OpenSSL / OpenSSH / Debian -> Ejemplo de lo que no debe pasar

Krieg

Krieg

Super Moderador
Miembro del equipo
Lanero VIP
12 May 2003
5,819
Los usuarios de Ubuntu Hardy se habran dado cuenta que hace poco salio una actualizacion de OpenSSL / OpenSSH que bota ventana emergente y explica de una vulnerabilidad critica encontrada en el codigo de OpenSSL que hace que el sistema estuviera bajo peligro y que las claves generadas anteriormente fueran invalidas.

Bueno, detras de todo esto hay una historia del tipico ejemplo de lo que esta dañando a la comunidad de Software Libre, la arrogancia.

La historia arranco en Abril de 2006, cuando un simple usuario de Debian encontro un warning raro con valgrind (programa para detectar complicados fallos de uso de memoria), el problema basicamente era que una variables estaba siendo utilizada sin inicializarse. La persona encargada del paquete en Debian debuggeo el error y encontro la parte del problema y la reporto a la gente de OpenSSL en la lista de distribucion openssl-dev. Algunas personas dieron su opinion y uno de los duros termino regañandolo porque la lista de distribucion openssl-dev "no es para discutir asuntos de desarrollo de openssl", quien sabe entonces porque se llamara asi porque el "dev" se asume en cualquier proyecto como "development".

Peleas por cuestiones de forma y egos a diestra y siniestra, peleas por quien sabe mas, gente nombrando normas ISO, etc, etc, etc y mientras tanto el error no fue corregido hasta dos años luego de ser reportado, un error que nos tuvo a todos los usuarios de Debian y derivados corriendo maquinas inseguras por mucho tiempo. Quien sabe cuantos habremos sido juakeados y ni nos dimos cuenta.

Aqui toda la historia en ingles:

http://lwn.net/SubscriberLink/282038/528cb5a3f2dea48f/


PD. Y por supuesto, no hay paquetes con la correccion para Dapper. Quien sabe que significara para la gente de Ubuntu que una version tenga "soporte".



Edit:

Instrucciones para verificar si su sistema tiene llaves faciles de ***************ear (o sea que tiene el problema):

http://ubuntu-tutorials.com/2008/05/13/openssh-openssh-vulnerabilities-confirm-fix-instructions/
 
Tienes toda la razon krieg... yo utilizo exesivamente openssl (tanto en Conexiones remotas, como en cifrado y firmado de correos electronicos y otros)

Es una falla descomunal, lo peor es que es un problema que se presento precisamente por el egoismo de algunos personajes en la comunidad de Software Libre
 
El problema son los extremismos, la gente de debian está convencida que la totalidad de software debe ser libre, ignorando que hay muchos intereses de por medio, además que casi todo su software está bajo licencias libres que obligan al creador del programa a regalar su creaciones, posiblemente pensando que el soporte es más lucrativo, pero ignorando que con programas de difusión masiva como sistemas operativos o herramientas ofimáticas, la gran mayoría de personas compra solo el programa, y cuando necesitan soporte, van al técnico de la esquina.
 
Aqui hay otra version de la historia que es mas facil de entender:

http://research.swtch.com/2008/05/lessons-from-debianopenssl-fiasco.html

Las cosas no eran como estan explicadas en mi primer post, realmente lo que los usuarios reportaron inicialmente como un error no lo era y el problema fue que cuando el desarrollador de Debian pregunto a los de OpenSSL, estos no le respondieron satisfactoriamente (y lo regañaron de paso) y le dieron el visto bueno para hacer los cambios que causaron el problema.

O sea, la variable sin inicializar era intencionalmente asi, para meterle entropia a la generacion de aleatorios. Sin embargo, esto tambien esta mal por la parte de los programadores, es el problema de programadores que se las quieren dar de duros y hacen marcianadas que no son faciles de entender y no le ponen un comentario aclarando lo que no es obvio (como cuando uno poner en un switch un case sin break intencionalmente para caer en cascada al siguiente case, el programador novato creera que la persona olvido poner un break).

Por culpa de toda esta pelea sin sentido y de egos sin limite, la gran mayoria de usuarios de Linux corrimos SSH con generadores de llaves que solo generaban 32k llaves diferentes, o sea que un ataque por fuerza bruta es extremadamente facil. Y lo peor, la gran mayoria de servidores que no han sido actualizados estan aun en peligro.

