[uylug-varios] Debian owned by the NSA ?

Tue May 13 13:11:46 PDT 2014

Relacionado:

1- Para que los interesados en criptografía:

https://ripe68.ripe.net/presentations/166-20140316-RIPE-bettercrypto.pdf

Esta presentación se dio hoy en RIPE 68, pueden ver el video en
https://ripe68.ripe.net/archives/video/136/

2- Jari Arkko, chair del IETF sobre vigilancia generalizada

https://ripe68.ripe.net/archives/video/144/

s2

~Carlos

On 5/12/14, 6:13 PM, Eduardo Trápani wrote:
>> ... capaz que ya lo vieron,
>>
>> http://igurublog.wordpress.com/2014/04/08/julian-assange-debian-is-owned-by-the-nsa/
> Es interesante ver cómo se introdujo ese problema de seguridad[1], que
> puede generar la duda entre conspiración y horror de programador. Yo, en
> este caso, me inclino por el horror de programación. ¿Por qué? Porque no
> fue algo oculto, si se fijan, ya la versión anterior del código estaba
> el comentario de que esa línea generaba advertencias por uso de
> variables sin inicializar.
>
> Esas advertencias están registradas en un bug report (Debian Bug
> #363516[2]) que plantea cómo eliminarlas. El que hace el cambio dice que
> lo va a hacer y se es consciente en parte de lo que implica "What it's
> doing is adding uninitialised numbers to the pool to create random
> numbers." (comentario #10[3]) Pero estaba envenenado con eliminar las
> advertencias de valgrind (ojo, algo deseable también en software de
> estas características).
>
> No sé, de la NSA esperaría algo menos frontal. Claro, si lo podés hacer
> así de alevoso y pasa igual ... para qué gastarse en encubrir ;) Y a
> favor de los conspiracionistas en este caso está el hecho de que si vas
> a agarrar a una distribución para inyectar una falla, Debian es flor de
> candidata, entre ella y todos sus hijitos recolectores de paquetes (uso
> de paquetes sin cambios) tenés buena parte de las distribuciones más
> usadas (Ubuntu, Mint, ...).
>
> Con esa evidencia y el diff[4] resultante unas semanas después, vean por
> ustedes mismos. ¿Qué les parece? ¿NSA o no?
>
> Yo creo que algo que pasa, es que menos gente se involucra en la
> programación. Tenemos que llevar a todos los jóvenes que están
> aprendiendo a programar a interactuar con el software libre en algún
> momento de las carreras. Porque sino queda en un tema de licencia (que
> de por sí es algo buenísimo) pero pierde aquello de los cientos de miles
> de ojos mirando cambios y quedamos siendo usuarios y no dueños de la
> tecnología. Y me pregunto si falló la coordinación con los responsables
> originales, el upstream. Se supone que los desarrolladores de Debian
> tienen que estar en contacto con upstream siempre y coordinar los
> cambios[5]. No sé si pasó, supongo que no, porque alguien más hubiese
> dicho algo.
>
> Y por último está la complejidad y la interoperabilidad del software en
> general. En ese mismo bug están preocupados de no hacer cambios que se
> propaguen y "molesten" a otros paquetes. Interesante es también el
> primer parche sugerido, que inicializa el buffer, creo que hubiese
> generado el mismo problema. Con el diario del lunes todo se vuelve
> evidente, pero en ese momento se ve que no era tan así.
>
> Eduardo.
>
> [1] https://www.debian.org/security/2008/dsa-1571
> [2] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=363516
> [3] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=363516#10
> [4]
> http://anonscm.debian.org/viewvc/pkg-openssl/openssl/trunk/rand/md_rand.c?p2=%2Fopenssl%2Ftrunk%2Frand%2Fmd_rand.c&p1=openssl%2Ftrunk%2Frand%2Fmd_rand.c&r1=141&r2=140&view=diff&pathrev=141
> [5]
> https://www.debian.org/doc/manuals/developers-reference/developer-duties.html#upstream-coordination
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy