Seamos realistas…

Licensed as GPL: GNU Pettanko Loli

Arch Linux y la firma de paquetes (o KISS: Keep it scandalously stupid)

Alguién se entero que los paquetes no se firman

En pasados días leía el artículo sobre el pequeño no-tan sucio secreto de Arch, comentando sobre un problema que era un secreto a voces, los diferentes sitios “espejos” donde se alojan los paquetes de Arch Linux no tienen forma de verificación más allá de MD5. A la voz de ya, muchos usuarios demostraron no solo su preocupación (que es un asunto que tratare después) sino también molestia por declaraciones de los desarrolladores y lo “inseguros” que se sentían. Había quienes afirmaban cambiarse de distribución por la decepción de este dato revelado.

Como quién ha pasado un tiempo considerable en linea, sabemos como pueden terminar las cosas, en guerras de flames entre mi e-penis es más seguro que el tuyo, NO Ubuntu (?), cada quién hace lo que quiere, no hay constructivismo, blah, blah. Como usuario de Arch Linux estaba plenamente consciente de ello y he aquí una respuesta a lo que he visto.

*myfacewhen.png*

Una distribución como Arch Linux, requiere del usuario un conocimiento de su sistema, en un mínimo del 75%, esto incluye los paquetes que maneja. Tiempo atrás vimos lo que puede causar, cuando en gnome-look.org varios usuarios descargaron un protector de pantalla que realizaba otras tareas. El escrutinio sobre las aplicaciones que instalamos debe formar parte de como manejamos cualquier sistema, no solo Arch Linux.

-Tenemos escrutinio ¿Pero del lado del servidor?-. Entre los comentarios que leía se repetía mucho que incluso AUR tenía un mejor sistema de comprobación. Los paquetes de Arch recordemos que son híbridos: binario/código fuente, con un PKGBUILD podemos construir nuestro propio paquete acorde a nuestras necesidades. Si la preocupación son los “binarios” que se encuentran en los servidores, sera hora de empezar a crear nuestros propios paquetes y firmarlos.

-Vale, vale, pero sigues sin contestar del lado del servidor- Es bastante complejo, un sistema de firmas incluso con GPG, tendría que implementar diversos cambios a pacman. Y como hemos leído, los desarrolladores se enfocan en otro asuntos que resolver. En este caso, solo me refiero al gestor de paquetes, vea también los cambios que se necesitan para cada servidor espejo.

-No me has convencido, me voy a cambiar de distro- Vale, solo deseo recordarte una cosa: GNU+Linux no es una democracia, no se basa en principios donde la mayoría decide. Condenamos aspectos basados en paranoia, esto como todo sabemos solo termina en falacias (pendiente resbaladiza para ser concreto). Las causas pueden solucionarse, implementarse si así lo requieres. De no ser así, tenemos otras para protegernos como AppArmor. Estigmatizar no es una de ellas.

¿Que opinan?

Anuncios

11 Respuestas a “Arch Linux y la firma de paquetes (o KISS: Keep it scandalously stupid)

  1. diegoxter marzo 7, 2011 en 5:13 pm

    Señores quejumbrosos de X o X distribución, les recuerdo que esten o no esten firmados los paquetes, NADA asegura que estemos a salvo de otro tipo de ataque o falla, por ejemplo (POR EJEMPLO, nada de flame wars) Ubuntu. ¿No conoces a alguien que instalo un paquete y resulto que el paquete no funciono? ¿Y que otro amigo instalo el mismo paquete y si le funciono? ¿Sabes como le dicen a eso? Error de parte de los empaquetadores.
    Los .deb estan firmados, tienen verificación MD5 o SHAsum, tienen todas las chucherias que te puedas imaginar, pero eso no significa que de parte de los desarrolladores no venga un error.
    Los .rpm igualmente, tienen todos los lujos que te puedas imaginar, y aun asi mas de una vez tuve un error en mandriva y opensuse.
    Que Arch no firme los paquetes no lo hace mas o menos seguro, ¿O has sufrido ataques en el que te hayan cambiado los paquetes, ya sea en un proxy o servidor local o lo que sea?
    A eso se le dice ser antojado, como ven que otras distros si lo tienen, tambien lo quieren tener en Arch. Ni nos beneficia ni nos perjudica realmente las firmas GPG.

    • x_fausto marzo 7, 2011 en 5:48 pm

      No deseaba incluir la comparación con otras distribuciones por aspectos por las cuales varían. Cabe decir que lo que mencionas es cierto, nada certifica al 100% la seguridad de un paquete, los métodos invasivos no son exclusivos para comprometer la seguridad de un sistema.

      • diegoxter marzo 7, 2011 en 6:43 pm

        Triste es, que quieran implementar GPG cuando realmente, todavía no se haya visto un caso de intercepción de paquetes tangible y con consecuencias conocidas publicamente…

        • zchronos marzo 11, 2011 en 5:44 pm

          Primero respondo a diegoxter y luego escribo mi opinión.