La pelicula Matrix fue mucho antes de esto, asi que aun no se como Trinity se juakeo los servidores de la planta electrica por ssh :p


Edit: Los parches para Dapper ya salieron finalmente.
 
Como dice krieg, los egos han causado mucho daño en la comunidad del software libre y ejemplo de eso es gentoo. Afortunadamente las cosas en gentoo se estan estabilizando.

Recuerdo cuando hace unos años, instalabamos gentoo desde stage 2 o 3 y dedicabamos mucho tiempo bajando distfiles y compilando, era realmente entretenido y aparecio ubuntu ofreciendo rapidez, soporte, estabilidad y versiones cada 6 meses. Desde alli la popularidad de gentoo empezo a caer y los problemas a surgir. No recuerdo bien si fue por esa misma epoca que robins por problemas de plata, se dejo tranzar de microsoft, por supuesto robins no abandono del todo a gentoo, pero para ese entonces eran tantos los usuarios que tecnicamente necesitaban de toda una organizacion para poder dar respuesta (cosa ke no tenian) y gentoo se volvio de nuevo un juguete de hackers, es si no estoy mal, uno de los desarrolladores egolatras saco una distribucion basada en gentoo (exherbo) que tiene como fin ser un juguete para la "elite" en donde se deja claramente que no es para usuario "normales" y ke no piensan responderle a nadie sobre su desarrollo.
 
Hombre que tristeza que pasen estas cosas, en muchos proyectos de software libre de nada sirve que sea abierto pues uno vive reportando errores que nunca son corregidos, incluso uno dando la solución. Siento que los problemas que he reportado nunca me pararon bolas.

En estos dias precisamente entre al canal irc debian-es estaba pensando en pasarme a debian ya que estaba cansado de ubuntu por sus errores, por que vivo reportando errores pero raramente los corrigen, entonces pense que en debian me iba a sentir mejor. Llegue al canal y sugeri la idea de que debian fuera un poco mas comercial sin dejar de ser totamente libre y ademas acercarla un poco mas al usuario final. Para que fue eso la mayoria en el canal me empezo a insultar y a ofernder, me dijeron que para eso existia la maleza de ubuntu que debian era universal y que por eso era como era.

La verdad es que si debian es facil si uno lee detenidamente el instalador y la documentacion, pero siento que esta lejos del usuario. Mencione que me gusta pensar que en un futuro cercano la gente a mi alrededor use odf en vez de ooxml, algun chat libre en vez de MSN y asi, mencione que para que querer un sistema totalmente libre si el sistema no se acercaba mas al usuario, insultos por aqui vete por alla, que que me importaba que la demas gente usara lo que usara. Creo que es bastante harto estar en una comunidad asi, donde lo que se quiere es estar en una elite de gente que tenga ciertos conocimientos o cierto estilo de vida. Pienso que hay que entender que los usuarios de PC no son solo gente informatica que le gusta perder tiempo en el pc a toda hora.

Si aveces pienso que a ubuntu le falta alguito dd cara al usuario final imagínense debian, pero para los debianeros debian esta bien como esta, bueno decidi quedarme en ubuntu, que apesar de que aveces cometen embarradas tienen un poco mas de sentido y pues la comunidad te ayuda.
 
Hola hola hola
difedoca dijo:
Llegue al canal y sugeri la idea
Haz clic para expandir...
Con lo burocrático que es el proyecto :\
difedoca dijo:
que debian fuera un poco mas comercial sin dejar de ser totamente libre y ademas acercarla un poco mas al usuario final. Para que fue eso la mayoria en el canal me empezo a insultar y a ofernder, me dijeron que para eso existia la maleza de ubuntu que debian era universal y que por eso era como era.
Haz clic para expandir...
No puede ser totalmente libre si incluye componentes privativos para realzar la experiencia del usuario en su sistema.
 
Yo no soy un experto en Linux, pero me parece una lastima que muchas personas que saben miren por debajo del hombro a otros que no. Me ha pasado, que yo siendo un novato en linux, a veces al pedir ayuda, lo traten a uno como un idiota. Pero sigo feliz con mi Ubuntu, y aprendiendo cada dia muchisimo. Gracias por toda esa informacion tan valiosa que nos dan.
 
