Brecha de seguridad en kernel.org (troyano incluido)
Al parecer, un número no determinado de los servidores que alojan kernel.org han permanecido con su seguridad comprometida desde principios de agosto, aunque fue el día 28, casi terminando el mes, cuando los responsables de la infraestructura se dieron cuenta.
De nuevo al parecer, unos intrusos ganaron acceso root a uno de los servidores de kernel.org, posiblemente debido a que las claves de algún usuario de permisos avanzados se vieron comprometidas. Se modificaron archivos de seguridad, se introdujo un troyano… Nada agradable, nada claro.
Es por ello que se trabaja en aclarar los hechos, aunque en el anuncio publicado en las noticias de la página afectada declaran que no hay peligro de que se haya tocado un pelo el código fuente de Linux, que se gestiona a través de Git, sistema de versiones creado (también) por Linus Torvalds al que es realmente difícil engañar, ya que notifica cualquier cambio.
Tenéis todos los detalles de la noticia en el anuncio oficial en kernel.org, aunque como ya se ha dicho, se está investigando el asunto y asegurando la zona.
Otra prueba más de que la seguridad perfecta no existe, aunque se hagan las cosas como es debido (¿deberían dejar de hacerse por ello?). Y es que en todos los sitios cuecen habas…
Related posts:
- Brecha de seguridad en los sitios de la Fundación Linux
- Grave fallo de seguridad en el kernel Linux (que no le ha durado ni dos telediarios a Linus)
- Vuelve a estar disponible kernel.org (parcialmente)
- Vulnerabilidad crítica en el kernel Linux… que ya ha sido corregida
- 11 vulnerabilidades en el kernel de Ubuntu 10.04. Hay que actualizar.
Nada que este creado por seres Humanos es perfecto, y menos infalible.
Pero si existen los mecanismos para descubrir los fallos y repararlos… no existe problema.
Esa es la gran virtud de Gnu/Linux. (“me podrás engañar, pero yo lo descubriré”). el pingüino es un rato astuto.
Saludos
Me gustaria ver un optimismo asi por la imperfeccion humana en los productos de Microsoft y Apple.
Además de que pagamos 300 $ por una licencia. ¿Tengo que ser optimista y apoyarlos?
¿Por qué darle mi apoyo? Si ni el código de fuente me lo dan para investigarlo, modificarlo y distribuirlo, y agradecerle. Un compilado, que ellos me aseguran 100% seguridad, estabilidad y confianza, y me peta el sistema con una database de 500 tablas con PostgreSQL.
Por cierto, Microsoft no avisa cuando existe un peligro y hay que resolver o ya resolvieron. Ojalá fuese como Linus Torvarlds.
Ellos avisan, y cuando lo hacen, ya el problema fue causado y los afectados fuimos nosotros.
Ejemplo:
http://www.informaticaxp.org/index.php?topic=17317.0
Por cierto, fue un fallo de ellos.
Y lo arreglaron, un error si.
Linux lo hacen prácticamente todo empresas, con trabajadores que cobran para hacer esa función. Los mismos trabajadores que tienen en Microsoft o cualquier empresa. Como humanos, puede haber errores, es compresible.
Lo increíble esa obsesión de ponerse a la defensiva cuando hay algún problema con Linux. Es salir un bug y esconder la cabeza. Pues señores, Linux también tiene bugs, conocidos y sin conocer (los peligrosos).
Por cierto, ¿ya no nos acordamos del problema con ssh que te podías infiltrar en cualquier equipo? Un añito tardaron para solucionarlo. Para que vean que no son únicos.
Entonces todo lo contrario, como es gratis y libre no debe ser juzgano, analizado, criticado o evaluado.
Mmm… yo creo que no deberia haber optimismo respecto a esta noticia. No importa el sistema, un fallo en seguridad siempre es importante y no debe tomarse a la ligera. Alguien comprometio la seguridad del sitio principal de desarrollo del Kernel Linux. Imaginate que alguien haya logrado algo parecido con Microsoft.com.
Btw, Microsoft tiene informes de cada vulnerabilidad (con info de como solucionarla) en Microsoft Security TechCender.
El otro día vi a alguien que juraba haber visto un elefante rosa volando, y no me lo creí.
¿Pero qué estamos hablando? El tema de seguridad de Windows durante años ha sido objeto de miles de críticas desde los usuarios y consumidores de Windows. Por favor.
El problema es la generalizacion. Dime de problemas de Windows 95/98/Me y te dare la razon, esos sistemas eran tan seguros como el bluetooh. Dime de la reputacion de Windows 2000 y XP y estare deacuerdo contigo, eran buenos sistemas pero con una mala configuracion predeterminada que daba causa a fracasos en la seguridad.
Ahora dime que hay temas comprometidos sobre seguridad en Windows Vista y 7 y te dire que es falso; pues estos sistemas no solo tienen una alta estructura de seguridad (igual o mejor que la de Linux), sino ademas una configuracion predeterminada que ayuda a los usuarios a estar seguros. Añade a esto Microsoft Security Essentials, SmartScreen, UAC, DEP, Defender y tienes un excelente y seguro sistema operativo.
Si sigues pensando que Windows es inseguro por su naturaleza dejame decirte que estas mal (tambien pensar que Linux es seguro por su naturaleza, sino mira Android).
Claro que hay que analizar e investigar lo que ha ocurrido, ¡y mucho más que si hubiese ocurrido en Windows! A Windows se le toleran fallos casi sin darles importancia; a Linux se le pide ser a prueba de bombas y para eso el control de calidad ha de ser mucho más exhaustivo que el de MS, faltaría más.
