porqué el 'Debian/OpenSSL debacle' no afecta mi creencia de que Debian es el mejor OS del mundo

En estos días escuché cosas como “Seguramente provocaste la mayor migración de usuarios de la historia, ya nadie querrá usar Debian en sus vidas”. Otros párrafos sobre la vergüenza que caía sobre los desarrolladores, sobre nuestros procesos de calidad llovieron de a decenas en mi inbox.

Este tipo de cosas me hizo reflexionar. Y es esta reflexión la que me gustaría compartir con ustedes.

Hace un tiempo ya, cuando casi sin querer y por accidente me encontré con el problema, simplemente me negué a creerlo. No podía ser. Era tan trivial y estuvo ahí, frente a nuestras narices tanto tiempo... parecía ser evidente de que yo estaba haciendo algo mal. Tardé mucho en confirmarlo, y aún con la duda lo reporté.

Junto a mi reporte adjunté un parche ridículo, casi insultante. Consistía en:
-/*
- * Don’t add uninitialised data.
MD_Update(&m,buf,j);
-*/

Esto fue el día 5 de Mayo. Al día siguiente tenía una respuesta, con una clara dirección de trabajo. A los pocos días se me informaron la fecha en la que el DSA saldría. Todo fue tan expeditivo, tan admitido, sin subestimaciones, pero con un fuerte sentido de la responsabilidad. Me pareció de una brillante sensatez el desarrollo de dowkd.pl antes del anuncio.

El 14 de Mayo el usuario tenía todos los elementos para defenderse. El paquete openssh-blacklist resultó ser sumamente útil y fue un aliciente entre el caos generado.

En mi vida no he enviado muchos advisories grandes (es el primero que hago totalmente por mi cuenta). Pero me pregunto: ¿Qué hubiese pasado si un problema como este hubiese surgido en algún otro software de alguna empresa? ¿Qué hubiese pasado si, en vez de ser un desarrollador de Debian el descubridor fuese un empleado de esta compañía? El bug dejaría de ser un vergonzoso accidente para convertirse en un devaluador de acciones. La baja de ingresos por clientes perdidos podría hundir la empresa.

En esta caso la historia hubiese sido distinta.

Es por esto que creo que el modelo de software libre es bueno, y en particular Debian es bueno, porque no responde a presiones comerciales, porque no oculta sus problema y porque su prioridad es el usuario.

Sin duda, problemas en el software habrá siempre. Sin duda, este fue un problema de proporciones épicas. Sin duda, la confianza en Debian se ha visto afectada. Pero la lección está aprendida. Y Debian sigue siendo mi sistema operativo favorito.

Esto no es una justificación, sino una profunda opinión personal.

27 thoughts on “porqué el 'Debian/OpenSSL debacle' no afecta mi creencia de que Debian es el mejor OS del mundo”

  1. Bien dicho! nadie tiene nada que reprocharle al proyecto Debian, a veces los errores pueden ser mas o menos graves ... eso no implica perder confianza o algo asi.

  2. No.. no es lo que dije.

    Al proyecto Debian *HAY* que reprocharle el error. Se trató de un tema grave que causó (y causará) perdidas e incidentes de seguridad.

    Lo que digo es que Debian tiene la capacidad de escuchar y aprender de ese reproche.

  3. Hola Luciano.

    Efectivamente, creo que justamente esta forma de descubrir (en el sentido literal de la palabra, es decir, dejar al descubierto) errores es una de las grandes fortalezas de Debian. Sin dudas, es una conducta honesta que minimiza los inconvenientes producidos por los errores, que por otra parte son inevitables dada la magnitud del proyecto. Siempre habrá errores, y la mejor forma de resolverlos es hacerlo "a la Debian".

    Para mi, Debian es la mejor opción, y sigo fiel a él.

    Gracias!

    Manuel Carlevaro.

  4. Bueno, excelente post. He visto la manera en que has manejado toda la situación (ser el reportador de dicho error no ha sido fácil supongo) :) haber visto algo tan "evidente" para mi es algo muy loable. Estoy totalmente de acuerdo con lo que escribiste. Solo quería decirte que tu popularidad para bien o para mal subió. Hoy en un programa de radio de mi ciudad (Maracaibo) te nombraron.:P

    Saludos,

    Muammar.

  5. Ya solucioné el problema en mi servidor de casa, claro que hubiera sido más preocupación y trabajo si accesara a el remotamente, la sinceridad de decir "la cagamos" osea -es un área de oportunidad- no solo demuestra la honestidad de Debian hacia sus los usuarios sino es un ejemplo claro de como la seguridad a la vista de todos funciona mejor que esconder los errores.