Algunas personas no están interesadas en volver masivo el uso de linux, de hecho a mí me gustaría que se volviera más masivo, pero no al nivel de windows, ya que las personas están dispuestas a pagar por su s.o. (no en Colombia, la gente se acostumbró a piratear todo el software) y al ver que hay otro que es de calidad y gratuito, ya las personas podrían poner en tela de juicio el hecho de pagar por un trabajo de software calidad, y se acostumbran a recibirlo todo regalado, es lo que no me gusta de la GNU.
 
La verdad a mi la idea del software libre me gusta bastante hasta el punto donde salen con las pendejadas de ego y esas cosas que son de todos los dias. En parte pienso que este ha sido el caso de tanta distro que existe que al final maman al usuario. Me molesta que al final ningun programa o distro termine haciendo todo lo que uno necesita y el poco cuidado que le ponen al usuario novato. Masificado si me gustaria verlo pero con una estructura mas clara no con las mas de 100 distros que existen.

Y mas con lo rata que se esta poniendo microsoft con sus licenciamientos, y con sus chistes como el Vista, que demuestran un software de una calidad casi que alpha Y lo quieren actualizar a uno a las malas asi no sirva.

Esperar a ver si la comunidad evoluciona, se quita sus egos y pendejadas y dejan al software realmente avanzar.
 
EL trabajo de microsoft no es tan malo, acostumbró a casi a todo el mundo a pagar caro por un software de mala calidad, e incluso acostumbró a los usuarios a los virus y otros fallos característicos de sus programas, eso hace que uno como programador invierta poco tiempo, dinero y esfuerzo a un desarrollo de software y tenga el derecho de cobrar duro por él, ya que la gente no nota el contraste, el problema es linux que viene a dañar eso, siendo de buena calidad y para colmo gratuito...
 
Hola hola hola
HOHO dijo:
EL trabajo de microsoft no es tan malo, acostumbró a casi a todo el mundo a pagar caro por un software de mala calidad, e incluso acostumbró a los usuarios a los virus y otros fallos característicos de sus programas, eso hace que uno como programador invierta poco tiempo, dinero y esfuerzo a un desarrollo de software y tenga el derecho de cobrar duro por él, ya que la gente no nota el contraste, el problema es linux que viene a dañar eso, siendo de buena calidad y para colmo gratuito...
Haz clic para expandir...
A estas alturas y la gente sigue confundiendo libre con gratuito :\
 
HOHO dijo:
EL trabajo de microsoft no es tan malo, acostumbró a casi a todo el mundo a pagar caro por un software de mala calidad, e incluso acostumbró a los usuarios a los virus y otros fallos característicos de sus programas, eso hace que uno como programador invierta poco tiempo, dinero y esfuerzo a un desarrollo de software y tenga el derecho de cobrar duro por él, ya que la gente no nota el contraste, el problema es linux que viene a dañar eso, siendo de buena calidad y para colmo gratuito...
Haz clic para expandir...

Pues es que bien que mal MSFT apoya la ignorancia de la gente, muchas cosas funcionan sin realmente saber como se hace. Quizas es por eso. Ellos en ves de dar flexibilidad dan su metodo y ya. Ademas nadie les quita ese buen trabajo de enseñarle a la gente a pagar por cosas malas.
 
|ARG|13 dijo:
Hola hola hola

A estas alturas y la gente sigue confundiendo libre con gratuito :\
Haz clic para expandir...

Lo digo por distribuciones gratuitas tipo ubuntu, además casi todas las distribuciones comerciales tienen su equivalente en gratuito, y la mayoría de software libre se licencia bajo la GNU, que obliga a regalar el programa. El problema no es de mi mentalidad, sino el de los demás.

Dak dijo:
Pues es que bien que mal MSFT apoya la ignorancia de la gente, muchas cosas funcionan sin realmente saber como se hace. Quizas es por eso. Ellos en ves de dar flexibilidad dan su metodo y ya. Ademas nadie les quita ese buen trabajo de enseñarle a la gente a pagar por cosas malas.
Haz clic para expandir...

¿Y eso no es bueno para los programadores?

Es como si cuando compra un jabón, tiene un papel pegado con las instrucciones de como hacerlo, con lista de químicos y demás. ¿Eso de qué le sirve a un patinador?
 
1.hay formas de hacer dinero con el software libre, usted puede liberar un programa bajo, por ejemplo, licencia GNU, pero ofrecer un soporte y cobrar, modificar o ajustar su software para que X empresa lo use, todo esto siendo libre. la empresa a la que se le ofrece este software obviamente lo contrata porque es el propietario intelectual y diseñador del mismo, independiente de que su software sea libre o no. Incluso ganando fama como programador en algún proyecto de SL podría ser contratado por alguna gran empresa de software, lease novell, ibm o que se yo.

