quinta-feira, junho 19, 2008

Actualidade

--> Ler máis...[+]

quinta-feira, junho 12, 2008

Cultura libre para unha sociedade libre: Xornadas na Coruña

XORNADAS CULTURA LIBRE
C.S. ATREU! + L.S.O. CASA DAS ATOCHAS A CORUÑA


Cultura libre para unha sociedade libre

No CSA ATREU! Travessa Sam José, 2 - As Atochas-Montealto
  • Martes 10- 20:00 > 22:00 Iniciación a GNU/Linux. Primeira parte do obradoiro de inciación ao sistema GNU/Linux, instalación de Ubuntu. Desenvolvido polo Hacktreu (CSA Atreu)
  • Mércores 11 -20:00 > 22:00 Permanecer en GNU/Linux. Segunda parte do obradoiro de inciación ao sistema GNU/Linux, nocións básicas para manexar o sistema. Desenvolvido polo Hacktreu (CSA Atreu)
  • Xoves 12 - 21:00> Blogaliza, a información alternativa Palestra ofrecida por Pedro Silva, creador de blogaliza.org, portal de blogues en galego.
  • Luns 16 - 19:00 > 22:00 Programación web Inciación ás linguaxes Html e Css, obradoiro a cargo de Trebelab (A Cova dos ratos, Vigo)
  • Martes 17 - 19:00 > 22:00 Deseño con ferramentas libres: Inkscape Primeira parte do obradoiro, manexo do programa de deseño vectorial inkscape, exercicio práctico contrapublicitario. Desenvolvido polo Hacktreu (CSA Atreu)
  • Mércores 18 - 19:00 > 22:00 Deseño con ferramentas libres: Gimp Segunda parte do obradoiro, manexo do programa de retoque fotográfico Gimp, exercicio práctico contrapublicitario II. Desenvolvido polo Hacktreu (CSA Atreu)
  • Sábado 21 - 12:00 > 14:00 - 16:00 > 20:00 Obradoiro de Cinelerra Software libre de edición e posprodución de video, introdución teórica máis módulo práctico. Desenvolvido por Olholivre.

NA CASA DAS ATOCHAS Atocha Alta, 14 -As Atochas- Montealto

  • Venres 13 - 21:00 Virtual WWWorlds. Servidumes e liberacións na era dixital. Palestra ofrecida por Rosendo González. Revista Transversal
  • Sábado 14 - 12:00 > 14:00 - 16:00 > 19:00 Montando unha radio libre Obradoiro práctico para a montaxe dunha radio libre, a cargo da Radio Kalimera (Compostela)
    19:00 > 22:00 Contrapublicidade. unha aproximación teórica, proxección de material contrapublicitario, a cargo de Semsumistas (Vigo)
  • Mércores 18 - 21:00 Presentación do proxecto editorial Estaleiro Organización editorial galega, autoxestionada, asemblearia e sen ánimo de lucro. Edita baixo licenza Creative Commons.
  • Xoves 19 - 21:00 Presentación do Cineclube Compostela

  • Venres 20 - 20:00 Presentación do komando-antisgae Comando Anti-SGAE / Acción: cultura libre (Galiza)
    21:00 A información que Sgae omite e censura Palestra a cargo de Ana Mª, integrante da Asesoria eXgae
  • Sábado 21 - 20:30 Presentación de GzVideos
    21:00 Presentación de Olholivre :: estreas + festa despedida ::

::venres 13> dj hash&carlitos selector :: sábado 14> dj LS_O ::
:: venres 20> dj Fake :: sábado 21> BreakThatBeat Dubstep Special :: Sesións de Djs + ceador vegano
"Cozinha Quente" MC

http://olholivre.net
http://aculturapreokupa.blogaliza.org/
________________
--> Ler máis...[+]

terça-feira, junho 03, 2008

O Desastre Debian afectaranos por anos: A eliminación de tan só dúas liñas de código causou unha grave crise de seguridade

O Desastre Debian afectaranos por anos
A eliminación de tan só dúas liñas de código causou unha grave crise de seguridade
Luns 2 de xuño de 2008


Pasará moito tempo antes de que estes días esquézanse na comunidade do software libre. E ninguén sabe ata onde chegarán as consecuencias do que xa se coñece como o Desastre Debian . "Pero sabés que é o mellor -dicíame nestes días un hacker amigo-, que aínda que estamos profundamente avergoñados, doídos e amolados, de todas as maneiras fixémolo público, non o ocultamos. E sabemos que imos saír adiante".