El problema es la intoxicación que desde el mundo del software privativo, sobre todo Microsoft se intenta introducir, bueno, en realidad no es tanto desde la misma MS sino de sus usuarios; es increíble pero gente que no trabaja para MS, que paga por sus productos, que sufre sus cagadas en silencio se dedica a apalear a Linux cuando se encuentra un fallo. Sin tener ni idea de lo que dicen sueltan la cantinela esa de “Veis? Ya lo decíamos los windowseros: si la mayoría usamos Windows por algo será”, lo que me recuerda aquello de “Un trillón de moscas no pueden estar equivocadas. Come mierda.”.
Así que no, ni Linux, ni nada, es perfecto, ni por que sea menos imperfecto que Windows significa que haya que mirar hacia otro lado cuando aparezca un problema, cosa que de hecho no ocurre, como sabrás si sigues un poco este mundo, (me refiero al núcleo y partes vitales del sistema, eh? Los fallos de los escritorios, gestores de ventanas, X… ya son otro cantar. El otro día leía sobre uno que lleva en bugs.kde.org desde 2002, vaya tela. Aunque el problema aquí es la falta de programadores ya que a diferencia de con el núcleo el apoyo que reciben de empresas como Intel o Google es ínfimo o nulo), y estoy seguro de que la gente del kernel va a mirar todo lo mirable con lupa, cosa por la que no apostaría yo ni un duro si ocurriese a MS (bueno, simepre que afectase a los usuarios y no a su bolsillo, lcaro, que entonces seguro que investigaban hasta a mi abuela, XD)
Por cierto, Microsoft no informa ni de la cuarta parte de vulnerabilidades que sus ingenieros conocen de sobra hasta que algún analista independiente o un hacker las descubre. Otras veces ni siquiera ellos mismos las conocen ya que un departamento no está al tanto de lo que desarrolla otro, y eso lo han admitido empleados de la propia MS.
Ah, y la mayoría de los servidores de microsoft.con NO usan Windows, alguno de ellos incluso usa Linux
Para una empresa o para un usuario, no importa si el bug esta en el kernel o en el servidor grafico o en KDE o en Plasma o en Kubuntu; el “Linux” esta fallando y puede comprometer el sistema. El hecho de que este sistema este estructurado por diferentes proyectos de diferentes organizaciones o compañias que solo le dan soporte a tales partes del sistema solo empeora las cosas.
@JairJy te has colado. ¿Windows Vista seguro? Por favor…
Todos los martes hay ronda de actualizaciones de windows y se arreglan estos problemas. En el precio está incluido también el soporte técnico, no se deja a los usuarios desamparados, al menos no a los de pago. Y las actualizaciones de seguridad no necesitan validar que el sistema sea original.
Muchos de esos problemas son viejos, tan viejos como el problemas de las tareas 16 bits, que afecta a todas las versiones de Windows e incluso el mismísimo MS-DOS…
Un pequeño problema que permitía escalado de privilegio, te pongo más info aquí:
http://www.neoteo.com/windows-tiene-un-bug-de-17-anos
No se, ¿Que es peor? ¿Un bug en el kernel Linux que se descubrio en el 2003, parcheada en el 2004 por solo en una distro, y que no fue implementada globalmente hasta 7 años despues? ¿O un bug en un componente de Windows que tenia 17 años, pero fue descubierto en el 2009 y parcheado un año despues para todas las versiones soportadas?
El problema es que problemas serios de seguridad de Apple o Microsoft o cualquier software, ya no libre, sino de código cerrado, hay casos para parar un camión en los que han comunicado el fallo meses, incluso años después, de haberse detectado, Y lo mismo para sus parches, en demasiadas ocasiones han tardado meses e incluso años en dar una solución y una explicación.
El optimismo tiene esa causa. Ahora habrá 1000 ojos investigando cuál es el fallo y en cuanto lo tengan en unas horas muy probablemente tendremos la explicación y antes de la explicación seguramente estará el parche o las indicaciones oportunas..
Por supuesto que si debe ser analizado y/o reportado (En Linux). Pero, usando un sistema que no pagas ni un centavo en la mayoría de los casos, y cientos de contribuyentes gastaron horas cuando deberían haber estado con sus familias en Vacaciones, para ofrecer mejoras y peculiaridades al Kernel y se les escapó un error. Se les agradece por su tiempo, por que no juzgo el tiempo de ellos que yo no gastaría en trabajar algo para TI y para los demás, y se le reporta el bug, se espera a que se analice, y lo importante, se agradece a que avisen, y lo tranquilizante, nada malo ha pasado en nuestros núcleos, ni en los que se han montado.
Y sabemos que ésto fue un ataque, y un ataque que SABÍAN que existía ese agujero y se infiltraron y gracias a Dios y a Linus Torvarlds y los colaboradores, nada pasó y ya se está reparando dichos problemas.
Pero ésto no es justificable para un sistema propietario, donde no ofrecen ni un BugZilla (obviando que cobran por su sistema y ellos son los que deben ofrecernos lo mejor) para saber cuantos bugs podrían existir en Windows y Vulnerabilidades para protegerse de sitios y complementos, así como nunca anuncian los grandes agujeros que poseen y peligramos, y sus fallas por su gestión.
Esto si se puede juzgar. Al menos, el que pague 300 $ Por un Vista, tiene el derecho. Yo no!
Como quién dice hay que tener doble rasero y para colmo apoyado en sentimentalismos.
Por favor, si este ataque fue descubierto y detenido, por nada del mundo dios tuvo que ver en esto. Fue el trabajo de decenas de personas que han trabajado en tecnologias que ayudan a detener y encontrar este tipo de ataques. Fueron creaciones hechas con el libre advedrio de hombres y mujeres, que usaron su propia creatividad, desicion y empeño para lograrlo. dios no tiene nada que ver en esto.
