• Suscríbete al Feed Espacio Linux
  • Suscríbete al Feed por Email
  • Sigue a Espacio Linux en Identi.ca
  • Espacio Linux también en Facebook
  • Sigue a Espacio Linux en Twitter
  • Sigue a Espacio Linux en Google +
          Iniciar sesión | Registrarse

Compromiso de seguridad en el servidor FTP del proyecto GNU

Se ha descubierto una intrusión de seguridad en el servidor de FTP del proyecto GNU. Teóricamente, un atacante podría haber contaminado el código fuente contenido en dicho sistema, que hospeda miles de aplicaciones “Open Source”

La intrusión tuvo lugar en marzo, y se recomienda a todos los usuarios de software GNU que revisen el código fuente descargado y verifiquen su integridad a través de procedimientos criptográficos estándar.

Desde el descubrimiento de la intrusión, a finales de Julio, la FSF (Free Software Foundation), patrocinadores del proyecto GNU, han estado auditando el código fuente disponible en el servidor, a la caza de troyanos o alteraciones maliciosas del mismo. La semana pasada se había verificado ya el 80% del código, sin encontrar modificaciones no autorizadas.

El convencimiento general es que el atacante pretendía obtener las claves de los responsables de los diferentes proyectos GNU, más que alterar su código fuente. En todo caso, la recomendación de revisar el código GNU descargado desde marzo sigue en pie. La FSF ha recuperado los códigos fuentes antiguos de sus sistemas de backups, y los fuentes modificados desde marzo están siendo contrastados con sus autores, uno a uno.

Este nuevo incidente de seguridad en la distribución de código Open Source se suma a otros eventos recientes relativos al servidor OpenSSH, por ejemplo, comprometido con un troyano hace justo un año.

La recomendación es evidente: Hay que asegurarse de que el código que nos descargamos no ha sido alterado de forma maliciosa. Para lograr dicho objetivo se pueden y se deben utilizar tecnologías criptográficas que nos aseguren la integridad y la procedencia de los ficheros descargados, usando herramientas del tipo PGP o GPG. El procedimiento es muy similar al que nuestros lectores pueden utilizar para verificar la identidad y la integridad de nuestros boletines “una al día”, a través de firmas digitales.

Ahora solo falta que los autores de programas OpenSource se acostumbren a usar dichas herramientas para “sellar” su código, y que los usuarios se acostumbren, nos acostumbremos, a verificar dicho “sello”.

Tras este incidente, la FSF está publicando firmas digitales para el software que distribuye. Confío en que cunda el ejemplo.

Autor: Jesús Cea Avión
Fuente : http://www.hispasec.com/unaaldia/1755


Temas:
Actualidad, GNU y Software Libre


Etiquetas:
,

Feed Espacio LinuxSi este artículo ha sido de tu interés, considera hacer un comentario o suscribirte al feed para que te enteres de nuevos artículos a través de tu lector de noticias o email.

Acerca del autor

Publica un comentario

Puedes usar estas etiquetas XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <blockquote cite=""> <code> <em> <strong>