Para resumir o incidente, os sistemas que usan a distribución de Linux chamada Debian estiveron un ano e oito meses creando contraseñas públicas totalmente inseguras. E isto ocorreu porque dúas liñas de código foron eliminadas dunha aplicación coñecida como OpenSLL . O Desastre Debian non afecta só a Linux, senón que alcanza a calquera sistema que teña algunha relación coa seguridade en Internet.

O asunto é interesante porque quedou demostrado que só dúas liñas de código realmente poden causar unha catástrofe de seguridade, e porque se trata dunha cuestión tecnicamente moi complexa que nos afecta de forma directa e cotiá. A maior parte dos tecnicismos quedarán fóra desta columna, para non volvela indigesta, pero os curiosos poderán ler máis detalles nos links que aparecen ao longo do texto.

Contraseñas públicas

Cada vez que facemos transaccións bancarias ou comerciais en Internet, os datos son encriptados durante o traxecto, de tal xeito que un pirata informático non poida espiar as nosas contraseñas e outros datos sensibles. Encriptar algo é, en poucas palabras, convertelo nun galimatías inextricable que só pode descifrarse se se conta coas contraseñas adecuadas.

Nas comunicacións por Internet úsanse SSL ou TLS . As siglas veñen de Secure Sockets Layer e Transport Layer Security. No proceso requírense contraseñas públicas que cada parte produce aleatoriamente. Funciona ben, ou razoablemente ben, considerando a inseguridade inherente á Rede.

O único pequeno problema é que, ao revés que no mundo real, nas computadoras o azar sinxelamente non existe. Pódello emular con bastante fidelidade, pero é un dos puntos débiles destas tecnoloxías. O azar, no mundo informático, pode volverse algo máis ou menos predicible; e aínda o mellor dos azares non é azar verdadeiro. Estes números supostamente aleatorios creados polas computadoras chámanse, por isto, seudoaleatorios .

Para crear as claves que intercambian a nosa PC e o servidor co que queremos conectarnos (o do banco, digamos) débese producir números ao azar; seudoaleatorios, en rigor. Úsanse para isto sementes , é dicir, outros números, tamén ao azar e nun rango moi grande. Por que é tan importante a semente ? Porque é case a única forma de evitar que o número pseudoaleatorio co que se crean as claves públicas vólvase predicible. De ocorrer isto, o cifrado se desmoronaría.

OpenSSL é unha implementación de código fonte aberto de SSL e TLS . A súa versión inicial saíu en maio de 1999 e foi a primeira aplicación de software libre validada pola autoridade de tecnoloxías de encriptación de Estados Unidos. Nada facía supor que un dos máis prestixiosos paquetes de software libre estaría no centro dunha tormenta global nove anos despois. E moito menos que involucraría á máis respectada das distribucións de Linux, Debian.


Caos de xoguete

Ao revés que Windows ou Mac VOS, Linux non ten unha única versión, senón que chega ao público e as empresas baixo a forma de distribucións, ou distros , na xerga. De feito, calquera persoa cun pouco de coñecemento e bastante paciencia pode armar a súa propia distribución [www.gentoo.org].

As distros máis conspicuas teñen un cadro de persoal estable de programadores, que adaptan o código fonte de Linux a fins específicos. Rede Hat, por exemplo, é unha corporación que cotiza en Bolsa e conta cuns 2000 empregados. Canonical Limited, que compaxina Ubuntu, ten 130.

Debian é unha rareza magnífica. Fundada polo alemán-norteamericano Ian Murdock, en 1994, o proxecto propuña algo que os cínicos de moda atoparían risible: crear e manter unha distribución de Linux de forma cooperativa e aberta, co mesmo espírito do software libre e con idéntica coherencia política; é dicir, sen software de código pechado de ningunha clase. A palabra Debian é a combinación do nome da noiva de Murdock na época en que iniciou o proxecto, Debra, hoxe o seu ex esposa, e o seu propio nome de pila. Ian liderou Debian ata 1996, e actualmente é un dos vicepresidentes de Sun Microsystems. Aquí, o seu blog, aínda que non foi actualizado nos últimos dous meses: http://ianmurdock.com

Pese ao suposto exceso de idealismo (que fose da nosa especie sen os excesivamente idealistas?, pregúntome), Debian non só prosperou, senón que se converteu nunha das distribucións máis populares e, por moito, a máis respectada. Que nestes días quede asociada a un desastre de seguridade informática é á vez unha pena, un paradoxo e en gran medida unha inxustiza, como se verá enseguida.

