Alguien sabe por qué publica esta noticia hoy El País?

Imagen de RagonichaFulva
+1
0
-1

Caramba... menudo varapalo para GNU/Linux...

"La perseverancia es un árbol de raíces amargas, pero de frutos muy dulces."

Reclutador sin escrúpulos de doc.ubuntu-es.org ;)

¡Sorteo de foto de los admins de Tux!

+1
0
-1

"La perseverancia es un árbol de raíces amargas, pero de frutos muy dulces."

Imagen de Lacasito
+1
0
-1

Pues como otros varapalos que duran lo que ha durado éste: un par de horas.

Lo importante no es una vulnerabilidad descubierta (Que las debe haber, es lógico y comprensible), sino el tiempo que se tarda en solventarla, y en eso llevamos ventaja.

*** ### ***
Ubuntu User #11237

+1
0
-1

*** ### ***
Ubuntu User #11237

Imagen de RagonichaFulva
+1
0
-1

La gracia aquí no está en que dure un par de horas, si no que lleva el lastre de dos años de mal funcionamiento. A eso me refiero con varapalo; que hay que hacer algo más que solucionar el bug. Hay que regenerar las claves.

Todo desde la presunción de veracidad del artículo, por supuesto...

Desde luego la transparencia es lo que a uno le da tranquilidad. La velocidad a la hora de solucionarlo también, por supuesto.

En todo caso es un varapalo publicitario, dado que como bien refleja Jose luis, la tendenciosidad lleva al profano a decirse "uy, qué peligro eso del S.L.".

"La perseverancia es un árbol de raíces amargas, pero de frutos muy dulces."

Reclutador sin escrúpulos de doc.ubuntu-es.org ;)

¡Sorteo de foto de los admins de Tux!

+1
0
-1

"La perseverancia es un árbol de raíces amargas, pero de frutos muy dulces."

Imagen de Goyo
+1
0
-1

Para Debian, en todo caso.

Aunque ¿quién nos asegura que en sistemas no libres no ocurren cosas de este tipo de vez en cuando?

+1
0
-1
Imagen de luiscarlos
+1
0
-1

En primer lugar la escritora del artículo ( por mi parte) está libre de toda sospecha. Mercé Molist lleva años militando activamente en el S.Libre. Si no conoceis su página personal os invito a leer alguno de sus muchísismos artículos.
en segundo lugar lo preocupante no es la transparencia de la noticia. Por sí es bueno que se sea trasparente, lo paradójico desde mi punto de vista es si se es recíproco en la transparencia cuando suceded en los productos de M$. y me da que no... pues el tanteo sería aprox.: 100 m$ a 1 Linux.

y ya sabéis la noticia es que Linux falla ( o sea que el humano muerda la perro ) que falle M$ es habitual y lo habitual no es noticia.

es gracioso pues hace 30 minutos he contestado a otro mensaje que se quejaban de la falta de repercusión de linux en la prensa ...

http://www.ubuntu-es.org/index.php?q=node/89827
http://www.ubuntu-es.org/index.php?q=node/89827#comment-253660

saludos

lu!scarlos

+1
0
-1

lu!scarlos

a veces hay que poner el punto debajo de la !

Imagen de joseluis
+1
0
-1

De lo que habla El Pais ya hablamos aquí cuando sucedió la noticia hace un par de semanas.

La verdad es que con independencia de la gravedad del error, que nadie lo ha negado, el artículo es claramente tendencioso buscando el descrédito del software libre a través del ataque a Debian, Ubuntu y Gnulinex (recordemos que a causa de su apuesta por el software libre, Extremadura lleva algún tiempo en el punto de mira de ciertas empresas de software privativo que verían con buenos ojos cualquier operación, legítima o ilegítima, de descrédito hacia ese proyecto).

Al comienzo del artículo dice:

Esto deja millones de máquinas abiertas a los intrusos

Ante esa frase cualquier persona que no conozca gran cosa del tema pensará equivocadamente que todos los ordenadores que tienen instalado Debian, Ubuntu y Gnulinex tienen la máquina completamente desprotegida.
Lo que no dice es que las máquinas domésticas (que tal vez forman parte de esos millones de máquinas de las que habla) sólo estarán desprotegidas si están configuradas para acceder a ellas de forma remota vía ssh, algo que no suele hacer un usuario normal.

e inutiliza certificados usados en el comercio y la banca electrónicos.