    Gracias Luciano por encontrar el error y hacerlo público.

    RIVE.

  6. Creo que lo mas importante es la humildad que tiene el proyecto de aceptar, hacer publico y dar una solucion a un grave problema.

    Esto debe impulsar a que mas personas auditen el codigo que se comparte; poca es la utilidad de ser libre si no se explota esa libertad.

  7. Pues eso, solo resaltar que sigo apoyando el proyecto totalmente. Esta es la forma honesta de sacar un proyecto como este adelante.

    Mis felicitaciones.

    (desde Gulic en las Islas Canarias [ http://www.gulic.org/ ])

  8. Los errores pasan, somos humanos todos. Aunque este fue un error muy grave, creo que Debian manejó muy bien la situación y pienso que eso ha fortalecido mi opinión personal.
    Saludos.

  9. No comprendo cómo te pueden reprochar esa acción. Cuando instalas Debian aceptas voluntariamente sus normas, y una de ellas es que los problemas no se ocultan a los usuarios. Cualquier persona que se queje de ello debió prestar más atención a qué era lo que iba a usar. Estaban advertidos.

    Dicho esto confieso que también estoy un poco decepcionado. Casi no me lo creí cuando comprometieron un servidor de Debian aprovechando una debilidad de Linux. Después creo recordar que otro, y ahora esto.

    Por eso me pregunto qué significa, en términos prácticos, eso de que "la lección esta aprendida". Hasta ahora Debian ha tenido por una de sus metas más importantes (y lo había conseguido de sobra) la seguridad. ¿Qué va a hacer ahora para recuperar el terreno perdido, que es mucho?

    Saludos,
    Manolo

  10. Hola Luciano: ¿tenés alguna dirección de email en la que pueda hacerte unas preguntas respecto de este tema? Traté de comunicarme contigo a través de Javier Castrillo, pero me dijo que no tenía ninguna dirección tuya... Es para mi humilde newsletter -lo verás en el vínculo- http://www.informaticatr.com.ar/catnius.html ya que estoy preparando un nota sobre el tema. Gracias, Sergio Pineau.-

  11. Me parece absolutamente válida tu posicion, incluso al decir que debian no tiene presiones comerciales.

    lo que si parece encomiable es la capacidad de la comunidad OpenSource de resolver los problemas y que además sea de una forma extremadamente rápida, como queda claro en este caso.

    Muchas veces hay gente que trata de hacer alguna pequeñez del tamaño de un elefante sólo para poder justificar en forma posterior porque una cosa es mejor que otra. Pero hay algo que siempre se encontrara en todas partes, no solo en la comunidad de debian, sino en todas las comunidades (con alguna excepciones como siempre), y es la colaboración y la capacidad de apoyar sin animo de desmerecer el esfuerzo de otros.

    Eso es lo que me hace seguir usando Linux, y aunque utilizo mandriva en mi uso diario (nunca aprendi bien los comandos ni la estrutura de debian, ya que mi origen de linux viene de fedora) la comunidad siempre tiene estará ahi para apoyar al resto.

    Quizas mi comentario en conjunto no tiene mucho sentido, pero a veces resulta muy complicado escribir lo que se piensa.

    Gracias por tus post.

    Sir Max

  12. Please, confírmenlo, si lo sabían. O es mas groso de lo q pensaron.
    Encontré esto http://www.diarioti.com/gate/n.php?id=17634
    Bueno, felicitaciones, ahí dicen "experto".
    Me acordé del chico de la charla de seguridad linux de la UP, de hace dos meses.
    Saludos
    walterfranck at yahoo dot com dot ar

  13. ...efectivamente, sobre todo cuando tienes servidores que prestan servicios claves dentro de un organismo, que se "caso" con debian como sistema operativo...mas vale tarde que nunca!!!

  14. Bueno, yo tampoco lo besaría, pero no por ser paqui, sino por su pinchuda y tupida barba. :)

    Dario.-

  15. ok Luciano, comprendo lo que decis y creo comprender como te sentis.

    te comento que es lo que pienso yo, usuario de Ubuntu ( Debian ): el social contract *tiene* que actualizarse y agregar controles para que las probabilidades de que algo asi vuelva a pasar sean suficientemente bajas para que Debian no sea considerado un "SO de juguete" ( esa es la justa calificacion que cualquier experto en seguridad, desapasionado y externo al SL haria al evaluar este incidente y yo no lo reprocharia aunque me duela en el alma ).

