Club Delphi,


...Desde hace algunas horas se comenzó a hablar sobre Bash, una falla de seguridad que se descubrió recientemente y que afecta a sistemas que corren Linux y Mac OS X. Este hueco no sólo tiene el potencial de ser peligroso para las PCs de los usuarios, sino que podría tener repercusiones mucho mayores, tan grandes como para afectar a todo Internet...La falla está alojada en una de las utilidades más populares de Unix, conocida como Bash Shell...

:rolleyes:

Ver la noticia completa en : Bash: ¿la falla que podría descomponer Internet? (http://www.unocero.com/2014/09/25/bash-la-falla-que-podria-descomponer-internet/)

Revisen esta información relacionada:

1- Vulnerability Summary for CVE-2014-7169 (http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169)

2- Quick notes about the bash bug, its impact, and the fixes so far (http://lcamtuf.blogspot.mx/2014/09/quick-notes-about-bash-bug-its-impact.html)

3- The Thanks-Rob Worm to Come (http://www.securitycurrent.com/en/writers/richard-stiennon/the-thanks-rob-worm-to-com)
Nelson.

Tampoco hay que rasgarse las vestiduras. No hace mucho había problemas con OpenSSL, y sin embargo la red no ha colapsado (y por lo que leí, podría haberlo hecho). Y también recuerdo que el antiguo login tanto de UNIX como de GNU tenían un fallo gordísimo que hacía muy fácil poder inyectar código ejecutable en cualquier máquina sin necesidad de hacer login (el famoso problema de la función gets (s) de la stdlib), que estuvo vigente durante décadas...

Que sí, que será un fallo de seguridad de la leche, pero Bash no es la única consola existente, y aunque lo fuera, es de código abierto, así que enseguida tendremos el problema solucionado.

Esta mañana, al encender el ordenador, se ha instalado automáticamente una actualización que solventa el problema.
Es lo bueno de los sistemas abiertos y libres, hay miles de ojos que pueden revisar y solucionar defectos detectados. Se envía al repositorio central y se acabó el problema, todo el mundo está actualizado y fuera de peligro.
El problema está en los sistemas cerrados donde solamente puede trastear el dueño. Lo último ya lo sabréis, apple ha tendo que retirar la última actualización de iOS y avisar a la gente que instale la versión anterior.

Esta mañana, al encender el ordenador, se ha instalado automáticamente una actualización que solventa el problema.
Es lo bueno de los sistemas abiertos y libres, hay miles de ojos que pueden revisar y solucionar defectos detectados. Se envía al repositorio central y se acabó el problema, todo el mundo está actualizado y fuera de peligro.
El problema está en los sistemas cerrados donde solamente puede trastear el dueño. Lo último ya lo sabréis, apple ha tendo que retirar la última actualización de iOS y avisar a la gente que instale la versión anterior.

Yo creo que los sistemas cerrados son mas seguros, pero mucho más seguros, siempre hay alguíen detras para reparar desperfectos por el propio interes.

Casimiro, no te enfadeeeeeees, es broma

Bueno, no vale la pena enfadarse por eso, hay cosas más importantes :)
Por cierto, tu CD (400) ^\||/

apple ha tendo que retirar la última actualización de iOS y avisar a la gente que instale la versión anterior.

Deja tú. Si te duermas encima del iPhone puede ser que lo dobles (http://uploaded.net/file/2m9joyha) :D Todo un desastre las novedades de Apple.

// Saludos

A lo mejor poniendo 2 juntos... :rolleyes:

Es lo bueno de los sistemas abiertos y libres, hay miles de ojos que pueden revisar y solucionar defectos detectados. Se envía al repositorio central y se acabó el problema, todo el mundo está actualizado y fuera de peligro.

Falacias. (Recordad: Una falacia es un fallo en la logica, no significa que la idea subyacente carezca de merito, mas bien, que no es correcto depender de la logica de la falacia a calzon quitao)

1- La de los "miles de ojos"

http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html

The headlines state everything through 4.3 or in other words, about 25 years’ worth of Bash versions

Un bug que esta ahi desde hace 25 años.


Cual es la respuesta correcta?

Los ojos correctos y enfocados son los que encuentran los bugs.

