29 sept 2014

Ya me tienen los testiculos llenos con shellshock y BSD

Este no es un articulo de caracter puramente tecnico sino mas bien, lo que podria decir en una charla sobre seguridad acerca del tema shellsock de bash, quien me conoce sabe de que o como hablaré asi que luego de esta intro, no me responsabilizo por herir sensibilidades.
Ciertamente tengo las pelotas llenisimas del tema bash y shellshock, de ahora en mas como es largo y no tengo ganas (estoy vago), le llamaré bashbug.

Desde que aparecio este bug, no solo se hizo eco correctamente en seclist / full disclosure sino que ademas blog como muylinux, desdelinux y puedo seguir, se hicieron eco de la noticia.

Agencias de noticias como RT (Russia Today) lo llamaron "virus de bash" y hace un rato me cansé de ver pelotudeces en twitter de "expertos" que dedicaron un dia o dos enteros a decir de distintas formas, via texto, imagen y hasta en video, como es que bash es una mierda, una basura y BSD no, porque "Nosotros usamos servidores BSD, venga con monkey ____".

A lo que voy, es que incluso en muylinux un tipo que en mi puta vida habia visto se puso a hablar sobre seguridad como si supiera cuando en realidad no sabia ni escribir sin faltas y no hablo de la ausencia de mis tildes que son puramente porque soy vago ya lo dije.

Muchos, por no decir casi todos, excepto por los informadores objetivos, aprovecharon la volteada (aca se dice asi) para tirar abajo todo, con que bash es viejo, que GNU es una poronga marca cañon, que la seguridad, que es terrible, que millones de servidores, etc.

Incluso gente que respetaba como Eduardo Medina hizo un articulo en su blog diciendo boludeces como que el problema de GNU/Linux no era monolitico a diferencia de Windows u OSX que al ser un sistema entero no tienen esos fallos, dado que GNU/Linux es una recoleccion de cosas parcheadas.

Obviamente en mi comentario de muylinux admitio que OSX no era monolitico, claro, usa sudo, bash y mas cosas de GNU asi como de BSD. Lo unico estrictamente monolitico, en realidad es unificado u OS entero, es OpenBSD y Windows, el resto son un rejunte, pero no por eso peor.

Nmap, dhclient, hasta netfilter son cosas de terceros, y si bien no existe una entidad que revise la seguridad de todos los componetes, existe un ejercito de hackers en seclist y en mas lugares, que viven mirando cosas por la simple diversion u obsesion de explotarlas, algunos no las publican y te meten por detras en tu servidor, otros las reportan como es el caso de Solar Designer, el cual fundo el proyecto Openwall, una distro que se basa en la seguridad e intenta ser perfecta en ese sentido, por cierto basada en EL5 (RHEL5).

Si bien el bug de bash fue grave, no es que haya sido el unico del mundo, me refiero a que cuando existe un bug en Windows u OSX, nadie se hace taaanto eco, porque:

A) Nadie mira a Windows como un sistema seguro entonces una mancha mas al tigre no sorprende a nadie
B) OSX no es un OS que use todo el mundo y el que lo usa en todo caso deberia reclamarle a Apple que sigo insistiendo en que aun no parcheo su bash, aprovechen ;)
C) Los puritanos BSD tampoco son vistos demasiado porque BSD no se usa tanto, pero puedo hablar de bug que estuvieron años y se daban con solo enviar un tipo de paquete a un servidor para colgarlo, asi que no me rompan las pelotas

Es claro que esto es una enorme movida entre la salida de Windows 9 que para Microsoft será como el nuevo XP, o sea su buque insignia, dado que XP murio, Windows 7 lo harán morir en 2015 sacandole el soporte, excepto para seguridad, Windows 8.x fue un fracaso por su interfaz, pero Windows 9 reune lo bueno de Windows 7 con su menu de inicio mas ventanas flotantes con menu al estilo Windows 8, aun no se sabe el rendimiento ni requerimiento.

A eso le puedo sumar la cantidad de hosting o empresas de hosting mejor dicho, ansiosas, deseosas de que alguien les contrate algo, dado que como usan BSD, nadie les contrata nada, y si bien lo usan como host los que virtualizan, KVN no tienen y tienen muchas limitaciones, ademas, los hosting comunes tampoco son tan amigables como un VPS en CentOS, Ubuntu o Debian.