Si dios existiera y de verdad metiese mano en este mundo; y si de verdad el codigo cerrado fuese “malo” para la humanidad, este ni siquiera hubiese existido.
la diferencia no esta en si hay o no errores o bug, si no el hecho del tiempo que toma arreglar eso , además que los mismos de linux toman las riendas del problema sin esconder nada como hacen los de apple o microsoft, hay mucha diferencia en el tiempo y ejecución de la solución al problema con respecto a los privativos, que puede pasar hasta años para un pobre parche que a duras penas oculte el fallo, mas no lo arregle del todo.
Igual aquí no se sabe cuánto se está ocultando y también se podría decir que “las cosas se admiten” porque a alguien podía constarle que ocurrió y se ocultó.
Vamos, ¿En serio crees que por ser codigo abierto y por que todos pueden ver el codigo los bugs son mas faciles de encontrar y reparar? ¿Cuantos tienen la capacidad de detectar una vulnerabilidad y quienes de repararla? No es un trabajo simple, no es algo que puedas hacer en tu tiempo libre. Leer, analizar, auditar y reparar codigo es un trabajo engorroso, dificil y cansado que no cualquiera puede hacer. Esta es una regla de oro, y demuestra el por que hay 300 distros y 20 gestores de ficheros pero solo 1 kernel: hay programadores que prefieren hacer el proximo Hanna Monata Linux por es facil y sencillo de hacer (copiar Ubuntu; pegar Ubuntu, nombre nuevo, fondo nuevo).
Checa esto, vulnerabilidad en Linux que tardo 7 años en resolverse:
http://news.techeye.net/security/linux-kernel-had-bug-for-years
Ni los millones de ojos ni los miles de programadores pudieron evitar esto. Los problemas en el codigo siempre existiran, no importa si es cerrado o abierto; y siempre sera necesario un trabajo duro para encontrarlos y resolverlos.
Es entonces cuando decides entre gastar por un sistema operativo que te da soporte, y que tiene una empresa detras que actualmente le paga (y mas que suficiente como para que vivan de ello) a personal capacitado para resolver y mejorar los problemas de este; que usar un SO que ni garantia te ofrece (coff coff, Ubuntu).
Gracias por el enlace. Es muy, pero que muy interesante. Veamos:
While in security terms the existence of the flaw fits into the “s*** happens” category, the question remains why the hole was never patched until now. Particularly as SuSE maintainer Andrea Arcangeli provided a fix for the problem in September 2004.
Open sauce security depends, not only on users finding holes and patching them, but the great hierarchies that watch over the release of updates actually using them. For some reason someone dropped the ball on this and as yet no one has put their hand up to admit it.
SuSE had the fix and SuSE Linux Enterprise 9, 10 and 11 and openSuSE 11.1 through 11.3 do not have the problem.
The fix for the flaw is to use a guaranteed minimum of one memory page between the stack and other memory areas.
O sea, existía un parche que algunas distribuciones aplicaban y por tanto en la práctica no existía la vulnerabilidad para quien quiso aplicar el parche que es software libre.
Esto en Windows sí que no puede pasar, que haya alguien externo que parchee el kernel de Windows. Muchas gracias por tan elocuente información.
Lanzas unas preguntas a ver:
Pregunta 1: “Vamos, ¿En serio crees que por ser codigo abierto y por que todos pueden ver el codigo los bugs son mas faciles de encontrar y reparar? ”
¿Quién ha dicho eso? Lo que se ha dicho es que lo buscará mucha gente, no que sea fácil.
Pregunta 2: ¿Cuantos tienen la capacidad de detectar una vulnerabilidad y quienes de repararla? No es un trabajo simple, no es algo que puedas hacer en tu tiempo libre. Leer, analizar, auditar y reparar codigo es un trabajo engorroso, dificil y cansado que no cualquiera puede hacer.
Alguno más de los que crearon el código, cosa que no sucede en el softwere cerrado. ¿Quién te ha dicho que fuera un trabajo simple? No hace falta que convenzas a nadie.
Ahora afirmación falaz, veamos: “Ni los millones de ojos ni los miles de programadores pudieron evitar esto. Los problemas en el codigo siempre existiran, no importa si es cerrado o abierto; y siempre sera necesario un trabajo duro para encontrarlos y resolverlos.”
SuSE had the fix and SuSE Linux Enterprise 9, 10 and 11 and openSuSE 11.1 through 11.3 do not have the problem.
Oh, OpenSuSE, o sea, si está en OpenSuSE, es que está al alcance de cualquiera el parche. Te informo de que OpenSuSE tiene su lista de seguridad y su voletín de seguridad. O sea que todo el mundo disponía del parche. O sea, que toda distribución era libre de aplicar el parche o no. ¿Cómo con Windows? Por las narices como en Windows.
Una vez más mil gracias por la referencia que has puesto. La próxima vez igual no pones referencia similar porque te deja con el culo al aire, pero bueno, esta vez habrá que agradecerte la información -que desmonta tus argumentos-, es decir, la seguridad de Windows ni por asomo se puede comparar con la gestión de seguridad y rapidez de un sistema operativo de código abierto. (Siento contradecirte y que no te gusten los hechos, pero la realidad es tal y como es).
Por cierto, para que la vulnerabilidad tuviera efecto, eran necesarias muchas cosas, por ejemplo que estuviera un sistema X instalado y funcionando. ¿Entiendes por qué en los servidores se trabaja sin entorno gráfico? ¿No? Yo te lo diré: una capa menos de software, una capa menos dónde puedan aparecer problemas, por tanto, menos problemas con gran probabilidad.
Si sigues por aquí, seguro que terminarás por aprender algo.
Totalmente deacuerdo menos tu ultimo parrafo.
Si quieres encontrar errores necesitas programadores como indicas,esto dependera de como gestione el dinero microsoft(su mayor fuente de ingresos es office),por que un grupo esta especializado en como funciona el kernel windows,el cual a hecho un buen trabajo,pero solo son unos muy pocos y amenzados por la direccion de microsoft(MS podria ser mejor pero no entiendo muchas veces la forma en la que matan o aislan buenos proyectos),por lo que MS tambien tiene los mismo problemas de desarrollo.