En especial, los de seguridad. Cuantos de nosotros somo capaces de determinar si un codigo es o no seguro? Y como se testea por eso? Si tiene o no un potencial "deadlock"? Si es o no "idempotente"? Si un codigo cumple con los parametros numericos? Etc. No son la multitud de ojos, NI QUE SEA OPEN SOURCE, sino mas bien, la pericia y la determinacion a encontrar bugs.

Es por eso, que hacer un Code Review (https://en.wikipedia.org/wiki/Code_review) por terceros (o en su defecto, por el equipo de desarrollo) es considerado una de las mejores formas de mejorar la calidad del código y descubrir fallos ocultos. Open source SOLAMENTE hace mas simple la parte de ver el código (y por terceros). Pero NO IMPLICA NADA MAS en cuanto a si ese código es o no calidoso.

Un programador no debe confiarse en una ideologia para saber si X es bueno o no. Eso solo se sabe si se ha hecho los deberes y se ha analizado la situacion (que pudiera ser mas simple si se tiene el codigo, eso es cierto).

Y como ocurre aqui, pueden pasar mucho tiempo antes de que eso pase.

2- La de todos actualizados

Esta es mas obvia. Debido a que es un bug superviejo y existen toneladas de dispositivos y equipos que no estan al dia ni necesariamente estan bajo mantenimiento, hay un numero indeterminado de equipos que permanceran afectados. Al igual que sucede con usuarios de windows, ios, android, etc. No es tan comun como parece que la gente este al dia de los parches, actualizaciones y todo eso. Es mas seguro que una vez este andando un sistema, nadie se fije en el, ni en logs, ni en nada hasta que el edificio este en llamas.

No vale la pena repetir lo mismo de siempre.
Cierto, hay muchos fallos que están ahí en el código abierto.
Pero en el código cerrado ni siquiera puedes saberlo porque no puedes verlo.

De todas formas, yo he dicho que: "hay miles de ojos que pueden revisar y solucionar defectos detectados.", no he dicho que haya miles de ojos buscando defectos. Es muy diferente.

Pero en el código cerrado ni siquiera puedes saberlo porque no puedes verlo.


Entiendo la idea, pero no es necesariamente cierta. Muchas fallas se detectan sin acceso al codigo. El bug actual, es testeando entradas y salidas, que es una tecnica de debug muy común, por ejemplo, chequear que las facturas se calculan correctamente muchas veces se hace por inspección de las salidas, no por ver el código.

Ademas, TODO proyecto tiene código abierto, en el sentido de que los programadores de ese código obviamente tiene acceso a el. Lo que realmente implica el asunto del "Open Source" es su disponibilidad a terceros. Se que es un detalle pedante, pero alguien sin experiencia podría malinterpretar que "código cerrado ni siquiera puedes saberlo porque no puedes verlo", lo que realmente significa "código cerrado ni siquiera puede saberlo un desconocido/no miembro del equipo original, porque no puedes verlo".

Osea, lo que me preocupa es cuando alguien asume la ideologia, pero no entiende realmente sus implicaciones reales, que he visto en muchos programadores novatos, y podria, por ejemplo, suponer que hacer el codigo open source es la forma de hacerlo seguro (en vez de realmente chequear por su seguridad. Si suena a risa? Bueno ya tambien creia que si hacia http://sourceforge.net/projects/mutis/ open source hiba a tener mucha ayuda!).

No quiero decir eso de Casimiro, que se que entiende el punto.

--

P.D: El hecho de que haya sido un tercero el que detecto el bug, es un punto que muestra la ventaja del open source, como medio de distribucion. Eventualmente, alguien por fuera del equipo original fue quien lo encontro. Asi que solo estoy apuntando a la falla en la logica, no a su idea subyacente, que si es solida.

mamcx,


...¿Cuantos de nosotros somo capaces de determinar si un código es o no seguro?...

...Los ojos correctos y enfocados son los que encuentran los bugs...

...No son la multitud de ojos, NI QUE SEA OPEN SOURCE, sino mas bien, la pericia y la determinación a encontrar bugs...

...Open source SOLAMENTE hace mas simple la parte de ver el código (y por terceros). Pero NO IMPLICA NADA MAS...

...Muchas fallas se detectan sin acceso al código...testeando entradas y salidas, que es una tecnica de debug muy común...

...lo que realmente significa "código cerrado ni siquiera puede saberlo un desconocido/no miembro del equipo original, porque no puedes verlo"...

