Intrusión en “www.gnome.org”
El pasado 23 de marzo el equipo GNOME hizo público una intrusión en sus
sistemas informáticos.
GNOME es un conjunto de paquetes informáticos “open source” que
proporcionan un entorno gráfico de alta calidad y abundante
infraestructura a nivel de librerías y servicios. Aunque GNOME se emplea
fundamentalmente en entorno Linux, se puede utilizar también, por
ejemplo, bajo las plataformas Solaris modernas.
El pasado 23 de
marzo, el personal técnico encargado de la administración de
“www.gnome.org” comunicó públicamente la detección de una intrusión
informática en su servidor web. Todos los servidores “gnome.org” fueron
desconectados inmediatamente, para evaluar la profundidad de la
intrusión y evitar que los usuarios accediesen a información y código
fuente comprometido, si lo hubiese.
Doce horas más tarde, tras
analizar la situación con detalle, se pusieron en servicio de nuevo el
servidor FTP (una vez comprobada su integridad), el contenido estático
de los servidores web, parte del sistema de seguimiento de bugs
“bugzilla” y los sistemas de “blogs” (web logs).
El
descubrimiento de la intrusión coincide prácticamente con la publicación
de la nueva versión 2.6 de Gnome, evento señalado y esperado por gran
parte de la comunidad “Open Source”. Oficialmente se pensaba publicar el
24 de Marzo, pero finalmente se hizo el pasado 31, tras verificar
exhaustivamente su integridad.
Hasta este momento no se ha hecho
público aún cómo se detectó la intrusión o qué mecanismos desataron la
alarma. En los últimos meses Hispasec se ha hecho eco de un buen número
de intrusiones en servidores emblemáticos de proyectos “Open Source”,
como GNU, Debian o Linux. Al margen de las conclusiones que cada cual
saque de estos hechos, personalmente creo reseñable que las intrusiones
se hayan detectado con rapidez y que los responsables hayan tenido la
profesionalidad de tomar las medidas necesarias para alertar a la
comunidad.
Como no nos cansamos de insistir desde Hispasec, es
muy conveniente descargar el software siempre de fuentes reputadas. Y,
si ello es posible, comprobar su integridad verificando sus firmas
digitales, tecnología cada vez más difundida y probadamente útil a la
luz de los acontecimientos. Los usuarios de proyectos que no distribuyan
sus productos con firmas digitales deberían presionar, en lo posible, a
sus responsables para que adopten dichas medidas de protección. Por
supuesto, sería necesaria también la formación y concienciación del
público, para que exijan dichas medidas y para que las verifiquen de
forma rutinaria.
Fe de erratas
El pasado 30 de marzo de 2004 Hispasec publicó un boletín titulado
“Actualización de seguridad para Samba”, anunciando una vulnerabilidad
(y su solución) para este producto. Varios lectores se han puesto en
contacto con nosotros para comunicarnos que el boletín es erróneo.
Efectivamente, el problema no radica en el código SAMBA, sino en su
instalación y configuración en algunas distribuciones que instalan
“smbmnt” como “setuid”. En concreto, el problema afecta a las
distribuciones Debian y Mandrake, al menos. Esto es grave porque permite
que cualquier usuario del sistema monte servidores de ficheros remotos
de forma arbitraria, posiblemente maliciosos.
El bug, bastante
esotérico, consiste en que un usuario local puede obtener privilegios de
administrador si la máquina ejecuta una versión 2.6.* del kernel Linux y
si el usuario ejecuta un programa residente en un disco remoto y éste
tiene “setuid”/”setgid”. El sistema “obedecerá” los permisos adicionales
del programa ejecutado, proveniente del disco remoto, algo
tradicionalmente prohibido porque las unidades remotas no son
confiables, ya que su contenido no está bajo el control del
administrador del cliente samba. Es por ello por lo que “smbmnt” no debe
estar “setuid”, para que solo el administrador pueda montar máquinas
remotas que le merezcan confianza.
Las distribuciones afectadas
ya han publicado parches de seguridad al respecto. Asimismo, el problema
parece estar también solucionado en la versión 2.6.3 y superiores del
kernel Linux, aún no integrado por ninguna distribución Linux importante.
Quiero expresar mi gratitud a los lectores que se han tomado la molestia de
ponerse en contacto con nosotros para expresarnos sus dudas respecto
dicho boletín. Es revitalizante comprobar el buen uso del sentido
crítico y el pensamiento independiente de nuestros lectores. Gracias.