Ahora, yo no digo que GNU se cague en la seguridad, porque de hecho SI lo hace, el mismo Stallman dijo que el no aprueba el uso de su o sudo, porque son para establecer quien es root, que es lo que a el le molesto de UNIX, entonces, si el resto sabe eso deberia mirar mejor el codigo de las cosas de GNU.

No digo que glibc de GNU no sea una mierda, porque lo es, el fallo de segfault con expresiones regulares que se logra con un grep sigue estando, en redhat me dijeron que es una limitacion de glibc no un bug, pero para mi que diga segfault es un bug, en BSD no pasa, eso es cierto, pero es otra libc, entonces, porque mierda no usan esa libc?.

Yo no digo que Linux, el kernel, tire a GNU al carajo y lo reemplace por BSD, porque es tecnicamente posible pero a larguisimo plazo, sino que los elementos criticos como OpenSSL, libc, bash etc, sean forkeados o mantenidos por otras personas, como de hecho ya pasa en algunas distro, no olvidemos que Void Linux usa LibreSSL.

Entonces, si bien el fallo fue grave, tampoco es que Linux es inseguro o que es una mierda antigua como lei unas 20 veces. Ya se sabe que Linux prioriza cantidad y velocidad por sobre calidad, pero es justamente lo que lo llevo tan lejos y BSD quedo tan rezagado, porque empresas como samsung que ahora estan tomando la decision de usar Tizen solo para smart watches y Smart TV por su alta eficiencia (es Linux solo con Qt y HTML5) quieren velocidad porque el mercado lo pide, no esperar 1 año a que se revise el puto codigo.

Si existe un fallo, ellos veran que hacen, asi de simple

El que no entiende esto, que deje de leer aca, porque evidentemente no sabe diferenciar que no se puede todo junto, Linux Foundation tiene sponsors que pagan dinero, aportan codigo y demas y no van a esperar a cada commit porque el señor David Miller o Solar Designer estan auditando el codigo como hace OpenBSD o FreeBSD en muchisima menor medida.

Tambien le digo a los hosting BSD que estan aprovechando la movida, que se fijen que FreeBSD sigue usando Fedora Core 10 para compatibilidad con Linux.... que clase de seguridad es esa?.

Todo no se puede en la vida, si Linux tuviera la cantidad de developers PAGOS que tiene Microsoft, Samsung o alguna de esas, ni hablar IBM, y dinero, por lo cual no dependería de ningun sponsor o donacion, seria otra cosa y probablemente mejor que BSD por su licencia misma, aunque me lo discutan a muerte, justamente lo que mata a BSD es su licencia, sino preguntenle a Apple como saco de BSD para hacer darwin, luego lo descarto llamandolo Open Darwin que es publico y cerro el codigo, todas las mejoras de OSX e iOS, se las quedan ellos, porque la licencia BSD permite relicenciar, la GPLv2 en adelante, no.

Me fui del tema, pero volviendo al hecho, tambien cabe aclarar que se arreglo en horas, a las pocas horas de sabido el fallo ya habia en twitter un especialista publicando un workaround, asi que, donde estan los millones?, en los admines que no actualizaron, eso YA NO ES problema de GNU o de Linux.

Hay gente que tiene BSD del año del culo en versiones vulnerables, o servidores Linux con ssh debil el cual al entrar tenes autoroot que te dan root enseguida, en 24hs podés facilmente hacerte con unas 20 shells, pero de eso nadie habla.

Apenas me enteré de lo de bash, yo esperé y actualice todas mis cosas, tambien tengo suscripciones a bugtraq como otras listas, entonces, aca el tema de los millones afectados o con "virus" no es el unico, sino de los sysadmin que se tocan las bolas antes que actualizar algo o que no tienen actualizaciones automaticas, asi que usen BSD o usen porongaOS, van a tener problemas siempre.

Para el que este interesado o administre algo, le recomiendo que se suscriba a las listas de seclist y que en twitter siga a los principales investigadores de seguridad asi tienen al momento la noticia y toman accion sobre el tema.

Al resto, les digo algo nada mas, los "pelotudos" de phrack no solo hackean y encuentran mil errores en Linux, sino que tambien lo usan, uno de ellos es Solar Designer, el que diseño John the Ripper asi como Scanlogd.