...suponer que hacer el código open source es la forma de hacerlo seguro...en vez de realmente chequear por su seguridad...

^\||/

Saludos,

Nelson.

En un software privativo solamente quien tiene el código fuente puede corregir o mejorar algo. Solamente ellos. SOLAMENTE. Nadie más. NADIE.

No es tan difícil de entender.

Te enojas sin razón. La mayor parte de bugs se descubren no por ver el código fuente así que para eso no importa si sólo tres pares de ojos lo ven. Lo que importa es cuántos ojos pueden ver los efectos.

Una vez descubiertos los fallos, ya dependerá de la compañía en cuestión si pone sus privativos ojos a resolverlos. Si la compañía es seria, lo hará rápidamente.

No es tan difícil de entender ;) :p

// Saludos

roman,


...La mayor parte de bugs se descubren no por ver el código fuente...No es tan difícil de entender ;) :p...

^\||/

Saludos,

Nelson.

En un software privativo solamente quien tiene el código fuente puede corregir o mejorar algo. Solamente ellos. SOLAMENTE. Nadie más. NADIE.

No es tan difícil de entender.

Pues de nada le ha servido al software libre que todos tengan acceso al código fuente, tardaron demasiado en detectarlo. ¿Dificil de entender? me parece que sí.



No es tan difícil de entender ;) :p

// Saludos

No debería ser dificil de entender pero a veces lo es especialmente por quienes a ojos y oidos cerrados defienden posiciones indefendibles. Terrible pero de eso se encuentra todos los días en todas las áreas. Poer cierto, me atreví a investigar un poco sobre este tema y encontré algo sumamente interesante:


Zero-day flaws — software vulnerabilities for which no patch is available — in the Linux kernel that were patched last year took an average of 857 days to be closed, Trustwave found. In comparison zero-day flaws in current Windows OSes patched last year were fixed in 375 days.
The gap in time between the patches being issued can partly be explained by the differing structures of open-source project communities and proprietary software vendors, according to John Yeo, director of TrustWave SpiderLabs for EMEA.
"In part it's related to the distributed nature of Linux development," he said.
"When you're talking about a vendor who's wholly and solely responsible for that particular product, it's somewhat easier for them to roll out a patch because it is very standardised.
"Whereas you might have different components or modules within the Linux kernel and many different people from an open source perspective who might be responsible for putting together a fix.


Fuente: http://www.zdnet.com/linux-trailed-windows-in-patching-zero-days-in-2012-report-says-7000011326/


http://cdn-static.zdnet.com/i/r/story/70/00/011326/osvulnstrustwave-620x350.jpg

Eso es totalmente falso, esa noticia está patrocinada por microsoft.

https://farm3.staticflickr.com/2948/15312792218_69f275a2ee_o.png

Incluso en los comentarios lo dice.
Además, ¿cómo puedes conocer esos datos si no tienes acceso al código fuente?
Te pueden decir lo que quieran.

Además se está comentando que cuando se ha descubierto, se ha solucionado rápido, al día siguiente ya estaban los parches para todas las distribuciones.
En el caso de un software cerrado, tienes que esperar a que el dueño se digne solucionar el problema, si es que quiere solucionarlo. Si es que te enteras de que tiene un fallo.

¿Tan difícil es de entender?

Y por si fuese poco, después se ha demostrado que no era tal fallo.

Eso es totalmente falso, esa noticia está patrocinada por microsoft.

¿Tan difícil es de entender?



375 días software cerrado versus 857 software libre. Tú dime.

Ok, comparemos alguna estadística de tiempos hecha por alguna fuente abierta. ¿Nos puedes proporcionar una Casimiro? o debemos confiar en lo que dices sin ofrecer ningún sustento.

Saludos.

Que son datos falsos, que es mentira, que es una noticia patrocinada por microsoft con datos falsos, que básicamente es publicidad encubierta.
¿Tan difícil es de entender? ;)

Que son datos falsos, que es mentira, que es una noticia patrocinada por microsoft con datos falsos, que básicamente es publicidad encubierta.