Hasta buscando un poco MS tiene el WRK(segun lo poco que lei a insvestigadores les da el codigo fuente del kernel de xp o server 2003(no se si ya se a actualizado a los sistemas mas nuevos)),lo cual es bastante interesante de como MS tambien sabe que es tan dificil especializarse en el kernel que prefiere que investigadores y alumnos puedan llegar a jugar con el kernel.
Y Linux(kernel) en su mayoria es desarrollado por personas pagadas por otras empresas(Google,IBM,red hat) mas universidades y programadores independientes.
Sobre las demas partes de SO sucede algo similar,por lo que no es cierto esta diferencia tan abismal que planteas.
Ademas que el software no tiene garantia.
Me encanta W7 pero tambien me encanta linux.
¿En serio crees que por ser codigo abierto y por que todos pueden ver el codigo los bugs son mas faciles de encontrar y reparar?
No, creo que lo fácil es encontrar un fallo sin conocer el código. Qué tontería, pues claro que sí. ¿Es más fácil encontrar una salida en el metro, bien señalizado a la vista de todos o en una mina abandonada cuyo trazado sólo conoce el ingeniero que la diseñó?
Y claro que no se trata que un usuario medio se ponga a escribir parches para corregir fallos, pero parece que no sepas a estas alturas que Linux es el SO favorito de los informáticos profesionales, miles de programadores de todo el mundo que SÍ saben leer analizar, auditar y reparar código porque trabajan de eso todos los días, algunos incluso para Apple o MS. Y son esos programadores independientes los que aportan cerca del 20% del código del núcleo, muchos en forma de pequeños parches que no entrañan esa enorme dificultad que sugieres (para un programador con experiencia en entornos UNIX, claro, para un usuario medio como yo es imposible).
¿Que si creo que varios miles de programadores dispuestos a dedicar las horas de su tiempo libre que sean necesarias porque la informática es su pasión pueden localizar errores mejor que unas docenas de empleados que están deseando salir de la oficina para ver el partido? Sí.
Pero dices bien, siempre habrá fallos en el código, y no sólo ahí, fallos en la gestión de los fallos (el ejemplo que exponías lo deja bien claro) la cuestión es si de verdad esa empresa por cuyos productos pagas (¿de verdad pagas o tienes Windows, Office, Photoshop, Nero, el antivirus, el cortafuegos, etc, etc, pirateados? No va por ti sino en general) se “deja los cuernos” por resolver los fallos o si está dispuesta a invertir el capital financiero y humano del que dispone sólo hasta el punto en que le sea rentable (una empresa no es una ONG y es razonable que no quiera invertir demasiado tiempo, que es dinero, y dinero, que obviamente es dinero, jeje, en un prodicto que va a deshechar en pocos años); y sobre todo, la cuestión es por una parte si de verdad esa empresa es honesta y de verdad no oculta fallos con la esperanza de que no sean detectado por un número importante de usuarios que les obligue a dedicar recursos para su solución, y por otra si esa empresa no recibe presiones del gobierno de su país para que el sistema sea más inseguro de lo que podría ser (quien piense que es paranoya antigringa que piense qué sentido tiene que en EEUU sean ilegales los métodos de cifrado más seguros, incluso para los bancos, o qué utilidad tiene esa norma 15 de la FCC, ese “FCC 15 compliant” que se puede leer en gran parte de los componentes de nuestros ordenadores, que obliga a que ciertos aparatos electricos no sólo no emitan interferencias -bien- sino que admitan el ser interferidos -eh?-).
Ah, y criatura de Dios, si quieres soporte serio contrata Suse/Novell o Red Hat, Ubuntu es la que le instalo a mi abuela para que pueda chatear por videoconferencia si nque se la coman los virus.
@Harley, el bug se resolvió en 2004, pero no se implemento globalmentes hasta 7 años de haberse descubierto, ¿que acaso esto no es un problema? Demuestra que la falta de colaboracion entre distribuciones y proyectos genera vulnerabilidades en el sistema. Ok, en SUSE estaba solucionado pero ¿y los demas? ¿Y que pasa cuando Red Hat parchee una vulnerabilidad y Novell no? Caos.
“Linux es el SO favorito de los informáticos profesionales” Me encantaria ver pruebas de ello, sobretodo lo que es un “informatico profesional”. Si me dices que un informatico profesional es aquel que usa linux me caigo de la risa.
Claro que la mayoria de los desarrolladores del kernel son pagados, pero las vulnerabilidades no solo estan en el kernel, asi como dijo @Harley, o en el enlace de la vulnerabilidad que publique, un exploit puede encontrarse en el servidor grafico, en el entorno grafico, o en una aplicacion. Si bien los servidores (de Linux y Windows; desconosco los de OSX) estan compuespuestos por el minimo requerido, las terminales en oficinas y hogares no, y un fallo en la seguridad puede comprometer datos valiosos de la compañia u hogar. Por ejemplo, hay vulnerabilidades en la forma en la que KDE y GNOME manejan los archivos .desktop, el cual permite ejecutar archivos sin tener permisos de ejecucion; o la falta de seguridad con el comando gksu/kdesu. Este problema existe desde años sin un comunicado oficial de KDE o GNOME (o Red Hat, o Novell, ¿de quien es el problema cuando hay tanta separacion?).
JairJy si es más sencillo que todo lo que hemos escrito. Si tú mismo estás dando la respuesta. El primer informe sobre ese exploit, que incluye varios de características similares en los que Windows también tiene problemas, no en ese en particular. Dice esto al final:
DDonon”tt ppaanniicc””
▐ Very specific conditions may be necessary to
succeed in real life with these techniques
▐ Vulnerabilities introduced by OSes will be patched
▐ Switching to 64 bits will solve some of these issues
… and introduce new ones (ex: the long type is 64 bits on Unixes, but is
32 bits on Windows!)