Pero constitúe tamén unha lección que o software libre deberá aprender, ou arriscarse a quedar convertido nunha orquídea de invernadoiro ou en instrumento de grandes corporacións, como IBM ou Google, habendo así perdido por completo o seu sentido. E falo, como mínimo, dunha simple ecuación económica; se o software libre desaparece, todos perdemos, ata aqueles que non cren nel. Un estudo da Universidade do Rei Juan Carlos, de Madrid, España, concluíu hai pouco que se as 283 millóns de liñas de código de Debian fosen propiedade dunha compañía privada custarían uns 5400 millóns de euros [ https://penta.debconf.org/~joerg/attachments/33-measuring_etch_slides.pdf ].


Pero, que pasou exactamente?

O 13 de maio último, o proxecto Debian anunciou que descubrira unha vulnerabilidade no xerador de números seudoaleatorios da súa versión de OpenSSL . Devandito simple, o seu azar era previsible. Por que? Porque foran eliminadas dúas liñas de código. Por mor disto, de xeito silencioso e invisible, empezáronse a usar como sementes os identificadores de proceso , os números que se asignan a cada programa que corre nun sistema, neste caso Linux [ www.debian.org/security/2008/dsa-1571 ]. Posto que en Linux só pode haber 32.768 identificadores de proceso, o número de sementes dispoñibles para xerar números ao azar volveuse ridículamente baixo. Como o algoritmo [a matemática] que se usa para producir números ao azar é coñecida, tendo iso e as posibles sementes, é fácil adiviñar o cifrado resultante.

Parecía tan só outro deses miles de buracos de seguridade que infestan o código de todas as aplicacións informáticas de hoxe. Pero era moitísimo máis grave.

Durante un ano e oito meses, desde o 17/9/2006 ata o 13/5/2008, cando se corrixiu o fallo, os servidores baseados en Debian habían estado producindo claves fáciles de adiviñar, predicibles e, polo tanto, inútiles. Así que non bastaba con instalar a nova versión corrixida do paquete OpenSSL de Debian; había que rexenerar os certificados dixitais baseados nesas claves públicas e volvelos a enviar á autoridade competente.

Esas claves son independentes do sistema, polo que a vulnerabilidade pode estar agora enquistada en case calquera computadora do mundo. Oculta, esquecida, cunha grave vulnerabilidade latente.

E para empeorar aínda máis as cousas, hai unha cantidade de programas que se serven das bibliotecas de OpenSSL para facer o seu traballo de encriptación e seguridade.

Foi tan grave que o Centro de Tormentas de Internet ( www.sans.org ) non só o reportou inmediatamente [ http://isc.sans.org/diary.html?date=2008-05-13 ], senón que subiu o seu nivel de alerta a amarelo.

Só un par de días logo de saberse a noticia, as miñas máquinas con Ubuntu instalaron unha nova versión de OpenSSL, e como parte do proceso informáronme que ían recrear as miñas claves públicas; o sistema avisoume que, se non tiña idea do que isto significaba, déselle OK e esquecéseme do asunto. Era unha esquirla insignificante dun terremoto asolador. Me erizó a pel.

Quen non len inglés teñen un excelente resumo en español sobre o incidente en www.hispasec.com/unaaldia/3492

Que toquei?

Aparte da gravísima incerteza causada por case dous anos de crear e distribuír claves inseguras, está a humillación de como ocorreu fállaa. Se non está sentado, fágao agora, porque a raíz do problema non pode ser máis pueril.

Alá por 2006, un programador de Debian estaba traballando en OpenSSL cando o depurador, un sistema que se usa para detectar erros no código, fíxolle algunhas advertencias sobre memoria non inicializada. Logo de consultar co grupo OpenSSL , simplemente decidiu eliminar as liñas de código molestas, coas consecuencias antedichas. Devandita discusión pode verse aquí: http://rt.openssl.org/Ticket/Display.html?id=521&user=guest&pass=guest Segundo Debian, a intención do seu programador era depurar o código, algo intrinsecamente bo, e ademais fixo o que correspondía, consultar con OpenSSL , que non atopou obxeccións en eliminar devanditas instrucións [ http://wiki.debian.org/SSLkeys#head-a8437fc14786b3d5b9678241c7201c8c863555e7 ].

