Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Malware / Compromiso de seguridad en el servidor FTP del proyecto GNU

Compromiso de seguridad en el servidor FTP del proyecto GNU

Por Deja un comentario

Se ha descubierto una intrusión de seguridad en el servidor de FTP del
proyecto GNU. Teóricamente, un atacante podría haber contaminado el
código fuente contenido en dicho sistema, que hospeda miles de
aplicaciones “Open Source”.

La intrusión tuvo lugar en marzo, y se recomienda a todos los usuarios
de software GNU que revisen el código fuente descargado y verifiquen su
integridad a través de procedimientos criptográficos estándar.

Desde el descubrimiento de la intrusión, a finales de Julio, la FSF
(Free Software Foundation), patrocinadores del proyecto GNU, han estado
auditando el código fuente disponible en el servidor, a la caza de
troyanos o alteraciones maliciosas del mismo. La semana pasada se había
verificado ya el 80% del código, sin encontrar modificaciones no
autorizadas.

El convencimiento general es que el atacante pretendía obtener las
claves de los responsables de los diferentes proyectos GNU, más que
alterar su código fuente. En todo caso, la recomendación de revisar el
código GNU descargado desde marzo sigue en pie. La FSF ha recuperado
los códigos fuentes antiguos de sus sistemas de backups, y los fuentes
modificados desde marzo están siendo contrastados con sus autores, uno
a uno.

Este nuevo incidente de seguridad en la distribución de código Open
Source se suma a otros eventos recientes relativos al servidor OpenSSH,
por ejemplo, comprometido con un troyano hace justo un año.

La recomendación es evidente: Hay que asegurarse de que el código que
nos descargamos no ha sido alterado de forma maliciosa. Para lograr
dicho objetivo se pueden y se deben utilizar tecnologías criptográficas
que nos aseguren la integridad y la procedencia de los ficheros
descargados, usando herramientas del tipo PGP o GPG. El procedimiento es
muy similar al que nuestros lectores pueden utilizar para verificar la
identidad y la integridad de nuestros boletines “una al día”, a través
de firmas digitales.

Ahora solo falta que los autores de programas OpenSource se acostumbren
a usar dichas herramientas para “sellar” su código, y que los usuarios
se acostumbren, nos acostumbremos, a verificar dicho “sello”.

Tras este incidente, la FSF está publicando firmas digitales para el
software que distribuye. Confío en que cunda el ejemplo.

Jesús Cea Avión
jcea@hispasec.com

Más información:

Nota de prensa oficial de la FSF
ftp://ftp.gnu.org/MISSING-FILES.README

Servidor FTP del Proyecto GNU Comprometido
http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-021.html

FSF FTP Site Cracked, Looking for MD5 Sums
http://slashdot.org/article.pl?sid=03/08/13/1530239

Comprometido ftp.gnu.org desde el mes de Marzo
http://barrapunto.com/article.pl?sid=03/08/14/016217

CERT® Advisory CA-2003-21 GNU Project FTP Server Compromise
http://www.cert.org/advisories/CA-2003-21.html

GNU server attack raises Linux code concerns
http://www.nwfusion.com/news/2003/0814gnuserver.html

GNU FTP server compromised since March
http://www.kill-hup.com/article.pl?sid=03/08/14/1310208

GNU servers ‘owned’ by crackers since March
http://www.theregister.co.uk/content/55/32355.html

Firmas digitales
ftp://ftp.gnu.org/before-2003-08-01.md5sums.asc
ftp://alpha.gnu.org/before-2003-08-01.md5sums.asc

03/08/2002 – Troyano en la distribución de OpenSSH
http://www.hispasec.com/unaaldia/1378

CERT® Incident Note IN-2001-06
Verification of Downloaded Software
http://www.cert.org/incident_notes/IN-2001-06.html

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.