▐ Yet some applications, on some systems, meet the
conditions and critical exploitable vulnerabilities
exist. (but don’t panic and go audit your code
-es una presentación en pdf, disculpa los errores que se producen en el corta pega-
Ese exploit requiere condiciones muy particulares, casi extraordinarias. Además depende la configuración del varias cosas, entre ellas Xorg, y de la configuración del compilador GCC.
En uno de los comentarios, parecido al tuyo, un auditor de seguridad contesta algo así como: ¿Y quién coño ejecuta X en servidores virtuales y abre documentos tipo pdf etc de manera local? (Pues prácticamente quien lo detectó, un programador de un sistema operativo haciendo pruebas sobre linux en varias máquinas virtuales en paralelo sobre el mismo host, vamos algo habitual como el pan, ¿no?).
No hay sistema invulnerable, pero lo que nadie con un mínimo de credibilidad en seguridad pone en cuestión es la buena gestión de la seguridad en linux frente a Windows. El problema de Windows, y no de OSX y otros UNIXes, por ejemplo, es su fragilidad y vulnerabilidad, además de su eficiencia. ¿Por qué crees que Microsoft pone sus servicios en proveedores contratado que usan linux?
Todos los sistemas operativos tienen sus virtudes y sus fallos. Windows también. Pero entre las virtudes de Windows no se encuentran ni la robustez ni la seguridad. Y esto no es una cuestión de software libre o no, que también, es una cuestión de que está mal diseñado y, además su gestión de seguridad es muy deficiente. Ni Mac OSX, ni los UNIXes que son privativos tienen los problemas que tiene Windows en ese aspecto. Empeñarse en lo contrario es pregonar en el desierto.
Si no te gusta linux, puedes criticarlo, faltaría más, pero hombre, búscate algo de peso, cúrratelo más y no uses la seguridad. A mí se me ocurren unas cuantas cuestiones de peso para criticar a linux.
En cuanto a lo del caos, es precisamente todo lo contrario. Cada distribución parchea el kernel de manera que alteran su funcionamiento, En esto SuSE y Mandriva siempre han trabajado muy bien. Y otras distribuciones también lo que hacen en la práctica es que para hackear casi cada linux es un sistema diferente.
Ahora dime… En cuanto al tipo de fallo que hablas que es prácticamente una vulnerabilidad de laboratorio, que alguno similar también afecta a Windows… Dime, ¿sin tener el código cómo alguien lo va a parchear sin ser el fabricante? Que es lo que ha pasado con SuSE. Sencillamente eso, no se puede producir con código cerrado por mucho que os empeñéis en decir que sí.
Y contestando en lo que me dices más arriba. A ver, aquí a mí lado hay un montón de PCs con Windows XP y 7, todos con antivirus. ¿Hace falta que te diga más sobre la seguridad de Windows? La mayoría con cuentas restringidas de usuario sin privilegios y con antivirus y todo no dejan de cazarse virus y troyanos.
De verdad, no te enfades, pero parece mentira que algunos estudiéis computación y tengáis estas actitudes para defender a Windows atacando lo inatacable en linux o BSD, UNIX o Mac si lo comparamos precisamente con Windows.
Si tu objetivo, que no lo sé, es desacreditar a linux o promocionar Windows… de verdad, ¿no se te ocurre nada mejor? A mí sí. De verdad JairJy, Windows tiene sus ventajas y linux sus inconvenientes pero no precisamente en seguridad y robustez. Cúrratelo más.
@JairJy :Ahora das buenos argumentos a favor de microsoft y descubres falacias en los argumentos de los demas comentarios y despues dices falacias(hombre de paja) contra el opensource.
El “exploit” de el que hablas en el servidor x, es que el servidor x corre en modo root,por que necesita acceso al hardware,y en teoria solo el kernel y procesos del sistema deben correr en root,no es que puedas atacar facilmente al servidor X, lo de los .desktop estos todavia necesitarian la clave root,sobre el sudo grafico,al parecer es que durante un cierto tiempo recuerda la contraseña.
Pero claro si buscara en google vulnerabilidades de windows 7 y te pusiera la lista de todo lo que saliera sin leer ,claramente me contestarias una por una,pero en caso contrario prefieres sostenerlo como una verdad incuestionable.
Aun que sobre una vulnerabilidad que si parece grave es .net enlaza con ejecutables directamente,mas los problemas de CLI muy diferente al bytecode de java.
Aunque algo que windows 8 necesista es un nuevo sistema de archivos,por que si no ya se quedo en la prehistoria con los sdd,capas sobre nfts no valen,al parecer solo btrfs sera el que saque el 100% ssd.
P.D:
¿Sabes programar?.
Ok, primero, dejeme retomar mi punto original: un programa de codigo cerrado no es naturalmente mas inseguro que un programa de codigo abierto (el cual no es mas seguro por su naturaleza). Es un mito que por ser codigo abierto haya cientos de personas viendo y analizando el codigo (y que sean capaces para ello).
Di una prueba, un exploit de 7 años, ¿no te parecio grave? este duro 8 años:
http://lucky13linux.wordpress.com/2009/08/23/linux-security-hole-goes-back-eight-years/
Segundo, yo no creo que Windows sea la maxima verdura, pero me disgusta la difamacion innesesaria. Para muchos parece que Windows esta estancado en 1998; pero de hecho Windows ha cambiado con cada release, cada vez siendo mas seguro y estable (y desde Windows 7, mas rapido).
Vulnerabilidades hay en todos lados, ningun software es perfecto; lo importante es que sean analizados y reparados, cosa que, IMHO, lo hace muy bien Microsoft, Novell y Red Hat.
En temas de seguridad ni Windows ni Linux me han fallado. Los dos me parecen bastante seguros.