Pero o borrado desas dúas liñas de código causou que o xerador de números seudoaleatorios (PRGN, polas súas siglas en inglés) simplemente quedase restrinxido a usar 32.768 posibles sementes. E adeus.

Se vostede usa Ubuntu, Kubuntu ou calquera outro derivado de Debian, actualice o sistema, se non o fixo xa, para corrixir este bochornoso erro e rexenerar as claves criptográficas.

Se é administrador de sistemas, case sen ningunha dúbida ten relación coa seguridade informática, polo que sería moi aconsellable que revise todo o seu sistema de certificados e claves criptográficas. Canto antes, mellor.


Leccións ao día

Pode un facer todo ben e, con todo, equivocarse? Oh, si. Os xornalistas sabémolo ben. Podemos queimarnos o cerebro consultando as fontes e reflexionando sobre un asunto, buscando todos os ángulos posibles para non impor tendencia algunha ao noso texto e, con todo, publicar algo que non é enteiramente certo. necesitariamos quizá dous anos e medio para facelo enteiramente certo. Pero debemos pechar esa nota no día. Por que?

Porque, como aos programadores, desvélannos certos principios. No noso caso é a necesidade de dar a coñecer. É o mandamento non escrito desta profesión. Primeiro que nada, primeiro de nada e por sobre todas as cousas que o fluxo da información non se deteña. Ás veces este principio nos obnubila.

Aos programadores obsesiónaos a pureza do código. É dicir, que non sexa propenso a erros. Sobre todo nun caso como o de OpenSSL , cuxas bibliotecas son usadas por numerosos programas de terceiros.

Sinceramente, creo que o desarrollador de Debian que borrou esas dúas liñas de código deixouse levar por este mandamento informático. Non quería mensaxes de erro do depurador porque esas mensaxes significaban que no futuro outros programadores poderían ter inconvenientes con OpenSSL .

Creo que foi Voltaire quen escribiu que o perfecto é inimigo do bo: "Lle mieux est l´ennemi du ben". Todas as profesións teñen algunha clase de ideal que, por momentos, pode cegar aos seus cultores. Os de fóra nunca comprenden o que sente. Os que non son programadores atoparán disparatado que alguén simplemente borre unhas instrucións, crendo que están alí de adorno. Non foi así, non foi tan simple, e non se pode simplemente crucificar ao programador.

En cambio, todos temos que aprender aquí unha lección. Igual que os xornalistas seguiremos, inexorablemente, intentando que as cousas sáibanse, ata cando podemos equivocarnos, os programadores non cejarán no intento de depurar o código. É inevitable.

A lección é outra. Todo código relacionado coa seguridade debería resolverse por medios máis formais e estritos que unha lista de correo. Debian di que a raíz do erro estivo en que ?o programador consultou na lista equivocada do grupo OpenSSL?.

As listas de correo están moi ben, son unha tradición, funcionan cando todo o demais falla, etcétera. Pero todo programador debería aprender que de agora en máis non pode eliminar nin unha liña de código dun software de seguridade sen o visto e prace dunha autoridade competente. Ou dito doutro xeito, que a seguridade está por encima da pureza do código.

A segunda lección ten que ver coa perspectiva. Crer que dúas liñas de código son poucas, ou que son insignificantes é miopía pura. Hoxe crese que o Titanic afundiuse por culpa das súas remaches, que eran de mala calidade.

Non xa dúas liñas de código, senón un simple signo pode cambiar diametralmente unha traxectoria, un vector, unha conta. Non é o mesmo chegar ao teu primeiro millón de dólares (1.000.000) que chegar a deber o teu primeiro millón (-1.000.000).

Díxose que Deus está nos detalles.

É a verdade.

Por Ariel Torres
La compu

Enlace co artigo original no xornal argentino "La Nación"
_______________

http://www.br.debian.org/
_______________
--> Ler máis...[+]

Últimas notícias: As notícias mais recentes do mundo da informática

Últimas atualizaçons: Dicas, artigos, análises, tutoriais e guias

Novidades no Fórum da Comunidade de mais de 175.000 usuários

Ediçons da RevistaGDH: Veja os últimos lançamentos da RevistaGuiadoHardware.net e seus conteúdos