2. si los programadores en el mundo del SL pensaran como usted realmente no existiría ni gnome, ni kde, ni kernel, ni nada de lo que conocemos como SL, ademas veo que usa kubuntu, porque no usa software comercial y diseña con software comercial, o no tiene dinero para comprar este tipo de software. se ha preguntado si linus hubiese pensado como usted, de no liberar nada cuando modifico minix, que hubiera pasado?. la mayoría de ellos trabajan y colaboran en proyectos de SL en sus ratos libres, puede ser una excelente carta de presentación para cualquier empresa que lo quiera contratar como programador, por ejemplo, decir que usted es desarrollador de gnome .

3. si confunde software gratuito con software libre, entonces omita 1 y 2.

4. algunos programadores son arrogantes y se creen sacados del ombligo de jupiter por tener conocimientos avanzados en algún tipo de lenguaje, humildad! que es eso?, por eso omiten errores que podrían poner en duda su trabajo, fue a grosso modo lo que sucedió con esto del fallo en OpenSSL.
 
Estoy muy de acuerdo con el anterior post de lordhellriser. Que hubiera pasado si estos manes hubieran pensado solo en el dienro o en yo no se que se mas, prestigio o lo que sea? No hubieran compartido ese conocimiento y que? Actualizar a windows super lo que sea? a costa de gastar un jurgo de dinero solo para hacer ese hardware medio decente para ese software?
Yo no llevo mucho en linux, hace poco, pero entendí muy bien lo que significa software libre. Y estoy muy agradecido con los miles de personas que ponen su tiempo libre y su conocimiento en servicio de otros.
 
lordhellriser dijo:
1.hay formas de hacer dinero con el software libre, usted puede liberar un programa bajo, por ejemplo, licencia GNU, pero ofrecer un soporte y cobrar, modificar o ajustar su software para que X empresa lo use, todo esto siendo libre. la empresa a la que se le ofrece este software obviamente lo contrata porque es el propietario intelectual y diseñador del mismo, independiente de que su software sea libre o no. Incluso ganando fama como programador en algún proyecto de SL podría ser contratado por alguna gran empresa de software, lease novell, ibm o que se yo.

2. si los programadores en el mundo del SL pensaran como usted realmente no existiría ni gnome, ni kde, ni kernel, ni nada de lo que conocemos como SL, ademas veo que usa kubuntu, porque no usa software comercial y diseña con software comercial, o no tiene dinero para comprar este tipo de software. se ha preguntado si linus hubiese pensado como usted, de no liberar nada cuando modifico minix, que hubiera pasado?. la mayoría de ellos trabajan y colaboran en proyectos de SL en sus ratos libres, puede ser una excelente carta de presentación para cualquier empresa que lo quiera contratar como programador, por ejemplo, decir que usted es desarrollador de gnome .

3. si confunde software gratuito con software libre, entonces omita 1 y 2.

4. algunos programadores son arrogantes y se creen sacados del ombligo de jupiter por tener conocimientos avanzados en algún tipo de lenguaje, humildad! que es eso?, por eso omiten errores que podrían poner en duda su trabajo, fue a grosso modo lo que sucedió con esto del fallo en OpenSSL.
Haz clic para expandir...

En mi equipo tengo instalado windows vista también, y aunque soy de clase media esa instalación es legal, se descarta el hecho de que use kubuntu por falta de dinero :p , además uso vario software propietario como el controlador de la tarjeta de video y los "codecs" multimedia, tampoco confundo libre por gratuito, por eso me molesta títulos de noticias como "se ahorraron no se cuantos millones de dólares usando software libre", ya que da entender que todo el software libre es gratuito, y que esa es la esencia, yo lo leería de la forma "se perdieron no se cuantos millones de dólares por el software gratuito", ya que es obvio que esas empresas que obtuvieron el software, no pagaron capacitación ni mantenimiento.

Lo que usted dice de la forma de ganar plata con la GNU depende de la forma de pensar del usuario, usted puede hacer un programa bajo la gnu y una empresa que lo adquiere contrata a otro para que le haga soporte y mantenimiento, y si medio conoce el programa capacitación también, ¿por qué lo considera imposible?, ¿leyó el GNU?, yo sí, y en ningún caso nombra que el usuario deba pagar soporte o mantenimiento, además que en muchos casos para realizar soporte, mantenimiento y capacitación, no se necesita tener el código fuente del programa ni nada de eso, basta con saberlo utilizar y conocer sus requerimientos, que está a la mano de cualquiera.