No me queda claro que sea error del kerne (no digo que no los tenga, solo que este parece no ser el caso)l, Dice que consiguieron el acceso a una cuenta de administración a la página kernel.org e introdujeron un troyano, quizás dónde.
Exacto Andrés.
Es que no fue un BUG.
No es problema del Kernel, fué un infiltramiento por unas de las cuentas administrativas, y colocaron un Troyano, así como modificación de archivos de Seguridad, que NO HAN TOCADO NADA DEL GIT, así que usuarios de Empresas y de Casa, nada que alarmarse.
Es como que venga el Hijo de Linus Tovarlds, entre con su cuenta root, modifique el Kernel y coloque un rookit/Troyano, y luego digan por ahí que “El Kernel posee Bugs, y es inestable. Linux es inseguro, y no es como decían muchos”.
A eso se refiere.
Igual no ha que bajarle el perfil, el problema es grave, o sea alguien se infiltró en la página kernel.org quien sabe como y con qué propósito. Igual es un asunto preocupante.
El método con el cual consiguió ese acceso puede haber sido desde explotar alguna característica del software que usan en el servidor (kernel incluido), hasta extorsionar a Linus Torvalds con fotos comprometedoras XD
Lo cierto es que muchas personas han interpretado esta noticia en un sentido equivocado.
Afortunadamente (dicen ellos) nada del codigo del kernel fue afectado, eso es lo mas importante
ahora solo queda arreglar los problemas causados y continuar con el trabajo
Me da un poco de lastima el pobre infeliz a quien se le ocurrió la idea de hacer esto, osea: soy un cracker y como me creo tan genial por haberme hecho con las claves de algún idiota, me pongo a joder los servidores de kernel.org… osea este tipo no solo se metió a la boca del Lobo, sino que hasta se unto mantequilla y todo primero, porque es mas que seguro que todos los hakers del kernel de linux se le van a tirar encima.
Esto es para que se den cuenta los talibanes y fanboys de Linux, que su sistema no es seguro como dicen.
Ahora ya notan por que lo privativo siempre va a ser mas seguro, mejor y mas estable.
Con Windows XP mantengo mis servidores activo en la red donde trabajo y no se han caído durante 6 años, y 2 años sin reiniciar.
Que dirá Stallman sobre ésto???? Que Importa! Con tal que sea libre……
Con Microsoft, nunca ha pasado estas cosas.
saben que es lo mas triste de esto, que el tal victoriano es tan troll que no sabemos en que momento el comenta u otro lo hace por el para dejarlo mal (mas de lo que ya esta lo dudo), jajajaja..
a mi tmb me dio risa jajajajaja lo mas interesante de todo esto es que cuando hay un hackeo para lo de linux todo el mundo se pone a comentar y a jalar las vestimentas y hasta se rien, pero lo bueno es que de todo esto se hace mas fuerte y seguro nuestro software libre. =)
pd. no me juzguen por mi avatar de windows =(
Stallman no dice que el Software Libre es más seguro, ni mejor ni más estable.
Aunque en una cosa sí tienes razón, no le importa con tal que sea Libre, pero resalto “no le importa” lo que implica que está consciente de sus defectos, lo que es diferente a ponerse una venda en los ojos y jurar que es más seguro, más bonito, más limpio y mejor en la cama. Los que hacen eso son otros que no tienen mucho que ver con Stallman y hasta le hacen asco si tienen la oportunidad.
Si no sabes quienes son esos y quieres saber para saber a quién criticar a la próxima, pregunta nada más.
Creo ser seguidor de Linux y durante el tiempo que he llevado usándolo (3 años) no he tenido problemas con él. Tampoco he leído en las páginas oficiales de los principales proyectos Linux (ni en listas de correo) donde digan que es invulnerable. Linux es libre y, además, gratuita en la mayoría de los casos. Y como dijo Blablabla más arriba, hay mucha gente trabajando por gusto para desarrollar éste software, muchos sin esperar ninguna retribución económica, lo hacen en sus tiempos libres. Caso que no sucede en Microsoft, donde supongo que los desarrolladores son bien pagados y que por eso cobran una licencia para un software que al final sólo ellos conocen y que resulta muy vulnerable (por eso windowusers utilizan antivirus, antispywares, anti-tantas-cosas para proteger sus equipos). Ahora mismo escribo desde el trabajo (vivo en Colombia) y el equipo es un windows y puedo observar que cuenta con antivíruses con herramientas para mil cosas consumiendo buena cantidad de recursos del equipo y aún así me advierten de poner memorias USB que puedan estar infectadas por virus. En fin. Disculpa por este párrafo. Ya parezco escritor alemán.
victoriano, he editado tu mensaje. Puedes opinar lo que quieras guardando un mínimo de respeto.
Me perdido, victoriano, acaso se dice en algun sitio que se trate de una vulnerabilidad del kernel?
mas bien me ha parecido entender un ‘no hay peligro que se haya tocado un pelo el codigo fuente y blabla’, aunque no se ni como se puede uno molestar en contestar un comentario que lleve tu nombre en la firma..
Victoriano, cada vez que te leo, solo veo contradicciones… Te repito la pregunta que muchos te han hecho, si el SL es tan malo como lo pintas que haces acá?..
Creo que tu lugar es http://www.muywindows.com :P
Quieren escuchar algo bastante interesante?????
Ese de arriba no soy yo.
Se acabo el relajo, a poner imagen en gravatar para eliminar las ratas roba identidades.
Nueva imagen pero esas ratas copionas roba identidades de MuyLinux.
Acusa directamente a los seguidores de Stallman que plagan MuyLinux con sus ideas socialistas y comunistas.
!!DEJEN DE ROBAR IDENTIDADES COBARDES!!!!!
LOL que alguien me explique como poner una imagen de perfil en el blog, no me gusta ser anónimo.
