Intrusión en “www.gnome.org”

GNOME es un conjunto de paquetes informáticos “open source” que

proporcionan un entorno gráfico de alta calidad y abundante

infraestructura a nivel de librerías y servicios. Aunque GNOME se emplea

fundamentalmente en entorno Linux, se puede utilizar también, por

ejemplo, bajo las plataformas Solaris modernas.

El pasado 23 de

marzo, el personal técnico encargado de la administración de

“www.gnome.org” comunicó públicamente la detección de una intrusión

informática en su servidor web. Todos los servidores “gnome.org” fueron

desconectados inmediatamente, para evaluar la profundidad de la

intrusión y evitar que los usuarios accediesen a información y código

fuente comprometido, si lo hubiese.

Doce horas más tarde, tras

analizar la situación con detalle, se pusieron en servicio de nuevo el

servidor FTP (una vez comprobada su integridad), el contenido estático

de los servidores web, parte del sistema de seguimiento de bugs

“bugzilla” y los sistemas de “blogs” (web logs).

El

descubrimiento de la intrusión coincide prácticamente con la publicación

de la nueva versión 2.6 de Gnome, evento señalado y esperado por gran

parte de la comunidad “Open Source”. Oficialmente se pensaba publicar el

24 de Marzo, pero finalmente se hizo el pasado 31, tras verificar

exhaustivamente su integridad.

Hasta este momento no se ha hecho

público aún cómo se detectó la intrusión o qué mecanismos desataron la

alarma. En los últimos meses Hispasec se ha hecho eco de un buen número

de intrusiones en servidores emblemáticos de proyectos “Open Source”,

como GNU, Debian o Linux. Al margen de las conclusiones que cada cual

saque de estos hechos, personalmente creo reseñable que las intrusiones

se hayan detectado con rapidez y que los responsables hayan tenido la

profesionalidad de tomar las medidas necesarias para alertar a la

comunidad.

Como no nos cansamos de insistir desde Hispasec, es

muy conveniente descargar el software siempre de fuentes reputadas. Y,

si ello es posible, comprobar su integridad verificando sus firmas

digitales, tecnología cada vez más difundida y probadamente útil a la

luz de los acontecimientos. Los usuarios de proyectos que no distribuyan

sus productos con firmas digitales deberían presionar, en lo posible, a

sus responsables para que adopten dichas medidas de protección. Por

supuesto, sería necesaria también la formación y concienciación del

público, para que exijan dichas medidas y para que las verifiquen de

forma rutinaria.

Fe de erratas

El pasado 30 de marzo de 2004 Hispasec publicó un boletín titulado

“Actualización de seguridad para Samba”, anunciando una vulnerabilidad

(y su solución) para este producto. Varios lectores se han puesto en

contacto con nosotros para comunicarnos que el boletín es erróneo.

Efectivamente, el problema no radica en el código SAMBA, sino en su

instalación y configuración en algunas distribuciones que instalan

“smbmnt” como “setuid”. En concreto, el problema afecta a las

distribuciones Debian y Mandrake, al menos. Esto es grave porque permite

que cualquier usuario del sistema monte servidores de ficheros remotos

de forma arbitraria, posiblemente maliciosos.

El bug, bastante

esotérico, consiste en que un usuario local puede obtener privilegios de

administrador si la máquina ejecuta una versión 2.6.* del kernel Linux y

si el usuario ejecuta un programa residente en un disco remoto y éste

tiene “setuid”/”setgid”. El sistema “obedecerá” los permisos adicionales

del programa ejecutado, proveniente del disco remoto, algo

tradicionalmente prohibido porque las unidades remotas no son

confiables, ya que su contenido no está bajo el control del

administrador del cliente samba. Es por ello por lo que “smbmnt” no debe

estar “setuid”, para que solo el administrador pueda montar máquinas

remotas que le merezcan confianza.

Las distribuciones afectadas

ya han publicado parches de seguridad al respecto. Asimismo, el problema

parece estar también solucionado en la versión 2.6.3 y superiores del

kernel Linux, aún no integrado por ninguna distribución Linux importante.

Quiero expresar mi gratitud a los lectores que se han tomado la molestia de

ponerse en contacto con nosotros para expresarnos sus dudas respecto

dicho boletín. Es revitalizante comprobar el buen uso del sentido

crítico y el pensamiento independiente de nuestros lectores. Gracias.