Dos cosas

Una, la noticia parte de un estudio hecho por TrustWave. ¿Son datos manipulados? puede ser. Pero en lugar de andar dando golpes en la mesa y acusando a otros de ser falsos aquí se han decidido a analizar esta situación a fondo enriqueciendo con ello a la comunidad respecto al tiempo que ha tomado resolver esos bugs: A story of three kernel vulnerabilities (http://lwn.net/Articles/538898/)

Dos, no defiendo a Microsoft, pero en serio, debo aceptar lo que dices ¿Solo por que tú lo dices?, ¿no podrías al menos ofrecer algún estudio que enriqueciera esta discusión? Siempre he creído y trato de crerlo que las discusiones que se mantienen en un nivel alto nos enriquece a todos.

¿Son datos manipulados? puede ser. Si empezamos con datos falsos, entonces no hay discusión posible.

Si empezamos con datos falsos, entonces no hay discusión posible.

Ni dije que lo son, ni dije que no lo son. Dije que es una posibilidad, pero no conozco a profundidad el tema como para asegurlo de la nada como tú sí lo has hecho. Pero lo que sí se de la información que he compartido es que efectivamente esos errores existieron y efectivamente tomaron mucho tiempo en ser solucionados. ¿Tergiversando lo que digo como es usual en tí Casimiro? como siempre no me extraña.

En lo que sí insisto es en la poca calidad argumentativa en los debates de tu parte y aprovecho nuevamente para invitarte a elevarlos para enriquecimiento de todos. Digo no se trata de defender a ultranza lo que creemos de la nada, sino por le contrario, aportar información que respalde lo que creemos o decimos y a su vez permita que otros aporten contenido que en suma permita que mejoremos en lo profesional Vaya, que estamos en un sitio de profesionales.

Ni dije que lo son, ni dije que no lo son. Dije que es una posibilidad, pero no conozco...

Pienso que no vale la pena perder el tiempo en argumentar sobre eso, hay cosas más importantes.

Es una noticia sensacionalista, no se va a descomponer internet por eso, ¿has oido algo al respecto?, yo no.

Eso es totalmente falso, esa noticia está patrocinada por microsoft.


Oye, oye... en serio????

Tambien ese popup sale en http://www.zdnet.com/microsoft-to-issue-nine-security-updates-to-windows-office-7000034524/, y en otros sublinks de zdnet (aleatoriamente). Nuestro amadisimo lider, MS, esta conspirando en todo!

A proposito, parece que openoffice http://sourceforge.net/projects/openofficeorg.mirror/files/latest/download?source=directory-featured esta controlado secretamente por LAN, la aereolinea. Es claro que su junta directiva esta consipirando para entrampar a los usuarios de OpenOffice, y Apache es una fachada para sus turbios manejos :eek:. Eso explica algunas cosas...


Incluso en los comentarios lo dice.

Comparados con el mucho mejor analisis del link http://lwn.net/? La seccion de comentarios de este tipos de sitios no es el lugar para encontrar apoyo a ninguna idea. Puede ser entretenida, o mostrar como es la gente en general...


Además, ¿cómo puedes conocer esos datos si no tienes acceso al código fuente?
Te pueden decir lo que quieran.


En serio???

Chanfle! Y todos estos AÑOS que me han reportado errores mis usuarios, ya entendi! es que tenian el codigo!

Como supieron mis usuarios que algo se arreglo? Aja! Es que tuvieron acceso al codigo!

"Your lack of science, is disturbing".


En el caso de un software cerrado, tienes que esperar a que el dueño se digne solucionar el problema, si es que quiere solucionarlo.


En cambio, si es opensource, se arregla solito. No es que haya alguien que se digne de solucionar, prestar atención a reportes de fallos, ni enterarse que algo pasa.

Todos los proyectos abandonados en github, sourceforge y demas, que no hacen nada cuando los usuarios reportan un bug, mandan un pull request, un parche, un grito de ayuda...

Tampoco pasa, para nada, que los dueños de algunos proyectos open source sean todos unos malditos, de mente cerrada y tóxicos en su manejo con la gente (https://news.ycombinator.com/item?id=8415603).

