Compromiso de seguridad en el servidor FTP del proyecto GNU

Comentarios

Imprimir

Enviar

Se ha descubierto una intrusión de seguridad en el servidor de FTP del proyecto GNU. Teóricamente, un atacante podría haber contaminado el código fuente contenido en dicho sistema, que hospeda miles de aplicaciones "Open Source"

La intrusión tuvo lugar en marzo, y se recomienda a todos los usuarios de software GNU que revisen el código fuente descargado y verifiquen su integridad a través de procedimientos criptográficos estándar.

Desde el descubrimiento de la intrusión, a finales de Julio, la FSF (Free Software Foundation), patrocinadores del proyecto GNU, han estado auditando el código fuente disponible en el servidor, a la caza de troyanos o alteraciones maliciosas del mismo. La semana pasada se había verificado ya el 80% del código, sin encontrar modificaciones no autorizadas.

El convencimiento general es que el atacante pretendía obtener las claves de los responsables de los diferentes proyectos GNU, más que alterar su código fuente. En todo caso, la recomendación de revisar el código GNU descargado desde marzo sigue en pie. La FSF ha recuperado los códigos fuentes antiguos de sus sistemas de backups, y los fuentes modificados desde marzo están siendo contrastados con sus autores, uno a uno.

Este nuevo incidente de seguridad en la distribución de código Open Source se suma a otros eventos recientes relativos al servidor OpenSSH, por ejemplo, comprometido con un troyano hace justo un año.

La recomendación es evidente: Hay que asegurarse de que el código que nos descargamos no ha sido alterado de forma maliciosa. Para lograr dicho objetivo se pueden y se deben utilizar tecnologías criptográficas que nos aseguren la integridad y la procedencia de los ficheros descargados, usando herramientas del tipo PGP o GPG. El procedimiento es muy similar al que nuestros lectores pueden utilizar para verificar la identidad y la integridad de nuestros boletines "una al día", a través de firmas digitales.

Ahora solo falta que los autores de programas OpenSource se acostumbren a usar dichas herramientas para "sellar" su código, y que los usuarios se acostumbren, nos acostumbremos, a verificar dicho "sello".

Tras este incidente, la FSF está publicando firmas digitales para el software que distribuye. Confío en que cunda el ejemplo.

Autor: Jesús Cea Avión
Fuente : http://www.hispasec.com/unaaldia/1755

Guarda y comparte este artículo en          

Más artículos en el tema GNU y Software Libre

Lo más leído	Lo reciente
¿Carne o Pescado? La metáfora del Software Libre   Reemplazando Red Hat Linux con alternativas libres   La adopción de GNU/Linux y software Open-Source por los Gobiernos   FSF India - Entrevista con Richard Stallman   Escritorio Libre ASLE-SOLAR Versión 1.0	Festival Latinoamericano de Instalación de Software Libre 2008   Pixart es parte del proyecto Mancoosi   Stallman: Si quiere libertad no siga a Linus Torvalds   Sun Microsystems se une a la FSF   Presentan modelo educativo INTESOL para capacitación con Software Libre en Latin