Inutiliza los certificados de aquellos comercios y bancos cuyos servidores funcionan con alguna de las versiones y distribuciones afectadas por este bug. Pero, ¿cuántos bancos utilizan como servidores web Debian?, yo no lo se, no se si son muchos o pocos, y el autor del artículo tampoco parece que lo sepa porque ni lo menciona, aunque eso no quita para que redacte la frase de tal forma que pensemos que todos los certificados que usemos en el comercio electrónico son inseguros por culpa del error de Debian.

Por supuesto no menciona nada acerca de un problema similar (mencionado en hispasec en la noticia del fallo de seguridad en Debian) que ocurrió a finales del año pasado con Windows XP y que a mediados de mes todavía no se había solucionado (a diferencia de Debian que se arregló en cuestión de horas):

Un problema similar se reportó en Windows. En noviembre de 2007, un equipo de investigadores israelíes publicaron un análisis criptográfico sobre el algoritmo usado por Microsoft Windows 2000 y XP para generar números aleatorios, el PRNG (Pseudo-Random Number Generator). Descubrieron que contenía serios problemas en su implementación. Las conclusiones del estudio revelaban (entre otros fallos) que es posible, y relativamente sencillo, predecir los resultados previos y futuros del algoritmo a partir del conocimiento de un estado interno del generador, así como las claves de sesión usadas y las que se usarán en un futuro para cifrar información. Vista no sufría el problema, y Microsoft dijo que lo arreglaría en el Service Pack 3 para XP. Según parece no ha sido así y aunque han mejorado algunas funciones criptográficas con él, no han resuelto este problema en concreto.


Fdo. Forense asesino, Censor fundamentalista, Fustigador de novatos y Patético maleducado

+1
0
-1

Fdo. Forense asesino, Censor fundamentalista, Fustigador de novatos y Patético maleducado

Imagen de dosPipos
+1
0
-1

...me parece muy raro que El País se haga eco del bug, hoy, precisamente hoy y no hace 15 días... no sé si estará relacionado con las noticias de windows 7 o con este publireportaje de soitu y la presentación de Asus Eee que ahora resulta que después de incorporar linux de serie, también llevará para quien lo desee windows xp (por 30 € más claro).

http://www.soitu.es/soitu/2008/05/28/vidadigital/1211989211_468620.html

Me resulta todo muy sospechoso.

Saludos.

+1
0
-1
Imagen de elgatogordo
+1
0
-1

chicos, en vez de quejarnos aqui por lo injustos que son con nosotros ¿por que no hacerlo en la sección cartas de lectores de EL PAIS? con que 20 o 30 usuarios de ubuntu-es les manden un mail acusandolos de tendenciosos se lo van a pensar bien

+1
0
-1
Imagen de luiscarlos
+1
0
-1

 elgatogordo escribió:
chicos, en vez de quejarnos aqui por lo injustos que son con nosotros ¿por que no hacerlo en la sección cartas de lectores de EL PAIS?
 con que 20 o 30 usuarios de ubuntu-es les manden un mail acusandolos de tendenciosos se lo van a pensar bien 

apoyo la idea. Esta misma tarde les mando un mail. cuando lo tenga escrito os lo comunico aquí por si alguien quiere unirse al mismo.

lu!scarlos

+1
0
-1

lu!scarlos

a veces hay que poner el punto debajo de la !

Imagen de elgatogordo
+1
0
-1

postea la dirección de mail asi les mando uno yo. Bastante tengo con las idioteces de los diarios argentinos para ponerme a leer los españoles

+1
0
-1
Imagen de luiscarlos
+1
0
-1

Zona de contenidos
Redacción de ELPAIS.com
Si lo que quieres es ponerte en contacto con los periodistas que cada día hacen posible ELPAIS.com, enviar sugerencias o convocatorias de prensa dirígete a:

Correo electrónico ............ redaccion@elpais.com
Teléfono ............................ (34) 91 337 82 00
Número de fax .................. (34) 91 304 87 66

Lo último de ELPAIS.com
Si tienes algún comentario o puntualización sobre las informaciones aparecidas en la sección de Lo último de ELPAIS.com ponte en contacto con:
redaccion@elpais.com

Participación de ELPAIS.com
Si quieres proponer temas de debate, entrevistas digitales y encuestas o remitir cualquier sugerencia relacionada con la sección digital de Participación escribe a:
redaccion@elpais.com

lu!scarlos

+1
0
-1

lu!scarlos

a veces hay que poner el punto debajo de la !

