detectar errores en el código, le hizo algunas advertencias sobre memoria no inicializada. Después de consultar con el grupo OpenSSL , simplemente decidió eliminar las líneas de código molestas, con las consecuencias antedichas. Dicha discusión puede verse aquí: http://rt.openssl.org/Ticket/Display.html?id=521&user=guest&pass=guest Según Debian, la intención de su programador era depurar el código, algo intrínsecamente bueno, y además hizo lo que correspondía, consultar con OpenSSL , que no encontró objeciones en eliminar dichas instrucciones (
http://wiki.debian.org/SSLkeys#head-a8437fc14786b3d5b9678241c7201c8c863555e7
).
Pero el borrado de esas dos líneas de código causó que el generador de números seudoaleatorios (PRGN, por sus siglas en inglés) simplemente quedara restringido a usar 32.768 posibles semillas. Y adiós.
http://rt.openssl.org/Ticket/Display.html?id=521&user=guest&pass=guest http://www.debian.org/security/2008/dsa-1571
Que dirán ahora los debianitas, que decían tener "la distro mas segura"?
Para ellos es un error humano, que lo aceptan y ya lo hicieron publico
Yo tambien hice bromas con este error en mi blog http://alexio44.blogspot.com/2008/05/problemas-con-debian-ubuntu.html
--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org