[LUG.ro] sobre el "Debian Fiasco"

Sebastián D. Criado sebastian.criado en gmail.com
Lun Mayo 19 23:12:10 ART 2008


El día 19 de mayo de 2008 22:23, Ramiro Caire <> escribió:
> Sebastián D. Criado wrote:

> Creo que el mensaje de Sebastian B. solamente fue dar su opinión del
> pensamiento de la gente "no entendida" en estos menesteres, nadie
> dice que el soft privativo sea mas seguro que el libre, eso se entiende por
> demas por las cuestiones que justamente vos planteas en este mail.
> Es mas, nadie menciono la palabra windows ni lo comparó... soft privativo es
> mas amplio que windows solamente.

Entiendo. Tal vez me adelante, ya que dijo "linux" (teniendo que
entederlo que se refiere a todo el sistema operativo), entonces, por
comparación, tengo que tomar la contraparte más extendida, es decir
Windows.
Es así SB?
Quise dar ejemplos para comentarle a esa gente que no tiene ni la más p... idea.


> Y haciendo referencia a una frase tuya en el punto 1, evidentemente no se
> llegó muy rápido al límite de 0 bug (aparentemente esto esta afectado desde
> 2006) o
> no hubo suficientes ojos mirando.

Es verdad, se tardo 2 años, pero no olvidemos que el bug fue metido y
no era de libssl.
En su versión original, libssl no tiene el error, por lo que no es
directamente del programa libre que cumple con esa premisa. Por lo
menos en su versión original.

Ojo, sigo pensando que el bug es grave, muy grave en realidad, y como
muchos han dicho, todavía no hemos tenido los mayores problemas y
dependerá mucho de los administradores de sistemas que tengan la
deferencia de actualizar todas sus claves. No olvidemos de los
certificados ssl. Hay mucho más que todavía puede pasar.

Pero meditemos esto. En lo que respecta a problemas de seguridad
viejos,  que tienen más de 2 años en otros productos, podemos tomar
como ejemplo aquellos errores en la generación de claves aleatorias
(casualidad) en Windows XP y que no tiene parche ni se sabe si lo va a
tener cuando existe una extensa base de instalaciones. Eso es un
atentado directamente. Se sabe que hay un problema y el mismo no tiene
solución.
Por lo menos en Debian se resolvió el problema en forma inmediata,
apenas se descubrió el bug.

Sobre el problema en si sigo pensando que fueron varios problemas y
que la culpa fue compartida.
En primera instancia el programador pregunto sobre eso y no le dieron
mucha bola, en segunda se quitaron más lineas que las que se tendrían
que haber quitado, en tercero, se tendría que haber tenido mucho
cuidado en cuanto a lo que se tocaba. Los programas criptográficos son
algo muy difícil de toquetear y aquí se cometió un error, que
seguramente, será mucho más difícil que se cometa en el futuro.


> Igualmente sostengo que esto fue un hecho aislado, seguro hay otros, pero de
> esta magnitud es realmente una excepción. Creo y seguiré creyendo en el SL.

Totalmente, es algo muy raro lo que ha sucedido y si nos pusieramos a
buscar, encontraremos muchos de estos en otros programas y sistemas
operativos, de allí mis comentarios en el mail anterior.

>
> Respondiendo a Javier Adrian Ortiz de La Tabla (te podemos decir "coco"? o
> "tito" algo mas corto !! :P ), es posible que debilite unicamente afecte la
> imagen de distros basadas
> en Debian, pero lamentablemente este tema tuvo repercusión y esta gente
> (otra vez hago referencia a los "no entendidos") suelen meter todo en una
> misma bolsa.
> Espero que esto sirva como para cambiar un poco las metodologías antes de
> lanzar una actualización o un paquete nuevo.

Yo creo que si. No olvidemos otra cosa. El que lo encontró es parte
del grupo de desarrolladores de Debian y actuó de acuerdo a la ética
que tienen que tener aquellos que trabajan con bug de seguridad.

Saludos.-

-- 
Sebastián D. Criado - scriado{en}ciudad.com.ar
NO A LA MATRICULACIÓN OBLIGATORIA - http://noalamatricula.wordpress.com/about/
L.U.G.Ro - http://www.lugro.org.ar
GNU/Linux Registered User # 146768
- -------------------------------------------------------------------
"Si el Universo fuera un programa estaría hecho en C, y correría sobre
un sistema UNIX"
 Anónimo.



Más información sobre la lista de distribución Lugro