OpenBSD - Dos fallos de seguridad remotos en diez años


OpenBSD, el sistema operativo derivado de Unix (perteneciente a la familia *BSD, como NetBSD o FreeBSD) se ha visto obligado a cambiar su eslogan "bandera" por segunda vez desde que orgullosos, lo colgaron bien visible en su página como símbolo de un sistema pensado para la seguridad.





OpenBSD es un sistema abierto, gratuito y de una gran calidad.
Implementa por defecto todas las medidas de seguridad imaginables,
aquellas que casi todos los otros sistemas ofrecen como complementos o
de forma opcional. Esto convierte a OpenBSD en una verdadera roca que,
nada más ser instalado, puede mantenerse más que razonablemente seguro
sin necesidad de bastionado. Además, los servicios que ofrece al
exterior en primera instancia son mínimos, manteniendo deshabilitadas
una gran cantidad de funcionalidades por defecto. Por último, sus
creadores someten al código a continuas auditorías, con la seguridad
siempre como objetivo primordial.

OpenBSD_Logo

Al poco de observar tan buenos resultados con respecto a la seguridad,
los orgullosos desarrolladores establecieron como lema de su página el
logro que estaban consiguiendo, y a mediados de 2000, se podían leer las
frases: "Tres años sin un agujero remoto en la instalación por defecto"
y "Dos años sin agujero local en la instalación por defecto" junto con
el pez globo que representa este sistema operativo. Esta última
afirmación sobre la seguridad en local (siempre más compleja) duró poco,
y para finales de ese mismo año 2000 ya había sido retirada.

En junio de 2002, cuando la frase ya hablaba de "seis años sin agujeros
remotos", el eslogan tuvo que ser modificado de nuevo. Se encontró un
grave fallo de seguridad en OpenSSH que permitía a un atacante remoto
obtener total control del sistema. Desde entonces hasta el pasado día 17
de marzo, se podía leer "sólo un agujero de seguridad en la instalación
por defecto en más de 10 años".

El problema ha surgido, no sin polémica, cuando se ha descubierto una
nueva vulnerabilidad en la pila Ipv6 de OpenBSD. Este sistema activa la
nueva versión del protocolo por defecto, de forma que era vulnerable de
forma remota. El fallo se debía a un desbordamiento de memoria
intermedia cuando se manejaban paquetes Ipv6 fragmentados. En un
principio se pensó que sólo podría provocar una denegación de servicio,
pero poco después se desarrolló una prueba de concepto que acreditaba la
posibilidad de que fuese aprovechada para ejecutar código. Al tratarse
de una versión del protocolo todavía no muy extendida, la gravedad del
problema podría verse suavizada. Un atacante debería encontrarse en una
red Ipv6 y enviar el paquete a la víctima. Muchos administradores de
OpenBSD también, muy concienciados con la seguridad, deshabilitaban este
protocolo si no iba a ser utilizado. Los descubridores del problema
hablaban de vulnerabilidad desde un principio, mientras que OpenBSD
prefirió llamarla "bug" (fallo) y más tarde "problema de estabilidad".

Aun así, con ciertas reservas, OpenBSD se ha visto obligado a modificar
su eslogan, donde ahora se puede leer "sólo dos agujeros de seguridad
remotos en la instalación por defecto en más de diez años", algo que no
todos los proyectos pueden permitirse afirmar y de lo que siguen
pudiendo sentirse orgullosos. La actual versión OpenBSD 4.0 seguirá
presentándose como uno de los sistemas más seguros para servidores,
donde la seguridad y estabilidad como objetivo primen por encima de
todo.

Más información:

OpenBSD:
http://es.wikipedia.org/wiki/OpenBSD

Report states that OpenBSD developers played down critical vulnerability
http://www.heise-security.co.uk/news/86757

Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Los dispositivos extraíbles son la principal fuente de malware
BitDefender ha detectado la vulnerabilidad de los dispositivos extraíbles como principal origen para la propagación de malware en su análisis del mes de febrero. Trojan.AutorunINF.Gen es el troyano más encontrado en equipos, si bien se han detect...
IE 9, Firefox 10 cayeron en Pwn2Own
Internet Explorer 9 cayó con dos vulnerabilidades 0-day y Firefox 10 con una vulnerabilidad 0-day...
Al menos 60 países ya aplican censura en Internet
China, Cuba, Vietnam, Irán, Arabia Saudí, Siria, Túnez y Egipto son algunos de los países que ya aplican políticas restrictivas en la utilización de la red...
Cross site scripting en phpMyAdmin
El equipo de phpMyAdmin ha publicado una alerta informando de un fallo en la funcionalidad structure snapshot al no realizar correctamente la validación de los datos pasados a través de los parámetros tabla, columna e índice. ...
IBM podría ser uno de los principales promotores del Manifiesto Open Cloud
IBM es uno de los promotores del manifiesto Open Cloud, criticado por Microsoft la semana pasada como un intento secreto de estandarizar la informática en nube....
Opera 12, ahora con aceleración por hardware
Opera Software ha lanzado la versión final de Opera 12, la última actualización de su navegador web. ...
Mal uso de servicios web
Una de las cosas más preciadas para un spammer es poder controlar cuentas de correo web para realizar el envío masivo de mensajes. Muchos lo consiguen rompiendo los Captchas cuando se crean cuentas de corre....
OpenOffice.org 3.0 quiere comerse a Outlook
Una presentación promocional de lo que llegará con la versión 3.0 de OpenOffice.org permite vislumbrar sus características como algo más que una suite ofimática: puede que Thunderbird acabe integrándose con este paquete software, y si lo hace ...
BMW apuesta por GNU/Linux en el sistemas electrónicos de sus vehículo
El fabricante bávaro de automóviles y motocicletas solicita la unión del resto de la industria a su esfuerzo por desarrollar una plataforma de software abierta para sistemas electrónicos de vehículos, como la asistencia al conductor o el ocio...
Herramienta nueva camufla programas del hacker.
Una herramienta nueva para manipular los paquetes de datos que viajan en Internet podría permitir que los atacantes camuflen programas malévolos lo suficiente para puentear muchos sistemas y cortafuegos y evitar su detección. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • diez
  • dos
  • exploits
  • fallos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • openbsd
  • opensource
  • pgp
  • php
  • remotos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra