Se ha descubierto una intrusión de seguridad en el servidor de FTP del
proyecto GNU. Teóricamente, un atacante podría haber contaminado el
código fuente contenido en dicho sistema, que hospeda miles de
aplicaciones “Open Source”.
La intrusión tuvo lugar en marzo, y se recomienda a todos los usuarios
de software GNU que revisen el código fuente descargado y verifiquen su
integridad a través de procedimientos criptográficos estándar.
Desde el descubrimiento de la intrusión, a finales de Julio, la FSF
(Free Software Foundation), patrocinadores del proyecto GNU, han estado
auditando el código fuente disponible en el servidor, a la caza de
troyanos o alteraciones maliciosas del mismo. La semana pasada se había
verificado ya el 80% del código, sin encontrar modificaciones no
autorizadas.
El convencimiento general es que el atacante pretendía obtener las
claves de los responsables de los diferentes proyectos GNU, más que
alterar su código fuente. En todo caso, la recomendación de revisar el
código GNU descargado desde marzo sigue en pie. La FSF ha recuperado
los códigos fuentes antiguos de sus sistemas de backups, y los fuentes
modificados desde marzo están siendo contrastados con sus autores, uno
a uno.
Este nuevo incidente de seguridad en la distribución de código Open
Source se suma a otros eventos recientes relativos al servidor OpenSSH,
por ejemplo, comprometido con un troyano hace justo un año.
La recomendación es evidente: Hay que asegurarse de que el código que
nos descargamos no ha sido alterado de forma maliciosa. Para lograr
dicho objetivo se pueden y se deben utilizar tecnologías criptográficas
que nos aseguren la integridad y la procedencia de los ficheros
descargados, usando herramientas del tipo PGP o GPG. El procedimiento es
muy similar al que nuestros lectores pueden utilizar para verificar la
identidad y la integridad de nuestros boletines “una al día”, a través
de firmas digitales.
Ahora solo falta que los autores de programas OpenSource se acostumbren
a usar dichas herramientas para “sellar” su código, y que los usuarios
se acostumbren, nos acostumbremos, a verificar dicho “sello”.
Tras este incidente, la FSF está publicando firmas digitales para el
software que distribuye. Confío en que cunda el ejemplo.
jcea@hispasec.com
Más información:
Nota de prensa oficial de la FSF
ftp://ftp.gnu.org/MISSING-FILES.README
Servidor FTP del Proyecto GNU Comprometido
http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-021.html
FSF FTP Site Cracked, Looking for MD5 Sums
http://slashdot.org/article.pl?sid=03/08/13/1530239
Comprometido ftp.gnu.org desde el mes de Marzo
http://barrapunto.com/article.pl?sid=03/08/14/016217
CERT® Advisory CA-2003-21 GNU Project FTP Server Compromise
http://www.cert.org/advisories/CA-2003-21.html
GNU server attack raises Linux code concerns
http://www.nwfusion.com/news/2003/0814gnuserver.html
GNU FTP server compromised since March
http://www.kill-hup.com/article.pl?sid=03/08/14/1310208
GNU servers ‘owned’ by crackers since March
http://www.theregister.co.uk/content/55/32355.html
Firmas digitales
ftp://ftp.gnu.org/before-2003-08-01.md5sums.asc
ftp://alpha.gnu.org/before-2003-08-01.md5sums.asc
03/08/2002 – Troyano en la distribución de OpenSSH
http://www.hispasec.com/unaaldia/1378
CERT® Incident Note IN-2001-06
Verification of Downloaded Software
http://www.cert.org/incident_notes/IN-2001-06.html
Deja un comentario