          Discrepo contigo:
          Obviamente en este mundo no existe NADA 100% seguro, pero eso no es excusa para no hacerlo “lo más seguro posible para evitar una posible catástrofe”, y los bugs en un paquete que hacen que funcione o no funcione, pues NO TIENE NADA QUE VER con la seguridad, el tema es de que las posibilidades de que contenga código malicioso son mayores, no te confundas con un bug normal que puede tener cualquier paquete de cualquier distro.

          Ahora bien, eso de que “¿Has sufrido ataques? ¿Entonces para qué te quejas?” me parece muy infantil llamar a alguien “antojado” solo porque busca tener un seguro extra en su puerta, ¿te han robado la casa alguna vez? Pues si nunca te han robado en tu casa, mejor deja la puerta abierta siempre!. T_T

          Ya terminé, ahora mi opinión: Lo bueno de linux es que existe una distribución para cada tipo de necesidad, Arch está diseñado para usuarios que tienen conocimientos intermedios/avanzados de su sistema, por lo cual ya conocen los riesgos (y saben como evitarlos), así que ésta noticia no debería tener mayor relevancia.

          El hueco de seguridad más peligroso es el mismo usuario, no importa si usa Linux o BSD (considerado un sistema super-seguro) si el mismo usuario desactiva el Firewall o “Copia/Pega” código en la terminal de un tutorial que encontró por ahí (como el clásico #rm -rf /home/) o hace cualquier otra cosa que POR DESCONOCIMIENTO hace vulnerable a su sistema.

          El asunto aquí es que en los foros los usuarios de otras distros van a querer aprovechar ésta “noticia” para decir que su distro es mejor, o los usuarios de windows van a indicar que Linux no es tan seguro como dice ser y cosas similares para generar flames. Yo recomendaría no darle mayor importancia al tema, ya que solo alimentará a trolls que quieren degradar la reputación de la comunidad que mantiene Arch.

    • walterfrs marzo 7, 2011 en 10:35 pm

      Estoy completamente de acuerdo con diegoxter, en mi opinion creo que esta “paranoia” es mas por la manera de trabajar de los repositorios de otras distribuciones, pongo otro ejemplo, utilizo debian/fedora/arch y si por ejemplo quiero instalar codecs multimedia, opera/chrome/chromium en debian/fedora debo agregar un nuevo repositorio, firma GPG, etc… en arch si por mucho son dos “repositorios” el principal y aur. Ademas tengo la costumbre que en arch al instalar un paquete por yaourt, primero que todo reviso el archivo PKGBUILD incluyendo la o las urls que se encuentren en el mismo. Lo extraño es que no soy tan “cuidadoso” con otras distros.

      En resumen, arch es otra manera de trabajar con linux, una filosofia muy parecida pero a la vez muy diferente, y como tal debe ser respetada

  2. Shengdi marzo 7, 2011 en 5:39 pm

    Para lo único que sirven los GPG es para fastidiarte la vida y hacerte perder el tiempo pidiendote que las aceptes…

  3. Frank Davila marzo 7, 2011 en 6:16 pm

    Creo que lo mas importante de la GPG es que con ellas se eviten la propagación de código pernicioso que después se convierta en virus, (tal vez estoy redundando en la idea) no soy programador así que no tengo nada mas que decir sobre este tema, soy usuario de ubuntu, trate de usar debian y no me gusto, ahora tengo una red de 11 pc de un ciber al cual le estoy instalando diversos linux, trate de instalar arch pero perdí la instalación pues no supe instalarlo junto con vista.

  4. Andrés marzo 18, 2011 en 12:29 pm

    Personalmente no veo ninguna ventaja comparativa en usar gpg y md5sum.

    Me explico, hago un PKGBUILD lo compilo, creo un pkg.tar.xz, calculo el md5sum y lo subo al servidor. Un mirror replica mis paquetes. Fulanito de tal baja dicho paquete y lo comprueba con md5sum, si el código coincide entonces no existe una posibilidad en la práctica que hayan añadido código malicioso en algún punto del proceso.

    ¿Hay algo que me estoy perdiendo, hay una parte que no entendí?

    Si nadie me explica este asunto de la firma de paquetes y la panacea en seguridad que supone con porotitos y manzanitas, a prueba de diputados, entonces, seguiré usando mi fiel archlinux que es por lo demás la única distro en la que todo me funciona bien.

  5. Gino marzo 19, 2011 en 5:21 pm

    Achlinux, te banco en las buenas y en las malas

  6. colladoman marzo 30, 2011 en 11:00 am

    Andrés, hasta lo poco que yo se (y corregidme si me equivoco), el md5sum se utiliza únicamente para saber que el paquete que has descargado es el mismo que hay en el servidor, es decir, para comprobar que la descarga es correcta. La comprobación que falta es como comprobar que el paquete que has descargado es ha liberado la distribución, es decir, tú te bajas la lista de paquetes de un servidor, con sus firmas, y descargas los paquetes del repositorio que quieras. Una vez hecho esto el gestor de paquetes comprueba que la firma es la que debe ser y de ser así se instala. De esta manera evitas que en algún repositorio concreto, alguien haya bailado algún paquete por otro malicioso y pacman se lo coma…

  7. drupalio enero 28, 2012 en 10:39 pm

    Al final si implementaron la firma de los paquetes :S

A %d blogueros les gusta esto: