-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-06-05 a las 13:37 -0500, Carlos Martinez escribió:

Y dado que esto da para mucho de hablar, no queda de mas mencionar que el famoso error de ssl no afecta al ambiente Desktop, sino que estamos hablando de ambientes tipo servidor y enterprise y seguramente millones de dolares en certificados de seguridad SSL y otros cuantos millones en comercio electronico que confia su seguridad en certificados de juguete. La seguridad es un tema muy complejo y muchas veces se dice que un servidor es tan seguro como la persona que lo admistra.

Es posible que ahora digan que eso pasa por dejar la seguridad en manos de aficcionados, que para eso hacen falta profesionales, como los de... microsoft, por ejemplo. Lo dirán, ya lo veremos... Y esto demuestra que ciertos sistemas de seguridad hay que auditarlos periodicamente, y que el modelo del "peer review" no siempre funciona "porque sí". No es nada bueno para linux. Para ningún linux. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFISDqqtTMYHG2NR9URAg7LAJ9pvYKDiUspYyWVsjN81jJghuIq7QCeLQGZ 8RKF2PMVFifkdNhHOhCn+XU= =YJKR -----END PGP SIGNATURE-----

El Viernes, 6 de Junio de 2008, Rafa Grimán escribió: * Esto les paso por modificar el codigo y no contrastarlo con el equipo creador y mantenedor del proyecto, es como si yo cojo el codigo corto o añado lo que me de la gana y no lo notifico a nadie, la norma en las disttribuciones es trabajar sobre los repositorios originales y notificar y proponer cambios, quien no lo haga y su distribucion se lo permita es problema suyo. * Por tanto no es un problema estructural o de diseño como lo es en windows, es un problema de incumplimiento o ausencia de normas basicas, aplicables a los "mantenedores empaquetadores" notese que no creadores y Debián siempre sera el mas afectado, por un simple asunto numerico.

Hubo, hace años, un proyecto para hacer en Linux lo mismo que hacen los de OpenBSD, pero no tuvo mucho empuje ... lástima.

* Ya existen y varias y de las que yo conozco ninguna basada en debian o empaquetados .deb, el problema es que tienen el mismo numero de paquetes por defecto que OpenBSD, te recuerdo que hasta hace cuatro dias al menos, en la instalacion por defecto que es la que se publicita como segura o auditada, no instala ni siquiera un servidor de correo, que por cierto era sendmail que habia que tener huevos, es decir no mantiene 20.000 programas oficiales y otros tantos miles no oficiales como debian u otras, debian es una distribucion de proposito general y la que mas bugs acumula con muuuucha diferencia por razones obvias y no procede rasgarse las vestiduras. * La estupidez de los usuarios (supuestas elites, juaquers, enteraos y saltacorrales) que pululan y descubren america todos lo dias en las distintas distribuciones a medida que las van descubriendo, no es algo achacable a Linux o a las distribuciones, es un problema intrinseco al ser humano que segun lo que usa, asi se etiqueta ya sea a si mismo o a una distribucion, y si le cambias el pienso ya no es nadie, de hay vienen las adhesiones incondicionales a algo tan efimero como es una distribucion.

No quiero entrar en debates polémicos ni en comparativas debian vs SuSe, pero por mi experiencia ganaría la espiral (y de goleada) -----Mensaje original----- De: Carlos Martinez [mailto:camarti@gmail.com] Enviado el: jueves, 05 de junio de 2008 20:37 Para: opensuse-es@opensuse.org Asunto: Re: [opensuse-es] [OT] Menos mal que no uso Debian Saludos. Desafortunadamente, esto que ha ocurrido con Debian y su SSL capado no es para reirse. Ha sido de sobra el golpe mas duro a la seguridad que ha recibido Linux en toda su existencia. Ni siquiera el error vmsplice se le compara y es algo que no se soluciona con actualizar, ni siquiera los que usan otras distribuciones (y otros sistemas operativos) estan a salvo, porque como probables usuarios activos de Internet eventualmente van a interactuar (o ya lo han hecho), con claves y certificados que da igual no usarlos. Y lo que es peor, el error anda dando vueltas desde hace mucho rato asi que llevamos mucho tiempo en una ventana de exposicion con las previsibles e imprevisibles consecuencias de ello. Y seguirá dando vueltas muchos años mas. El error ha afectado a Debian y a sus derivados, pero Linux es hoy por hoy el hazmereir en cuanto a seguridad. Para la mayoria de las personas Debian, Slackware, Red Hat, openSUSE, Ubuntu, etc, "son Linux" (asi haya como 200 distribuciones distintas), asi como para la mayoria de las personas Windows engloba a win98, NT, 2000, Me, XP, Vista, Server 2003, etc. Es decir, se habla de Linux y GNU/Linux y hay un inclusion implicita de todas esas distribuciones, asi como cuando se habla de Windows y hay una inclusion implicita de todas las versiones de ese S.O y la mayoria se imagina un XP o Vista con sus incontables defectos. No se hace distinción alguna y los errores de uno se le achacan al otro. Una cosa es hablar de comparar sistemas operativos de escritorio con sistemas operativos orientados a servidores y otra cosa bien distinta es comparar sistemas operativos de servidor, con sistemas operativos de servidor. Las reglas cambian completamente y aqui ya dejamos de hablar de firewalls todo en uno y click,click,click,listo y sistemas "Que se instalan tal como estan recien salidos de la caja" para probar su "seguridad" a sistemas que se piensan en horizontes de 5 años o mas y que van a recibir toda clase de ataques desde todas partes del mundo. Linux es excelente en muchas cosas y esta mostrando ser lo suficientemente flexible como para adaptarse a entornos con necesidades distintas (Desktop, servidores, RT, dispositivos embebidos, etc), pero no podemos dormirnos en los luareles y asumir que cosas que eran hace 4-5 años ciertas (como windows apesta), todavia lo siguen siendo. En otras palabras, en cuanto a seguridad se refiere, Linux con cosas como las ocurridas en los ultimos meses se esta quedando rezagado, porque dicho sea de paso aun los *BSD lo superan en cuanto a seguridad y estabilidad se refiere y Windows 2003 le esta pisando los talones. Y dado que esto da para mucho de hablar, no queda de mas mencionar que el famoso error de ssl no afecta al ambiente Desktop, sino que estamos hablando de ambientes tipo servidor y enterprise y seguramente millones de dolares en certificados de seguridad SSL y otros cuantos millones en comercio electronico que confia su seguridad en certificados de juguete. La seguridad es un tema muy complejo y muchas veces se dice que un servidor es tan seguro como la persona que lo admistra. Hasta la proxima Carlos 2008/6/5 @LeX :

2008/6/5 Juan Erbes :

...

Esto es lo que dicen los debianitas?

Los debianistas son la clase "elite" y mas pura del codigo libre .... Son los que tienen la comunidad mas grande mundialmente ...

...

Salu2

El día 5 de junio de 2008 13:40, Alfredo Amaya

escribió:

...

...

No flames, por favor

El día 5 de junio de 2008 17:38, Juan Erbes escribió:

...

El "Desastre Debian", llegó a los diarios de conocimiento publico: http://www.lanacion.com.ar/tecnologia/nota.asp?nota_id=1017063

Allá por 2006, un programador de Debian estaba trabajando en OpenSSL cuando el depurador, un sistema que se usa para detectar errores en el código, le hizo algunas advertencias sobre memoria no inicializada. Después de consultar con el grupo OpenSSL , simplemente decidió eliminar las líneas de código molestas, con las consecuencias antedichas. Dicha discusión puede verse aquí: http://rt.openssl.org/Ticket/Display.html?id=521&user=guest&pass=guest Según Debian, la intención de su programador era depurar el código, algo intrínsecamente bueno, y además hizo lo que correspondía, consultar con OpenSSL , que no encontró objeciones en eliminar dichas instrucciones (

http://wiki.debian.org/SSLkeys#head-a8437fc14786b3d5b9678241c7201c8c863555e7

...

).

Pero el borrado de esas dos líneas de código causó que el generador de números seudoaleatorios (PRGN, por sus siglas en inglés) simplemente quedara restringido a usar 32.768 posibles semillas. Y adiós.

http://rt.openssl.org/Ticket/Display.html?id=521&user=guest&pass=guest http://www.debian.org/security/2008/dsa-1571

Que dirán ahora los debianitas, que decían tener "la distro mas segura"?

Para ellos es un error humano, que lo aceptan y ya lo hicieron publico

Yo tambien hice bromas con este error en mi blog http://alexio44.blogspot.com/2008/05/problemas-con-debian-ubuntu.html

--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

El 5/06/08, Carlos Martinez escribió:

Desafortunadamente, esto que ha ocurrido con Debian y su SSL capado no es para reirse.

(...)

El error ha afectado a Debian y a sus derivados, pero Linux es hoy por hoy el hazmereir en cuanto a seguridad.

No creo que esa sea una opinión compartida en el sector industrial ni tampoco en el de la seguridad. Tampoco creo que sea correcto extrapolar un error concreto a todo un sistema o conjunto. El fallo conviene en que falta revisión y supervisión, en general, en procesos que son complejos y que requieren un análisis minucioso y exhaustivo, pero no deja de ser un error humano que se ha conocido y se ha elevado a categoría de "público". Me preocuparía más de los errores "desconocidos" que existen en la actualidad o de los que se conocen pero no se "publica" nada. Como dice el refrán: "Guerra avisada no mata soldado". Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

Hola :) El Thursday 05 June 2008, @LeX escribió:

2008/6/5 Juan Erbes :

...

Esto es lo que dicen los debianitas?

Los debianistas son la clase "elite" y mas pura del codigo libre ....

Yo no estoy tan seguro con lo que dices: - para mi es más elite Gentoo, LFS, Exherbo, ... ya que se basan en código fuente puro y duro. Claro, que el código fuente debe ser nuestra máxima ya que si nuestra máxima es ver la tele ... serían los de MythTV. Etc. - para mi lo de más pura del código libre ... Tienen un repositorio non-free, al igual que las demás distros No es por empezar un flame 0:)

Son los que tienen la comunidad mas grande mundialmente ...

¿Y? Telefónica tiene la mayor comunidad de usuarios de telefonía fija y móvil de España. no tengo nada en contra de Debian, yo he sido usuario durante mucho tiempo (de Debian, el Ubuntu y derivados no me gustan nada) incluso hasta hace poco lo tenía en mi R2.

...

...

...

Que dir�n ahora los debianitas, que dec�an tener "la distro mas segura"?

Para ellos es un error humano, que lo aceptan y ya lo hicieron publico

Han sido muy correctos en esto y me parece estupendo los pasos que han seguido. No han ocultado nada, no han hecho marketing barato, simplemente han admitido el fallo y se han puesto a corregirlo: es un modelo a seguir.

Yo tambien hice bromas con este error en mi blog http://alexio44.blogspot.com/2008/05/problemas-con-debian-ubuntu.html

Muy buenos, sí señor !!! Rafa -- "We cannot treat computers as Humans. Computers need love." rgriman@skype.com --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org