Imagen de elgatogordo
+1
0
-1

Imagen de elgatogordo
+1
0
-1

este es el texto del mail que mandé al diario EL PAIS

---------------------------------------------------
Sres del diario EL PAIS:

Con respecto al articulo (a mi criterio excesivamente alarmista) de la periodista MERCÈ MOLIST publicado bajo el titulo
"Un fallo en una distribución de Linux pone en peligro millones de máquinas en Internet" el dia 29/5". Considero necesaria algunas puntualizaciones

Es cierto que el error se produjo hace dos años, pero lo que no dice la señora Molist es que la primera versión estable de debian que lo incorporó salio en el 2007 y que la politica de la mayoria de los administradores de sistemas es no instalar una nueva versión de un sistema operativo hasta que su confiabilidad está probada lo que suele coincidir con el cese de las actualizaciones del sistema operativo anterior. Los dos años se reducen a tres meses y siempre y cuando en esos tres meses se haya generado alguna clave nueva

Tambien es cierto que el fallo afecta a ubuntu que como dice Molist es la distribución más popular entre los usuarios domésticos, pero el 99,99 de los usuarios domésticos no necesita utilizar herramientas como openssl. y aquellos que utilizan ubuntu en sus servidores generalmente actualizan de una versión de soporte largo a otra (la ultima LTS es anterior al problema y la actual ya lo corrigio)

Cabe destacar que cuando EL PAIS publicó su artículo ya hace 15 dias que habia sido detectado y corregido por la propia comunidad y que los programas maliciosos que circulan por internet para explotar la falla fueron generados con fines pedagógicos por personas de la comunidad del software libre perfectamente identificadas como forma de entender mejor el problema
Diego Gonzalez

+1
0
-1
Imagen de alb37
+1
0
-1

Buenos dias....yo que soy totalmente nuevo en Ubuntu,siempre he trabajado con Windows,ahora que me decido por el software libre y la verdad estoy o estaba contento...ese anuncio sobre la seguridad me preocupa mucho.Soy un usuario normal,y agradecería que alguien me explicara la envergadura del problema,por lo que dicen en el artículo esto no se soluciona con un parche...y entonces que hacemos??como sabemos si navegamos o no con seguridad ¡¡¡ me parece un tema serio ya que yo entro a diario en mi banco a traves de internet...
Muchas gracias

+1
0
-1
Imagen de dosPipos
+1
0
-1

te preocupa la seguridad en ubuntu y sin embargo la de windows ni te la planteabas?

En mi caso, te diré que hago operaciones de compra/venta de divisas en el mercado Forex, para lo cual me conecto con la plataforma de mi broker a través de internet utilizando Firefox y ubuntu 8.04 ...y no problem. ;-)

Saludos.

Respecto al problema de seguridad busca arriba a la derecha y encontrarás.

+1
0
-1
Imagen de elgatogordo
+1
0
-1

Un sistema operativo está compuesto por centenares de miles de lineas de código escritas por seres humanos, seres humanos que por diferentes motivos (maldad, incompetencia, tener un mal dia, distracción) cometen errores. Eso te va a pasar en linux, en mac o en windows. La diferencia es que al ser de código abierto los errores son descubiertos difundidos y corregidos por la comunidad. Con el software privativo ni tu (ni los medios) te enteras de las vulnerabilidades salvo que seas el perjudicado, simplemente recibes el aviso de que hay una nueva actualización.
Con respecto al problema a ti no te afecta,si el banco utiliza un servidor basado en debian ya debe haber tomado las precauciones del caso
Aqui tienes más información
http://seguinfo.blogspot.com/2008/05/preguntas-frecuentes-sobre-el-probl...

+1
0
-1
Imagen de Goyo
+1
0
-1

Quien tiene que solucionarlo es tu banco o quien sea que te preste servicios afectados por el bug. No depende del sistema que tengas en tu equipo.

