El perill de la confiança en informática

Avui a la feina hem tingut un xicotet "esglai". Treballant com sempre, he obert una sessió ssh al servidor principal de la nostra xarxa, del que depén quasi tot:). Obric la sessió i me n'adone que he escrit la contrasenya mal. -No pot ser-, em dic. Tanque la sessió i la torne a obrir escrivint mal la contrasenya... i entra perfectament. Dona igual el que poses, sempre entra. I damunt com a root.

Quan hem vist el "panorama" hem tancat qualsevol access a la xarxa a través del firewall i ens hem posat a buscar com a bojos a algún "hacker" intrépid que fos el responsable del problema. Però no hem trobat rés. I al final del que ens n'hem adonat es que els responsables n'erem nosaltes. Nosaltes i els paquets "backport" de la nostra Debian.

El nostre servidor es un Linux Debian Woody, estable a més no poder. Peró com a bona Debian estable que es, alguns paquets s'ens queden obsolets i tenim que actualitzar-los d'altres llocs, com per exemple de Debian Backports, un projecte encarregat de portar paquets de Debian Sid a Debian Woody. I fa un parell de setmanes vam actualitzar l'SpamAssassin utilitzant un d'aquests backports mitjançant apt-get.
I clar, ens vam oblidar de llevar la corresponent entrada al servidor apt dels backports del nostre sources.list i quan el cron del servidor va executar l'apt-get automátic de totes les nits, va actualitzar tots els paquets que tenien un backport disponible, com per exemple, el ssh. I no haguera passat res si no hagués resultat que durant dues setmanes qualsevol persona que hagués intentat entrar per ssh hauria pogut entrar posant una contrasenya erronia. No se com hem tingut tanta sort i ningú ha entrat, perque mes fácil impossible. I es que aquest ssh dels backports pareix estar "trencat" i ningú se n'havia adonat.

En fi, que hem aprés una lliçó. Quan Debian diuen que es estable es perque realment estable. Si jugues amb backports i històries váries t'arriesgues a que passe el que ens ha passat. Es a dir, si gastes Debian no hi ha que fiar-se de res fora de Debian, ja que com diuen, la confiança mata. I en informática mes encara.
I be, també l'administrador (jo) te part de culpa, clar:). Si no se m'haguera oblidat llevar la linia del sources.list no haguera passat res, encara que el ssh dels backports seguiria sent un suicidi.