Ese tipo fundo una distro basada en Linux, creen que es muy pelotudo y no entiende nada para usarlo en vez de usar BSD?, si, si miran bien, elige cosas de GNU, de Linux y de BSD, por algo dice que es GNU/*/Linux, es lo que yo digo, deberian tomar mas cosas de otros lugares no todo de GNU, porque no es perfecto y de hecho Stallman se caga en los root.

Les dejo una lista para los que me putearan a leer esto de tooodas las distro que pueden chusmear en el apartado seguridad de wikipedia:

http://en.wikipedia.org/wiki/Security-focused_operating_system

Saquen sus propias conclusiones sobre la lista y en que se basan, y a los demas, les dejo un ejemplo de explotacion de el bug usando un servidor que ejecute algo como CGI:

http://security.stackexchange.com/questions/68259/am-i-safe-if-browsing-to-cgi-bin-returns-http-403

Y para los habladores que solo buscan vender servidores BSD asi como los fanboy de Windows, les dejo una lista de los ultimos problemas de seguridad de FreeBSD:

https://www.freebsd.org/security/advisories.html

Y si esto y esto no les parece gravísimo, pero de eso no se habló, piensen el motivo.. que lindo, dicen mi nick SYN flag el primero, el segundo veanlo ustedes.

III. Impact

An attacker who has the ability to spoof IP traffic can tear down a
TCP connection by sending only 2 packets, if they know both TCP port
numbers.  In case one of the two port numbers is unknown, a successful
attack requires less than 2**17 packets spoofed, which can be
generated within less than a second on a decent connection to the
Internet.
 
Saludos, GET /john/jack.jpg" "() { :; }; :(){ :|: & };:"

PD: A vos, fanboy, si tanto te molesta bash y GNU, usá OpenBSD que si, vas a estar mas seguro, ahora bien, si no te da la cabecita para ello, no rompas las pelotas y usa lo que te guste, ya sea windows o linux pero no critiques mientras lo usás

PD2: Un amante de Opensuse escribiendo sobre seguridad, que audaz, el que lo lea sabe por quien lo digo.

PD3: Visiten milw0rm o paginas asi, busquen exploit de Linux, BSD y Windows, despues me dicen que cantidad encontraron y cuantos funcionan en distros como Fedora o CentOS, lo mismo en XP/Seven y BSD.

20 comentarios:

  1. A mí la seguridad del sistema básicamente me la sopla, actualizo bastante a menudo y no administro servidores, me siento seguro aunque como todo sistema sé que si soy un objetivo y se empeñan entrarían en mi equipo. Lo único que me mosquea de este bug es que parece muy simple para que no se haya descubierto antes y es parecido al de OpenSSL...

    Por otra parte ya estoy demasiado cansado de intentar corregir a todo pavo que intenta meter cizaña sobre la seguridad de GNU/Linux, me aburre tanto como los que atacan a LibreOffice porque no es 100% compatible con Microsoft Office (da igual que el tema vaya de una nueva versión de LibreOffice, que va a entrar a comentarlo) o los que llevan no sé cuanto tiempo en su distribución sin ningún fallo.

    ResponderEliminar
  2. Jajaja, vaya que te desahogaste, te estuve leyendo en MuyLinux contestar las locuras que se decían (tanto a Eduardo como al otro señor), el problema es que ahora es tan sencillo opinar o comentar, que hay mucho listillo por ahí soltando locuras como si fueran verdades.

    Saludos !

    ResponderEliminar
  3. Por cierto, mira este artículo donde (tal cual lo dijiste) aprovechando el momento, publican por qué FreeBSD es superior a Linux.

    http://efytimes.com/e1/fullnews.asp?edid=146687

    ResponderEliminar
  4. JAJAJAJA no tienen cara... agazapados como gatos tras el raton esperando el momento de que el otro tenga un error grave para salir a ostentar.... como dije, miren las incidencias de seguridad de BSD, pongan en Google: freebsd security advisories y luego me cuentan... que tan perfectos son.

    Que expliquen porque entonces Linux domina en servidores por el momento y BSD no?, no digo que sea malo, pero hay mas factores que bueno o malo en calidad.... la flexibilidad tambien es un punto.