Ni que errores serios lleven años ahi, sin resolver.
------

Como quedamos todos los que por alguna razón no liberamos todo el código que hacemos? Porque la implicación es que:

- Somos unos desgraciados, con motivaciones oscuras
- Estamos en contra de la libertad
- Nuestro código es peor, mas inseguro, menos calidoso
- Somos menos capaces de reaccionar ante los problemas
- Nuestros usuarios son incapaces de reaccionar ante los problemas. Se tienen que arrodillar a nuestras demandas

Y muchas otras ideas por el estilo. Open source no confiere ninguna abilidad extra al codigo, mas alla de permitir a un tercero su acceso bajo una licencia mas flexible (porque por ejemplo, tenemos acceso a parte del codigo de Delphi, sin ser open source). Todo lo demás, es cosa del equipo de trabajo y como se esmere.

- Si hay una comunidad detras, es porque se han esforzado en hacer esa comunidad
- Si reciben código de terceros (y hay open source QUE NO RECIBE código por fuera de su creador(es)) es porque asi lo quisieron
- Si alguien leyo su código, es porque a alguien le importo
- Si es GPL, alguien asi lo quizo. Si esta totalmente en contra de GPL, tambien
- Si es seguro, alguien lo supo hacer asi.

Evidentemente, ni a MS ni Google ni demas se les ocurre contratar programadores competentes, y es su manejo del *código* la razon fundamental del porque son malignas. No su manejo comercial, ni filosofia, ni politica. Es porque claro, no son open source.

Y cuando si estan detras, y son LOS QUE SOSTIENEN ECONOMICAMENTE a los grandes proyectos (porque con seguridad, no somos nosotros), es porque son malvados.

-----

Hay que desconfiar de los reportes de empresas, y en especial de "analistas" y "consultoras"? Seguro.

Se debe dudar que el software comercial y privado pueda y/o tenga un mejor record en seguridad o reacción, y que el open source es mejor en eso? Eso seria una suposición a priori. Porque supone que un ente comercial que tenga en su nomina expertos en seguridad es peor que un proyecto open source de programadores normales.

Ya que la experiencia de MS es la que dicta la percepción de muchos ( y como queda IBM, oracle? son tan malos como MS, un mainframe es menos seguro que un linux?), en especial, su forma de operar de hace años, uno entiende esto. Mucha de la reaccion de la comunidad open source fue debida a MS, pero mas alla del tema politico y de guerras, no hay que mezclar eso con el codigo como tal.


Ahora, iOS es mas seguro que Android. Eso es UN HECHO. iOS es mas cerrado que Android, asi que ahora como queda la suposición?

Y otro HECHO. Android esta por detrás (en versiones) en la mayoría de los dispositivos a nivel mundial. Lo que significa, que el código vulnerable esta una mayor base instalada.

EN cambio, la mayoría de los dispositivos de iOS están en la ultima(s) versiones. Por lo tanto, aun sin creer este reporte especifico de zdnet, es un HECHO que un proyecto "open source" esta por detrás en su capacidad de proveer una plataforma actualizada a los últimos problemas de seguridad & ahora, privacidad, por razon de la enorme base instalada de Android vs iOS, se puede aseverar, con razón, Open source le esta fallando en esta area a millones de usuarios.

Sorry, no caere en el mismo error. No es culpa del codigo. Mas bien, es el conjunto de Google+Oem+Desarrolladores terceros que le estan fallando a la gente..

Venga, mejor que vayas a dormir, mañana será otro día :p

Es una noticia sensacionalista, no se va a descomponer internet por eso [...]
En esa parte, creo que todos convendremos.

Me fue difícil encontrar algo irrebatible entre tantas rasgaduras. :p

Tambien ese popup sale en http://www.zdnet.com/microsoft-to-issue-nine-security-updates-to-windows-office-7000034524/, y en otros sublinks de zdnet (aleatoriamente). Nuestro amadisimo lider, MS, esta conspirando en todo!

A proposito, parece que openoffice http://sourceforge.net/projects/openofficeorg.mirror/files/latest/download?source=directory-featured esta controlado secretamente por LAN, la aereolinea. Es claro que su junta directiva esta consipirando para entrampar a los usuarios de OpenOffice, y Apache es una fachada para sus turbios manejos :eek:. Eso explica algunas cosas...

Chanfle! Y todos estos AÑOS que me han reportado errores mis usuarios, ya entendi! es que tenian el codigo!

Como supieron mis usuarios que algo se arreglo? Aja! Es que tuvieron acceso al codigo!

"Your lack of science, is disturbing".



:D :D :D Fenomenal lo que has posteado mi estimado mamcx. :) Sinceramente me ha hecho reír un bastante. Saludos.