Si los creadores de linux, kde, gnome, etc, etc pensaran como yo, el sistema no estaría "tan" extendido, aunque ellos podrían tener más dinero del que tienen ahora, de hecho no habrían guerras de debianeros .vs. ubunteros, que podrían espantar clientes.

Himmelsstümmer dijo:
Estoy muy de acuerdo con el anterior post de lordhellriser. Que hubiera pasado si estos manes hubieran pensado solo en el dienro o en yo no se que se mas, prestigio o lo que sea? No hubieran compartido ese conocimiento y que? Actualizar a windows super lo que sea? a costa de gastar un jurgo de dinero solo para hacer ese hardware medio decente para ese software?
Yo no llevo mucho en linux, hace poco, pero entendí muy bien lo que significa software libre. Y estoy muy agradecido con los miles de personas que ponen su tiempo libre y su conocimiento en servicio de otros.
Haz clic para expandir...

Y de apuesto que no está dispuesto a pagar por un software aunque sea de calidad :\ el argumento de "compartir el conocimiento" sería aceptable en una sociedad económica pero ética, donde no existan los secretos industriales, patentes o demás, conformados por personas que no valoran su trabajo, por ejemplo si una persona realiza una investigación que tarda varios años, le costó y descubre un algoritmo que hace mil veces más rápido realizar un procesamiento de información, puede regalar ese trabajo, y otros que no hicieron nada, obtendrían los mimos beneficios, en este caso sería bueno que cualquiera pudiera explotar ese algoritmo, pero pagando una regalías a su descubridor (excepto si luego ese trabajo es una norma iso o algo parecido), pero actualmente se manejan con patentes que prohiben el uso del mismo, y se permite patentar el clic, doble clic, el uso de que uno use el computador, etc

El único software realmente gratuito que conozco son varios programas libres, los gratuitos propietarios vienen con publicidad, espías y demás o son una parte limitada de un programa completo que es de pago, decirle a microsoft que libere el código fuente de windows porque eso es conocimiento para el mundo, no es como decirle a cocacola que publique la receta de su bebida basada en cocaína :rolleyes: , puede consultar como hacer un sistema operativo y programarlo.

Para mí la licencia de software libre ideal es una que cobre por el programa, y si no cobra por él, entonces que obligue al cliente a pagar por capaticación y mantenimiento aunque no lo necesite, y eso a su vez a todos a quienes el cliente les "regale" el proyecto.

Por su manera de expresarse noto que usa linux más por ser gratuito que libre, de apuesto usa una distribución gratuita, ¿estaría dispuesto a comprar una distribución de pago?, si no, entonces posiblemente entienda qué es el SL, pero no tiene esa motivación, sino la de ahorros. Eso sin contar todas las diferencias que tenemos en la forma de pensar, usted piensa que el software libre es creado en el tiempo libre de los programadores, que colocan su conocimiento a favor de otros, ¿por qué una persona tiene que dedicar su tiempo libre? ¿por qué no puede trabajar en un proyecto de software libre de la compañía donde trabaja y descansar cuando deba descansar? ¿por qué esa persona debe tener la motivación de compartir su conocimiento, y no de un lucro? hay muchas compañías que se mantienen con el software libre, aunque no me crea, pudiéndole asegurar que programas tipo OpenOffice, gimp, krita, quanta, etc no fueron creados por personas dedicando su tiempo libre, sino realizando un trabajo serio en ello.
 
Pero en la diferencia está lo bueno del asunto. HOHO Probablemente yo sea nuevo en linux y no alcanze a dimensionar la magnitud que significa el software libre. Lo del tiempo libre lo decia porque existen muchos programas en linux hechos por personas en esas condiciones (espero no equivocarme). Estaría claramente dispuesto a pagar por un software de calidad (a pesar de vivir en Colombia, lo digo por la pirateria), porque sé que muchas personas pusieron su empeño y esfuerzo para desarrollarlo, trabajando en serio y con altos estandares de calidad. Empero, diferimos en nuestros puntos de vista.

Que buena discusión , la que podemos tener aqui en laneros.

Saludos.
 

Los últimos mensajes

Los últimos temas

Arriba Pie
Atrás