    ResponderEliminar
  5. Tal cual, eduardo y su blog, que encima le publican cosas en muylinux, por eso siente autoridad de decir pelotudeces, cuando yo en su momento le comente por mail a metalbyte que me publicara algo, no por fama, sino para darle noticia a algo, que era el tema de UsrMove y systemd, para que se sintiera, hace como un año....

    En fin, mucho pelotudo que entiende poco de nada hablando de seguridad... me gustaria ver cuanto saben los que comentan sobre mantener una maquina segura, porque usando incluso BSD puede ser inseguro, depende como se use.

    ResponderEliminar
  6. Muchos usuarios que utilizan BSD se victimizan constantemente. Suelen criticar a GNU/Linux y definir a su comunidad como: "intolerante". Pero la realidad es que ellos mismos se comportan asi y muchos mantienen posturas ridiculas. Como aquella que predican, autodenominandose con su licencia: "la real libertad de software". Pero en la practica, las comunidades libres se limitan por esa licencia y eso lo comprendio Stallman cuando inicio GNU.
    De hecho es obvio que GNU/Linux tiene ventajas superiores a BSD. Desde hace tiempo muchas empresas han invertido en el. Como Facebook, que va a contratar desarrolladores para mejorar la pila de red hasta superar a FreeBSD. GNU/Linux tiene sus desventajas por su modelo de desarrollo y hay aspectos interesantes de los BSD, pero debemos ser objetivos.

    ResponderEliminar
  7. No sabia eso de que facebook quiere mejorar el stack de Linux para hacerlo mas veloz, se que el de BSD es el mas veloz o lo era, no se hoy en dia, lo que si se es que por licencias en de Linux fue escrito de cero, no se pudo copiar ni usar nada.

    Los BSD users son muy elitistas, envidiosos y se regodean en su mierda. Critican desde la altura con la que te miran, mientras no pueden usar Skype, nVidia lo usan con la capa de compatibilidad de Linux y monton de cosas que no andan como en Linux. Entre ellos mismos se marginan, por el que es un guru y el que no lo es.

    La licencia, bueno como siempre digo, ellos dicen que es la real libertad, no se para quien, dado que ya ves lo que paso, Apple hizo su imperio moderno en base a FreeBSD, era libre recuerdo, darwin, etc.. cuando ya tenian todo cocido, lo cerraron y relicenciaron, no veo entonces la ventaja de la licencia que ellos dicen que es libre, si, es libre para las empresas, y de hecho dicen eso, pero que ventajas les trae?, segun ellos que las empresas por eso los ayudan... yo no veo ninguna dadiva de ninguna empresa, de hecho veo mas aporte de empresas a Linux, porque justamente, como le decia a un amigo ex usuario de BSD que comprendio lo errados que van:

    1.- Hola, soy samsung, tengo el codigo de un nuevo FS, lo metere en Linux, para que lo integren y no me queda otra que compartirlo, en fin, asi es
    2.- Lo ve LG y lo usa, si le hace mejoras debe darselas a samsung y a TODA la comunidad, que a su vez lo mejora seguramente

    Si eso pasa en BSD; quizas LG saca partido y le dice a Samsung "sobame..." no te debo nada.

    Por eso es que aun no comprendo como no se dan cuenta.

    ResponderEliminar
  8. jajaj si veo, pero lo mas importante en BSD es el kernel... mientras no cambien su licencia, van a seguir perdiendo.

    ResponderEliminar
  9. Primero, a Yahoo! le acaban de hackear sus servidores con este bashbug, y son FreeBSD. ¿De qué estamos hablando entonces?
    Segundo, cada vez que hay un fallo por más mínimo que sea, sale una nota con bombos y platillos en el diario argentino "La Nazión", pasquín claramente patrocinado por Microsoft. En su nota faltó cerrar el texto con un párrafo "migren sus servidores GNU/Linux a Windows Server 2008". Eso sí, jamás publican un artículo cuando se encuentran errores en Windows (no les alcanzarían los redactores de todos modos jajaja).
    La realidad acá es que muchas corporaciones están haciendo mucha guita usando GNU/Linux, desde el momento en que la mayoría de los servidores de Internet son GNU/Linux, y teniendo en cuenta lo vasto que es Internet... Y Microsoft y demás quieren recuperar terreno, por eso ponen guita para que se viralicen las noticias de vulnerabilidades en GNU/Linux.
    De todas formas sigo con mi idea de migrar a *BSD si todas las distros adoptan la mierda de systemd. Además, todos los OSes tienen vulnerabilidades en mayor o menor medida.