Además ni siquiera sabemos qué sistema usa el servidor de tu banco al que te conectas. Si nunca te has preocupado por ello, puedes empezar a preocuparte ahora, pero sin exagerar.

+1
0
-1
Imagen de joseluis
+1
0
-1

como sabemos si navegamos o no con seguridad

¿Tienes montado un servidor web con ssl ofreciendo servicios al exterior?
¿Accedes remotamente a tu ordenador utilizando ssh?
Si la respuesta a lo anterior es no, no tienes ningún problema de seguridad en tu máquina (como la inmensa mayoría de usuarios de Debian, Ubuntu y Gnulinex).

¡¡¡ me parece un tema serio ya que yo entro a diario en mi banco a traves de internet...

  • ¿Tu banco ofrece sus servicios a través de un servidor Debian/Ubuntu/Gnulinex?
    • En caso afirmativo ¿han aplicado el parche de seguridad que salió a las pocas horas de detectarse el fallo?
    • En caso afirmativo ¿han vuelto a generar las claves ssl?
    • Si la respuesta a las tres preguntas es afirmativa no tienes nada que temer por este problema.
    • Si la respuesta a la primera pregunta es afirmativa y alguna de las otras dos es negativa entonces comunicaselo a tu banco y no accedas a él hasta que ellos corrijan el error.
  • Si tu banco no ofrece sus servicios a través de un servidor Debian/Ubuntu/Gnulinex
    • ¿Utilizan como servidor alguna otra distribución de GNU/Linux no derivada de Debian, o algún *BSD o *NIX?
      • Si la respuesta es afirmativa no tienes nada que temer pues no están afectados por este problema
  • Si tu banco no utiliza como servidor ninguna distribución de GNU/Linux ni ningún *BSD ni *NIX y lo que usan es Windows XP ó Windows 2000 entonces echate a temblar porque tienen desde hace muchos meses un problema similar y todavía no lo han solucionado.

Fdo. Forense asesino, Censor fundamentalista, Fustigador de novatos y Patético maleducado

+1
0
-1

Fdo. Forense asesino, Censor fundamentalista, Fustigador de novatos y Patético maleducado

Imagen de alb37
+1
0
-1

Jose Luis,la respuesta a tus dos primeras preguntas es negativa,con lo cual ya me quedo mas tranquilo...muchas gracias..

+1
0
-1
Imagen de elgatogordo
+1
0
-1

antes de enojarnos ¿podriamos leer los articulos hasta el final? los dos ultimos párrafos dificilmente pueden calificarse de tendenciosos o desfavorables
-----------------Principio de la cita-------------

Respuesta rápida

Debian ha actuado con celeridad. A las pocas horas de conocer el error sacó los parches y una lista de claves afectadas. Diversas autoridades certificadoras se han ofrecido a certificar las nuevas claves gratuitamente, cuando el servicio cuesta 200 euros al año. Esto no ha evitado una lluvia de críticas sobre Debian y la seguridad de los programas libres.

Mallach defiende: "La respuesta de Debian ha sido totalmente profesional. Desde el primer momento se ha informado con transparencia del problema y se ha ofrecido toda la información y herramientas para solucionarlo". Pero reconoce: "esto debe servir para que la gente se tome el argumento de 'código abierto igual a código auditado' con más perspectiva. Aunque el código está disponible para ser revisado, hay muy poca gente que lo hace. En este caso, se encontró por casualidad dos años después de pasar inadvertido por todos los controles".

---------------------FIN DE LA CITA------------------

+1
0
-1
Imagen de alb37
+1
0
-1

Gracias por vuestras aportaciones,en cuanto a si antes me preocupaba la seguridad en Windows,pues claro..y a quién no¡¡¡ pero cuando ves una noticia un tanto alarmante es dificil no preocuparse e intentar buscar mas información para poder estar mas tranquilo...mi banco es ING..no sé nada de su servidor..no obstante no tengo ninguna intención de volverme a Windows...Ubuntu me parece fenomenal¡¡¡... y claro tengo,que en otros sistemas operativos pasan cosas similares...

+1
0
-1
Imagen de dosPipos
+1
0
-1

a mi me suena a... pobrecillos vamos a ayudarles a resolver su problema, y como no tienen pasta, se lo hacemos gratis... el detalle de los 200 euros al años que cuesta la certificación, no aporta nada, se podían haber quedado en que se van a certificar las nuevas claves y punto.