¿Se usa Facebook o una cuenta de correo como Gmail?
¿Donde esta el sistema de cuentas para este sitio?
LOL parezco noob preguntando en ves de googlear… ><'
Y escribiendo “LOL”, XD
Sin acritud, ;)
“Ahora ya notan por que lo privativo siempre va a ser mas seguro, mejor y mas estable.”
Veamos tu “argumento”:
¿Se supone que tenemos que “notar” (supongo que el pobre conocimiento de la lengua que compartimos todos los hispanos que demuestran todos tus comentarios te impedía decir en realidad “sabéis/saben”) que algo por el hecho de ser privativo se convierte automáticamente en mejor? Lo mejor es mejor porque es mejor. Punto pelota. Esta perogrullada quiere decir ni más ni mejor que lo que dice, que la calidad la da el buen funcionamiento, la eficacia, no si es público o privativo.
Además ¿se supone que porque alguien haya conseguido la contraseña de algún administrador o usuario con privilegios “gordos” de kernel.org queda demostrado ante el Universo todo que “lo privativo siempre va a ser mas seguro, mejor y mas estable”? O sea, que si mañana me roban las lleves de mi coche ¿queda demostrado que el de mi vecino es mejor?
De verdad, me recuerdas a una divertida comedia francesa que se titula “Le dîner de cons”.(para no ser grosero evito el título en español). Si es que estas entrenando para algún concurso de o algo así dime cuándo es que tienes mi voto garantizado.
En cualquier caso habría dado igual que el fallo hubiese sido una vulnerabilidad del sistema, bueno, no habría dado igual, pero lo que quiero decir es que mientras en ell mundo del software privativo los agujeros de seguridad son el pan nuestro de cada día, y se intentan ocultar al público, a veces ese intento no tiene éxito y nos enteramos de que tal programa o SO tiene un fallo grave, otras veces el intento de ocultación funciona a medias y no nos enteramos de los fallos hasta años después, y la mayoría de las veces la ocultación funciona perfectamente y nunca sabemos que tal programa/SO tenía un fallo gordo.
Por contra en el mundo del SL los fallos se publican, se airean se discuten, se investigan, son tan infrecuentes que hasta se convierten casi en un escándalo en plan:
- ¿Sabes que han detectado un agujero/fallo grave en el núcleo Linux?”
- ¡No jodas! ¡¡Es increíble!!”
En tu amado Windows es:
- ¿Sabes que han detectado un agujero/fallo grave en el ntoskernel/bibliotecavitalísima.dll/pongaustedaquiloquequiera?”
- ¿Otro? Pues no, no lo sabía; dejé de seguir el tema cuando llegaron al número 89873893 ¿Cuántos van ya en esta versión de Windows. Crees que batirán el récord?”
En fin, tú sigue con tu software privativo convencido de que es el mejor de los softwares posibles. Los que sabemos, perdón “notamos”, que un programa puede ser bueno y sólido sea privativo o abierto pero que la disponibilidad pública del código es una garantía de mejora constante y por supuesto de respeto a nuestros datos ergo a nuestra libertad y seguridad seguiremos con el Software Libre.
P.D: ¿Pretendes hacernos creer que tienes montados servidores a nivel empresarial con XP? ¿Ni siquiera Windows Server 2003? ¿En qué tipo de empresa trabajas, en una churrería?
LOL churreria, ¿por que no un taller con análisis por computadora?
No, creo que pretende hacer creer que Telefónica y demás funcionan con servidores windows.
Lea mas arriba, mi identidad fue plagiada por los seguidores de Stallman, sino ve el avioncito no es victoriano.
Entonces Linux no es el sistema más seguro……
Nadie ha dicho que lo sea. BSD dicen que es más seguro, y probablemente varios UNIX comerciales empleados por agencias nacionales de seguridad lo sean, pero sí que es el más seguro de los extendidos entre el gran público.
De todas maneras, como decía no sé qué conocido experto el único sistema seguro es que está en una habitación impenetrable, sin conexión a la red y… apagado.
http://digitalpcpachuca.blogspot.com/2011/09/lanzan-un-ciberataque-contra.html
Eso, es, lamentablemente tambièn me he entarado de eso en otra pàgina, que lograron hackear la web dode se almacena el còdigo de Linux, que podemos hacer, en este mundo nada es seguro, solo la muerte.
Esperemos que no haya consecuencias, o que por lo menos corrigan lo màs pronto posible, lo que hayan alterado. y con eso se ve que aunque GNU/LINUX, es seguro, no lo es del todo, ya que como todo tiene algùn fallo.
Saludos..
Preocupante…
LINUX es 1 millon de veces mas seguro que microsoft, pero la seguridad no es del 100%, windows y linux es como comparar a una persona que anda en zona peligrosa (windows) , a pie ,esta en peligro inminente (no esta en peligro directamente, pero esta a un paso del peligro, los que estudiamos ING. o alguna rama de la matemática y física saben a que me refiero) .
A cambio en Linux es como andar con guarda espaldas y en zona segura. pregunto ¿a caso el que anda con guarda espaldas y en zona segura, tiene cero peligro? la respuesta : NO, esta mas seguro, pero no 100% protegido, sino miren a KENNEDY, Presidente de la nación mas poderosa del mundo, con gran tecnología, gran seguridad, etc .
Entonces alguien podría preguntar ¿una persona natural que no tiene guarda espaldas esta mas segura? (esto es buscando analogías con los que dicen: “entonces window$ es mas seguro”) debido a que a Kennedy lo mataron. (Como todo un ing. intento hacer analogías para mejor comprensión)
La única seguridad 100% es si nos morimos y nos vamos al cielo, ahí estaremos seguros de lo contrario NO.
Te pido de favor me informes como sacaste esa relación de 1:1,000,00 entre la seguridad de GNU/Linux y la de Windows, la verdad me hiciste reir un buen rato.