    ResponderEliminar
  10. Es cierto, pero si es muy posible que la inflada del tema haya sido una movida de M$, ademas el que no entiende lee linux y hasta quizas piensa que su android tambien tiene la falla..

    ResponderEliminar
  11. Tanto que los medios alardean con el 'virus' de bash, y FreeBSD ni si quiera lo trae por defecto. El asunto de BSD no es por su licencia, es por el desconocimiento del sistema operativo. Antes de que personalmente me cambiara a BSD era con la amenaza o el mito de que BSD tiene la licencia distinta a la GPL y que ya por eso no haya que probarlo. La comunidad de BSD esta mucho mas en orden y reune mejores colaboradores, aunque haciendo menos ruido que la comunidad GNU. Porque se enfocan en los principios tradicionales de lo que es UNiX-Like. La licencia no hace perdedor a un usuario BSD. Prefiero mil veces utilizar BSD a estar compilando en gentoo, ya que esta distro de linux me deterioro por completo mi laptop de hace varios años, a largo plazo. Abajo SystemD

    ResponderEliminar
  12. Al margen, lei por algun foro que los binarios que baja pkg algunos andan mal, que es mejor compilar usando ports, y que algunas apps ni estan, a menos que uses port, asi que, es casi lo mismo que gentoo, o no?

    ResponderEliminar
  13. No, para nada, compilar es mucho más fácil . Gentoo es un dolor de bolas, configurar las USE, un fastidio.

    ResponderEliminar
  14. Si eso de las USE lo se, pero se hace una vez, pero luego tenes que mantenerlas... lo se lo se. Aunque es como le dije a un amigo los otros dias "es como empezar de nuevo, o sea, hoy en dia agarro windows y aun tiro ls en lugar de dir, me cuesta realmente volver a acostumbrarme por mas que fui admin de wintel y me pasa lo mismo con BSD, no me encuentro, y volver todo de nuevo a empezar por un puto init?, no se si vale la pena, creo que es mejor esperar un fork o usar slackware"

    Dicho sea de paso, mira la publicacion de G+ lo que me paso con centos.... tenias razon, la estan cagando adrede

    ResponderEliminar
  15. Sí la vi y te contesté, están haciendo un auto boicot de CentOS 6 para forzar la adopción de CentOS 7.
    De Slackware no me fiaría porque se va a ver forzado a usar systemd.
    Y para mí FBSD no es un salto grande, porque soy usuario de Slackware, son iguales. Hoy instalé un Slackware y FreeBSD, el mismo instalador.

    ResponderEliminar
  16. Slackware no?, dudo mucho que volkerding adopte algo asi, es programador no empresario. Es muy distinto, o sea, saquemos de lado los script de inicio, los slices, el modo de particion, el tipo de bootloader, los comandos basicos de core cambian, la forma de cargar modulos, yo lo veo muy diferente, incluso a slackware el cual si use en su version 12.1

    ResponderEliminar
  17. No pongo las manos en el fuego por nadie. Respecto a lo otro, FBSD es UNIX, en el fondo es lo mismo. Distinto sería volver a Windows Server jaja.

    ResponderEliminar
  18. Es falso que se reunan a mejores colaboradores. GNU/Linux es apoyado por muchas empresas y organizaciones. Su licencia GPL le ayuda a recibir esas mejoras. FreeBSD solo se enfoca en un ambito especifico, mientras toma herramientas de OpenSolaris y GNU/Linux.
    Su comunidad es mas pequeña y elitista, sin una participacion tan fuerte como GNU/Linux. Que se parezcan mas a un UNIX no los hace mejores, sino lo contrario, porque no evolucionan en aspectos importantes del sistema.

    ResponderEliminar
  19. Dejalos que sean felices. Ellos tienen Launchd en vez de systemd pero no les gusta, parece que muchos quieren systemd... no saben el sapo que se van a comer con eso jaja

    ResponderEliminar
  20. Cuando has probado BSD?? Es obvio que testimoniar sin pruebas es mas falaz. Aqui te dejo un video de como es que FreeBSD es mas rapido que Linux en materia de compilar el kernel y las aplicaciones

    ResponderEliminar

Dejá tu comentario