Mi opinión claro.

Saludos.

+1
0
-1
Imagen de joseluis
+1
0
-1

los dos ultimos párrafos dificilmente pueden calificarse de tendenciosos o desfavorables

El último párrafo se refiere a las declaraciones de Jordi Mallac, desarrollador de Debian y por tanto interesado en que se cuenten las virtudes de Debian, por tanto si muchos de los que leen el artículo llegan hasta el final, después de leer todo lo malo que ha salido del software libre es muy posible que no presten mucho crédito a lo que un desarrollador de Debian diga, sobre todo si se tiene en cuenta que en algunos párrafos anteriores se califica el error de Debian como uno de los mayores agujeros informáticos de la historia.

En cuanto al penúltimo párrafo sí es cierto que es favorable, ya que es difícil criticar la velocidad con que se ha corregido, pero claro este párrafo va después de la opinión que el experto en seguridad De los Santos da sobre el futuro de este error "no se va a solucionar nunca; los ecos se oirán siempre porque habrá quienes no harán jamás las comprobaciones necesarias".
Es decir que después de leer que nunca se va a solucionar ¿cuántos de los que lo lean le van a dar importancia a que Debian haya corregido el error con rapidez?, lo que les quedará es que por culpa del software libre tendremos instalada la inseguridad en nuestras transaciones comerciales para toda la vida.


Fdo. Forense asesino, Censor fundamentalista, Fustigador de novatos y Patético maleducado

+1
0
-1

Fdo. Forense asesino, Censor fundamentalista, Fustigador de novatos y Patético maleducado

Imagen de elgatogordo
+1
0
-1

es la forma como los periodistas suelen tratar a cualquier empresario, actor, político, ingeniero o cualquier otra profesión que mete la pata salvo que sea periodista.
Viajar en avión es mucho más seguro que viajar en automovil, eso es en buena parte a los entrenamientos de los pilotos y medidas de seguridad de las lineas aereas. Sin embargo las pocas veces que hay un accidente de lo que se habla es de la falta de previsión de las lineas aereas

+1
0
-1
Imagen de joseluis
+1
0
-1

es la forma como los periodistas suelen tratar a cualquier empresario, actor, político, ingeniero o cualquier otra profesión que mete la pata salvo que sea periodista

Efectivamente, ese es el tratamiento que dan los periodistas cuando quieren crear alarmas injustificadas (por eso lo califico de tendencioso).
Y la prueba de ello es que han tenido un gran éxito con esa intención, no hay más que ver la cantidad de gente que comenta o pregunta sobre este asunto como si su propia máquina estuviera en riesgo.

Ya se sabe que alarmar vende mucho más que ceñirse a la realidad, es obvio que es más rentable ser alarmista y decir que hay millones de máquinas en riesgo que decir que las máquinas afectadas son básicamente algunos de los servidores que usan Debian Etch o Ubuntu a partir de Edgy.

También vende mucho más afirmar que se trata de un error que existe desde hace dos años sin tener en cuenta que la primera versión stable de Debian que incorpora este error sale en abril de 2007 (hace un año) y que muy posiblemente muchos de los que usaban la anterior stable Sarge no habrán actualizado a Etch hasta marzo de este año, agotando así el plazo en que Sarge mantenía sus actualizaciones (algo muy típico en los servidores), por lo que esos servidores sólo tendrían ese error desde hace 3 meses, además del detalle que ese error solo se haría efectivo si esos servidores hubieran tenido que generar nuevas claves ssl después de la actualización, ya que si esas claves las generaron con versiones anteriores de Debian o Ubuntu no hay riesgo alguno.

Por otra parte, aunque Ubuntu tiene ese error desde octubre de 2006 (con Edgy), es muy posible que quien necesite servidores seguros no utilice esa versión de Ubuntu (ni la 7.04 ni la 7.10), quedandose únicamente con alguna de las LTS (6.06 o 8.04), es decir es muy posible que la mayor parte de esos servidores que requieren seguridad utilicen Ubuntu Dapper (la primera LTS y que está libre de este error) y tal vez ahora estén empezando a migrar a Ubuntu Hardy (yo desde luego si administrara un servidor de ese estilo no lo haría hasta que Hardy tuviera bastantes meses más y me garantizara una mayor estabilidad), por lo que es muy posible que en el caso de Ubuntu el problema real haya surgido (y no siempre) hace unas pocas semanas. Al fin y al cabo si necesitas un servidor muy seguro, no parece razonable utilizar versiones con solo 18 meses de soporte cuando se tienen versiones con 5 años de soporte (en la opción server) y que son mucho más estables.

