Bueno antes de postearles el tutoría que no le he terminado(todo por culpa de compiz-fusion el cual se pone loco al querer instalarlo pero bueno mi sistema esta estable, digamos que lo estoy poniendo chido), quiero comentarles esto.

Hace varios días,se había comentado de un grave fallo en la distribución GNU/Linux Debian, y sus derivados(Ubuntu, Kubuntu, Edubuntu,*buntu, Knoppix, Gnoppix entre otros), el cual había estado oculto durante dos años hasta que fue descubierto dicho fallo.

Al parecer “Hace dos años, al querer solucionar un problema y debido a un malentendido, uno de ellos borró una línea de código del paquete de herramientas OpenSSL del sistema.”

Lo que puede ocurrir por este fallo es lo siguiente:

“La línea borrada afectaba a la aleatoriedad de las claves, necesaria para que sean fuertes. Esta quedó tan reducida que hacía muy fácil romperlas y atacar cualquier operación realizada con ellas. Por ejemplo, se podría impersonar el certificado de un banco o una tienda en línea, crear una web falsa y hacer creer a los visitantes que están en la legítima.

O descifrar las comunicaciones entre una web segura y sus clientes y cazar todos los datos que se cruzasen entre ellos. O tener en pocos minutos el control total del servidor de una empresa. O acceder a la Red Privada Virtual de la misma y espiar sus movimientos. O cambiar la configuración de un servidor de nombres de dominio y llevar a la gente donde el atacante quiera.”

El fallo no es exclusivo de Debian. Afecta también a las distribuciones derivadas de esta, como Ubuntu, la más popular entre usuarios domésticos, y Linex, creada por el gobierno de Extremadura. Tampoco están a salvo otros sistemas, explica Sergio de los Santos, de la consultora Hispasec: “Las claves han podido ser generadas en Debian y después usadas en Windows, ya que los formatos de archivo son estándar. El espectro es virtualmente infinito”.

El gurú de seguridad Bruce Schneier lo ha llamado “el gran lío” y no es para menos ya que no se soluciona aplicando un parche si no que : “Hay que regenerar manualmente las claves, revocar las antiguas, certificarlas, comprobar dónde fueron a parar las inseguras, cambiar contraseñas. Y los usuarios no podemos saber si el administrador del sitio al que nos conectamos lo ha hecho o no”, explica Sergio de los Santos.

Pueden leer el texto completo en | Un grave fallo en Debian pone en peligro millones de maquinas en internet
Gracias a Nierox que esta dandole seguimiento al caso veo una entrevista a Jordi Mallach, desarrollador de Debian, sobre el bug de Debian que les comente anteriormente.

Copio y pego la entrevista a este gran personaje

“¿A quién afecta esto?

El impacto es enorme. La biblioteca libssl de Debian y sus distribuciones derivadas ha estado generando material criptográfico débil durante casi dos años. En Debian la mayoría de la gente ha estado afectada desde el lanzamiento de la última versión, etch, hace un año, pero los usuarios de Ubuntu han estado expuestos al error durante tres versiones.

Debian es bastante popular en ambientes universitarios y entre muchos administradores de sistemas, y Ubuntu es el líder en los usuarios domésticos, con lo que estamos hablando de millones de ordenadores
afectados. Ahora bien, es difícil de estimar cifras concretas porque nadie sabe, ni puede saber a ciencia cierta cuantas instalaciones de Debian o Ubuntu hay en el mundo; existe una opción en ambas
distribuciones, desactivada por defecto, que permite saber de la existencia de esa instalación y la versión de sus paquetes instalados, pero el porcentaje de usuarios que la han activado es ínfima.

Lo más grave es que no sólo los usuarios de Debian deben estar intranquilos. Todos los administradores de servidores con SSH o certificados SSL, sean o no basados en Debian, deberían hacer una comprobación exhaustiva de todos sus certificados SSL y claves SSH en busca de claves vulnerables, porque pueden tener autorizadas claves públicas débiles, que podrían permitir entradas a sus servidores.

Por ejemplo, por la manera que se usan las claves SSH de tipo DSA, no es exagerado decir que *todas* las claves DSA, tanto las generadas en máquinas vulnerables o en máquinas “seguras” deberían considerarse comprometidas y no usarse más. Algunos administradores están recomendando desactivar el soporte para claves DSA y usar sólo RSA a partir de ahora. Y eso no significa que las claves RSA sean seguras. No lo son, si se han generado en sistemas con una libbssl débil.

¿Qué significa para las empresas? ¿A qué peligros las expone?

Básicamente deberán estudiar el uso que hacen de la criptografía en sus sistemas, entender hasta dónde hay riesgos incluso si no usan Debian o Ubuntu e invertir el tiempo necesario en asegurarse de que no están autorizando ninguna entrada insegura en el sistema. De no hacerlo, es más que probable que si tienen servidores afectados accesibles desde Internet, estos acaben infectados por gusanos diseñados para aprovechar esta vulnerabilidad.

Bueno antes de que se me pase el tiempo y me olvide de esto les voy a platicar que tal estuvo el BugCon.

Como es costumbre no fui a todo el evento, aquí va la crónica del evento.

En primer lugar no tenia ni idea de donde quedaba UPIICSA, fui con mi novia, asi que tome un taxi desde el metro Bulevard Puerto Aéreo y el taxista se equivoco y me estaba llevando para el auditorio pero bueno, llegamos casi a las 10:40 mas o menos luego, en serio que no se como estén en UPIICSA ya que le pregunte a todos donde estaba el BUGCON y nadie sabia nada , hasta pensé que me había equivocado, pero la verdad nadie tenia idea de nada.