Siempre que salen encuestas y comparativos la gente de la “Comunidad” empieza a gritar y refutar los datos mencionando que no se puede comparar un SO con el otro dada la gran diferencia de instalaciones entre estas, justamente retomo esa hipotesis y hago la siguiente cuestión: ¿Como puedes afirmar que uno es 1 millón de veces más seguro que el otro cuando el número de usuarios (Sujetos de prueba) entre uno y otro es ABISMAL, así mismo otro factor que incide en dicha seguridad es el hecho de que la gran mayoría de los usuarios de windows tienen CERO en cultura de seguridad informática, pero esa es una debilidad del usuario y que genera peligro para la estabilidad y seguridad de un SO.
Quisiera ver que el número de usuarios fuera igual entre ambos SO y analizar como un usuario tradicional de windows que descarga e instala cuanto software se le atraviesa en el camino instala y DESTROZA una distribución GNU/Linux, y en verdad esto es muy sencillo que suceda:
1.- Mala configuración de usuarios y permisos ROOT
2.- Agregado de repositorios y PPA no oficiales y de dudosa reputación
3.- Borrado no intencional de dependencias y paquetes
Te apuesto que no pasa 1 semana y ya tendrán el Linux Mint inservible, pero claro, en este caso vas a decir que la culpa no es del SO, sino del número de personas que crean software maligno para el mismo, y que el usuario es un tonto que no sabe usar una computadora, lo que es justamente lo que sucede en Windows.
Tengo 3 años con Windows Vista y no he formateado UNA SOLA VEZ y tampoco he perdido información por cuestiones como ingeniería social, malware, y todos los ware que quieras.
Cuando entenderemos que la fortaleza en el uso de un SO es el conocimiento del propio usuario, no el SO en sí.
Piensale.
Saludos.
jajaja! Pero entonces, empieza a navegar en Internet ¿Qué esperas?
¿LinuxMint 1 semana y ya es inservible?
Por casualidad, la empresa que trabajas ¿Poseen a Windows ME Como servidor, prendidos 3 años sin reinstalar ni reiniciar? Digo, por que como Vista, 2000, XP y ME, son tan seguros y estables, que ni Server lo usan en la mayoría de los servidores grandes e importantes.
Como siempre contestando con tonterías, y aparte metiendo tu cuchara donde no te llaman, muy claramente lo que describo con mi comentario es que el principal factor para determinar la seguridad/estabilidad de un SO es el conocimiento del usuario, sin importar si usas BSD, GNU/Linux, OS X, etc. lo importante es saber configurarlo y administrarlo, si no tienes ese conocimiento te valdrá de muy poco tener el más reciente SO o el más “Seguro”.
Aparte, tomas solo fragmentos de mi comentario y lo manipulas a tu favor (Lo bueno de esto es que se evidencia tu falta de argumentos para debatir, y por lo mismo me facilitas acabarte con la respuesta :-D ) Cuando mencioné Linux mint lo hice poniendo como escenario un usuario con CERO cultura informática, quien en menos de una semana es capaz de destrozar cualquier SO dado que instalará todo lo que se le atraviese sin pensar en las consecuencias, y aparte la gestión de permisos la hará pedazos.
Gracias por facilitarme la contestación, ojalá que sigas manipulando mis palabras y que sigas redactando de forma tan deficiente.
Sera un gusto volver a evidenciar que escribes con el HIGADO, no con el cerebro.
¡Saludos y que tengas buen fin de semana!
A ver señores …
Esta actitud de “fanboy”, de linux es más seguro que windows porque lo dice el padre Stallman, o porque es libre pues como que sobra.
Que windows puede ser seguro, sí, vean ebay, si linux puede ser seguro, pues vean google, amazon, audi, y muchas otras empresas que lo emplean en su infraestructura.
No se puede meter en la misma bolsa a un profesional que emplea su PC/Workstation como una herramienta para cualquier fin, programación, diseño, ingeniería, que el típico usuario gamer que usa el windows 7 custom de “jimmycryptoy” y que no paga ni un duro por los juegos y que tiene miles de “trojanos” en su sistema.
Ahora que si lo medimos por cantidad de vulnerabilidades, pues todos a usar OpenBSD:
“Only two remote holes in the default install, in a heck of a long time!”
Insisto, no sean fanboys.
“Esta actitud de “fanboy”, de linux es más seguro que windows porque lo dice el padre Stallman, o porque es libre pues como que sobra.”
Le digo lo mismo que al #12, Stallman ni los promotores del Software Libre han dicho nunca que Linux o lo que sea será más seguro por ser Libre, de hecho la FSF y GNU explícitamente han dejado claro que el Software Privativo puede ser “bueno”, mejor o más seguro, pero ellos no apoyan cosas por calidad o seguridad sino por ser Libre.
Esas ideas que criticas han salido de otras partes no de los promotores del Software Libre.
No es común ver éste tipo de noticias XD..
Hace poco realicé una investigación sobre seguridad en (GNU) Linux y encontré bastante sobre accesos no autorizados (con rootkits y otros) y código malicioso, por si a alguien interesa pueden descargarlo acá:
http://adario.antigualug.org/2011/08/eset-premio-universitario-2011-seguridad-linux/
[...] parece, el incidente acaecido la pasada semana, relativo a una brecha de seguridad explotada por atacantes para [...]
Hola ninguno de ustedes sabe cuando el sitio http://www.kernel.org va a empezar a funcionar de nuevo?????
[...] se sospecha que el caso guarda relación con los ataques a kernel.org introduciendo un troyano en sus servidores tras obtener las claves de algún usuario avanzado [...]
[...] se sospecha que el caso guarda relación con los ataques a kernel.org introduciendo un troyano en sus servidores tras obtener las claves de algún usuario avanzado [...]