En resumen que las cosas se pueden decir de muchas maneras, que sin tener que ocultar la gravedad del error (que la tiene) se puede contar la noticia teniendo en cuenta todos los puntos anteriores para que la gente que lo lea pueda hacerse una composición de lugar más realista, o bien puede hacerse como lo han hecho en ese periódico, creando alarma entre los no afectados. A eso es a lo que yo llamo enfoque tendencioso.


Fdo. Forense asesino, Censor fundamentalista, Fustigador de novatos y Patético maleducado

+1
0
-1

Fdo. Forense asesino, Censor fundamentalista, Fustigador de novatos y Patético maleducado

Imagen de Goyo
+1
0
-1

Pienso que no es deliberadamente tendencioso pero el contexto hace que lo sea.

El episodio pone de manifiesto la falsedad de algunos tópicos que suelen usarse en defensa del software libre y "demuestra" que no siempre está correctamente auditado y que los defensores de la "seguridad por oscuridad" tienen razón en que la publicación del código fuente puede exponer las vulnerabilidades a los atacantes. El lector avisado sabe de sobra que lo primero es cierto (aunque el código libre está en mejor disposición para ser auditado) y lo segundo irrelevante porque los atacantes no buscan las vulnerabilidades estudiando el código (tienen formas mucho más eficaces de hacerlo), pero el público en general no.

Además como apunta José Luis no se mencionan problemas similares en otros sistemas, aunque es habitual en la práctica periodística mencionar antecedentes y casos semejantes en este tipo de noticias. Probablemente es un error inocente pero, en un contexto de oposición entre distintos modelos de seguridad, aporta aparentes argumentos a quienes defienden el modelo cerrado.

+1
0
-1
Imagen de lyoncat
+1
0
-1

Pues en mi opinión, me resulta como poco extraño, el que hoy se publique esa noticia.

Me explico, ese periódico lo suelo leer a diario, y me ha sorprendido tanto la noticia,
que al ver el titular, creí que hablaban de un nuevo agujero.

Después, habiéndolo leído por completo, me vino la sospecha. Y aunque se diga que la autora, está
comprometido con el S.L., no deja de sorprenderme.

Veo alguna intencionalidad en todo esto, en fin, lo siento por los miles de personas que se inician
en la aventura del S.L. y que leen este tipo de cosas, y pueden huir despavoridos.

Saludos comunidad.

+1
0
-1
Imagen de dosPipos
+1
0
-1

... eso es lo importante lyoncat.

¿Por qué, para El País esta es noticia hoy y no lo fue hace 15 días?

Mi opinión al respecto, puede ser algo paranoica, lo reconozco, es la siguiente:

Ayer se presenta en España el Asus Eee el equipo esta preparado u optimizado para linux, si me equivoco me rectificáis, resulta que parece ser un producto con posible y sorprendente éxito de ventas y Microsoft se apunta al carro.

Cuando sale el producto, los lectores, lo ven, y piensan: buen producto y barato me lo compraré, resulta que tienen dos alternativas, la libre y la de pago, 30 € más con ms xp instalado (ojo un 10% más), rescatamos una noticia chunga de linux, la última, la escribimos en plan tremendo y el lector interesado en el producto tendrá claro que lo mejor es comprar la versión de xp, ya que linux no es fiable.

Puede parecer una teoría conspirativa peliculera, pero quien sabe si no habrá algo de verdad...

Saludos.

+1
0
-1
Imagen de elmontero
+1
0
-1

...que los largos tentáculos de las multinacionales (cualquiera que sea), llegan a donde quieran, y compran voluntades (a quien sea). www.myspace.com/elmontero

+1
0
-1
Imagen de fernando-eguia-mx
+1
0
-1

Es lo que cuenta en Linux. Si se descubre un fallo de seguridad, éste es parchado en un menor tiempo que en las tinieblas.


Dad a Windows lo que es de Windows y a Linux lo que es de Linux.
+1
0
-1