Resulta pues que después de preguntarle a muchos por fin pudimos dar con dicho lugar.

Entramos y pues había muy poca gente, había “como ya sabíamos” dos auditorios uno de Black Hat y otro de White Hack,entre al de BlackHat.

La ponencia la estaba dando “Sandino Araico Sánchez“, dando la conferencia de “Tu peor enemigo”.

Aqui nos hablo un poco del Spam, las maquinas Zoombies, el phishing y las politicas de seguridad de los “Sysamdin’s”.

Durante su participacion hablo sobre algunos software’s que destacan por x o y detalles como son:

• Tomcat, Sandino nos recalco que el principal problema de Tomcat era que muestra demasiada información al generar errores, como paths, entre otras cosas.
• Apache, que por problemas de max_clients y pipe_live puede darnos dolores de cabeza con los usuarios y el ancho de banda, respectivamente
• Oracle, Por su posibilidad de escalar privilegios, y de tener por default una cuenta SYSTEM además de poder permitir ejecución de código(creo que son los PL/SQL’s)
• Hubo también algunos mas que no recuerdo bien, como debian jaja, pero mejora hasta ahí le dejamos…….

Después nos fuimos a Google Hacking impartido por “Jesus Antonio Alvárez Cedillo” que sinceramente estuvo muy aburrida, ya que yo esperaba mas cosas, y simplemente nos “enseño” como usar las variables “site” con “index Of”, algo que creo, para los de Black Hat esperaban algo mas interesante.

Pero como la platica anterior duro tan poco tiempo, nos cambiamos a WhiteHat, donde estaba muy chido, lastima que solo pude ver el final y si no me equivoco esa conferencia fue “One Shot phishing on local area networks” impartida por “Héctor Leal Morales”, donde vimos(bueno casi no vi mucho) como se accede a una pc con windows hackeandola desde un Linux, usando ARP, estuvo interesante, lastima que solo llegue alfinal, creo que aqui como que se equivocaron creo que esta conferencia debio de ser al reves, pero bueno.

Luego les paso mas información de ese hackeo, lo realizo usando ethercap, para manipular ARP, o algo asi, luego les paso mas informacion.

Posteriormente vimos “Linux en consolas de video juegos” por Rolando Cedillo, esta platica realmente me impresiono, nos mostró básicamente los requerimientos para poder montar linux, y nos comento rápidamente como lo hizo, inclusive nos platico como están estructurados los sistemas internos de algunas consolas como Xbox, Wii y Playstation 3, también nos platico sobre las cualidades de las VPU’s(CPUS de Vectores o algo asi!!!), lastima que no pude escribir todo pero sin duda fue una de las que mas me gusto.

Y por ultimo asistí a ver la demostración de

Solo vean el video y veran por que siempre ganara.

Despues del fracaso de Windows Vista, creo que Linux empezara a darle la vuelta a Microsoft Windows,, por que Internet Explorer despues de Junio(FF3) estara derrotado.

Vía |Killer Tux (Linux vs Windows)

Lo ha visto por varios blog y como no tenia la intencion de dejarlo pasar aqui les dejo la imagen del codigo fuente de Windows Vista, se ve bastante rudo jajaja.

¿Y ustedes ya probaron linux?, si su respuesta es negativa los espero en el Flisol.
El Sabado 26 de Abril en al ESCOM IPN, que esta ubicada en Av. Juan de Dios Bátiz S/N Casi esquina con miguel Othón de Mendizábal Unidad Profesional , Adolfo López Mateos

Les dejo una propaganda que encontre por ahi sobre el flisol.

Hace dias aparecio por la red un video donde, se veia unos pingüinos volando, al parecer decin que era real ya que estaba grabada por la BBC, sin embargo despues resulto que era un especie de campaña.

Bueno, pues resulta que ha alguien se le ocurrio la gran idea de adaptarlo a un comercial sobre linux, el resultado es estupendo.

No hablo mas aqui esta el video.

Simplemente impresionante, si hubiera sido cierto estariamos ante el descubrimiento del siglo, o del milenio jaja.
Via | Con Linux todo es posible

En el blog de Nierox ha posteado una tabla dodne vemos los requerimientos de linux, los cuales son obviamente mucho menor que los de Windows aunque linux incluye muchas cosas mas, y claro sin atarse a ninguna empresa.

Agrego tambien los requisitos minimos para Debian 4.0 Etch.

Visto en | Tabla de requerimientos de algunas distros GNU/Linux.
Agredado Requerimientos Debian 4 | Requisitos mínimos de sistema recomendados

Pues como ya saben yo no soy ubuntero, mas bien soy debianita(asi se dice?), por que pues es cuestion de gustos y otras cosas mas, pero bueno dejemos la dicusion para otra ocasion.

Bueno, pero mientras sean noticias de linux siempre seran buenas, bueno en que estabamos?.ha si.

Mark Shuttleworth, el fundador de Canonical LTD. ha anunciado que el nombre del sucesor de buntu 8.04 LTS (Hardy Heron) sera Ubuntu 8.10 (Intrepid Ibex).

“atrae una considerable atención en la industria y en nuestros entusiastas usuarios finales. Nuestras pruebas iniciales con Hardy Heron son muy prometedoras y estamos planeando los detalles que ofreceremos en Intrepid Ibex”

indicó Shuttleworth.

Ubuntu 8.10 (Intrepid Ibex) sera la novena versión de esta distribucion,y casualmente coincidirá con el cuarto aniversario desde que Ubuntu hizo su primera aparicion.

Bueno y para los debianeros pronto les tendre noticias de Debian 5 (Sid).

Via | “Intrepid Ibex” será el nombre de Ubuntu 8.10