La Nación: El Desastre Debian nos afectará por años.
Un artículo en el diario La Nación, de Argentina, dice que pasarán muchos años antes de que se olvide el incidente en la comunidad del software libre. Será imposible determinar hasta donde llegarán las consecuencias del denominado Desastre Debian. El artículo menciona que lo único que se puede rescatar, e incluso aplaudir, es que se hizo público y jamás se ocultó, como es algo que si suele ocurrir con el software propietario.
Para resumir el incidente, durante un año y ocho meses quienes utilizaron Debian estuvieron creando llaves públicas inseguras, debido a que dos líneas de código fueron eliminadas en OpenSSL y que crearon vulnerabilidad en el generador de números seudoaleatorios haciendo que se se empezaron a utilizaran como semillas los identificadores de proceso (PID). Debido a que en Linux sólo puede haber 32,768 identificadores de proceso, el número de semillas disponibles para generar números al azar se volvió ridículamente bajo. Como el algoritmo que se usa para producir números al azar es conocida, teniendo esto en cuenta y las posibles semillas, es fácil adivinar el cifrado resultante.
De acuerdo al autor del artículo, Ariel Torres, el Desastre Debian no afectará solo a Debian mismo, sino que alcanza a cualquier sistema donde algún administrador usuario de Debian haya puesto una llave pública.
Ariel Torres opina que el hecho de que la distribución de GNU/Linux más respetada haya quedado asociada a un desastre de seguridad informática es motivo de preocupación. Sin embargo el incidente deja varias lecciones para meditar y evitar que se repitan los mismos errores. A nadie conviene que desparezca el Software Libre, ni siquiera a sus opositores.Todo es una simple ecuación económica. Un estudio de la Universidad del Rey Juan Carlos, de Madrid, España, llegó a la conclusión de que si las 283 millones de líneas de código de Debian fueran propiedad de una compañía privada, estas habrían costado alrededor de 5400 millones de euros.
Fuente: La Nación.
Para resumir el incidente, durante un año y ocho meses quienes utilizaron Debian estuvieron creando llaves públicas inseguras, debido a que dos líneas de código fueron eliminadas en OpenSSL y que crearon vulnerabilidad en el generador de números seudoaleatorios haciendo que se se empezaron a utilizaran como semillas los identificadores de proceso (PID). Debido a que en Linux sólo puede haber 32,768 identificadores de proceso, el número de semillas disponibles para generar números al azar se volvió ridículamente bajo. Como el algoritmo que se usa para producir números al azar es conocida, teniendo esto en cuenta y las posibles semillas, es fácil adivinar el cifrado resultante.
De acuerdo al autor del artículo, Ariel Torres, el Desastre Debian no afectará solo a Debian mismo, sino que alcanza a cualquier sistema donde algún administrador usuario de Debian haya puesto una llave pública.
Ariel Torres opina que el hecho de que la distribución de GNU/Linux más respetada haya quedado asociada a un desastre de seguridad informática es motivo de preocupación. Sin embargo el incidente deja varias lecciones para meditar y evitar que se repitan los mismos errores. A nadie conviene que desparezca el Software Libre, ni siquiera a sus opositores.Todo es una simple ecuación económica. Un estudio de la Universidad del Rey Juan Carlos, de Madrid, España, llegó a la conclusión de que si las 283 millones de líneas de código de Debian fueran propiedad de una compañía privada, estas habrían costado alrededor de 5400 millones de euros.
Fuente: La Nación.
Publicado con El navegador Flock