    Lo de la migracion masiva de usuarios es una exageracion ... no va a suceder por este incidente.

    Pero creo que esto es un poco como en algunos trabajos serios ... podes tener uno o dos errores, pero al tercero te hechan. Debian gasto uno ( el peor creo yo en toda la historia de las distribuciones Linux ).

    En mi caso particular como te dije en algun comentario anterior por este tema uso Ubuntu en mi casa... si tuviera que instalar un server critico alguna vez quizas haga lo siguiente:

    i) chequee si Kurt Roeckx sigue siendo el "last man" en el committeo de modificaciones a openssl

    ii) chequee si Debian no ha incorporado alguna de estas provisiones para la modificacion de paquetes sensibles/pervasivos:
    . peer review
    . claro consenso en el equipo de mantenimiento previo a commits
    . firma obligatoria de mas de un responsable en el equipo de mantenimiento
    . tests de regresion y de "continuidad de normalidad" en el funcionamiento de las areas afectadas por el parche

    iii) si i) y ii) resultan verdaderos, es muy probable que no instale Debian en ese server, aunque no dejare de usarlo en mi casa, ni de promover, apoyar ( sentimental y economicamente ) al SL y al proyecto Debian.

    Un saludo

    Orlando_ombzzz

  16. La baja de ingresos por clientes perdidos podría hundir la empresa. hombre decir esto me parece un poco heavy, ya que ejemplos tenemos de sobra tanto en M$ como en Apple y ahi siguen... a la gente si no es una empresa/corporación/... le trae al pairo la seguridad.

    Esto que ocurrio en Debian pasa en mayor o menor calado pasa en cualquier distro, o S.O. por ejemplo a XP le paso algo parecido, no es verdad?? lo peor de todo fue la mala publicidad que se le pudo hacer a esta distro, pero de seguro que las aguas volveran a su cauce y al final el que juega limpio siempre gana -o debería ganar- tu has hecho fantasticamente tu trabajo así que usuarios como yo te estamos agradecidos por ello. Lo más importante es como dices sacar lecciones aprendidas.

    Un saludo!
    tonio.

  17. Todavia no soy asiduo de ninguna distribución de Linux como para hacer comentarios mas profundos que este... pero sin duda puedo decir que se movieron bien... me gusto mucho lo que expresaste "El software libre es bueno... por que no oculta sus problemas y su prioridad es el usuario"...

    Abrazo!!

    Salatino Fernando S.

  18. Te agradezco lo que hiciste, Luciano. Recién estaba discutiendo - medio en joda, medio en serio - , con un amigo que conoce Linux -y Debian- pero que utiliza Win y sus herramientas para desarrollar. Y si, es fuerte que justo en seguridad -y en openssl- se haya dado en Debian este problema. Pero acá que yo sepa no hubo la denuncia del reviente de 500 servidores, para luego aparecer el Papa con el "service-pack". No, vas vos y encontrás el bug, sencillamente porque tenés ACCESO AL CODIGO. En Win te enterás cuando te quedás sin máquina y googleas en un locutorio...............
    Un abrazo, Hugo Mariani

  19. Leyendo esto que dice:
    “Seguramente provocaste la mayor migración de usuarios de la historia, ya nadie querrá usar Debian en sus vidas”
    Nadie que tenga sentido común Migra de un OS de un dia para otro y menos de Debian.
    Luego leo:
    sobre la vergüenza que caía sobre los desarrolladores.
    Vergüenza es no reportarlo, no ver errores, vergüenza es servirse del software libre y no trabajar para mejorar día a día. El único sistema operativo seguro es aquel que se encuentra en una computadora desconectada de la energía eléctrica y de internet.
    Voy a seguir usando Debian y demás, el que no esta de acuerdo y usa servidores Debiam que Migre a Windows 2000 o alguna versión de Microsoft, tanto Deskopt como servidores.
    Saludos!
    Pedro Nicolino.

  20. Felcitaciones Luciano por el descubrimiento de este error. Gran contribución para la comunidad y por su puesto muy importante para nuestro pais por que pone en evidencia la calidad de los rrhh en el area de tecnologías de la información.

    EXITOS!!!!!!!!!!!!!!

  21. Todos los enemigos que pueda tener el software libre, tienen gracias a este descubrimiento tan publicamente difundido un pretexto mas para seguir vendiendo sus espejos de colores.

    conaro@datafull.com

Comments are closed.