Hay ocasiones en las que proteger tu sistema operativo con una sesión de usuario no es suficiente, por lo que los más celosos de su intimidad pueden optar en GNU/Linux por reforzar la seguridad con una contraseña en el GRUB. Pero una curiosa vulnerabilidad en Grub2 hace que saltarse esta última contraseña sea tan sencillo como pulsar 28 veces la tecla de retroceso.
Al pulsar exactamente 28 veces la tecla de retroceso en el menú de contraseña del GRUB, se inicia un "Grub Rescue Shell" desde el que se puede acceder al equipo sin necesidad de ningún tipo de contraseña, y por lo tanto a todos los datos que no tengamos cifrados. El bug lo han descubierto y publicado Ismael Ripoll y Hector Marco, dos investigadores de la Universitat Politècnica de València.
No es tanto como parece
Pero que no cunda el pánico, porque aunque la noticia en sí puede parecer catastrófica en realidad puede que tampoco sea para tanto, por lo menos para los usuarios de a pie. ¿Por qué? Pues por la sencilla razón de que la mayoría de nosotros nos solemos conformar con la contraseña de su sesión de usuario.
La cosa en cambio es diferente para los obsesionados por la seguridad que tengan el GRUB bloqueado, porque quiere decir que hasta ahora era como si no tuvieran contraseña. Aunque también es verdad que con tener acceso físico a un equipo sólo necesitaremos un Live CD para cargar otra distro y poder acceder a esos datos.
En cualquier caso esto no quita que el error sea grave, por lo que ya se ha habilitado un parche de emergencia para solucionarlo. Además, distribuciones como Ubuntu, Red Hat o Debian también han empezado a actualizarse para solucionar el problema para que sus usuarios no queden expuestos ahora que se ha descubierto el error.
Vía | Hispazone
Imagen | Anne Swoboda
En Genbeta | Dell quiere que en Linux también se pueda actualizar el firmware desde el sistema operativo
Ver 24 comentarios
24 comentarios
jairoav25
A mi lo que más me gusta es que cada bug de Linux se publica y se parcha en horas...cuando mucho no pasa una semana...
Me acuerdo del bug del bash, lo publicaron aquí y ya estaba parchado en la mitad de las distros...
atoi
No sé quien lo calificó como grave, ni qué parámetros de criticidad usó. Pero tengo entendido que si un fallo requiere de acceso físico al ordenador nunca puede ser grave. Es más, en el párrafo anterior se explica por qué es un error leve: Aunque también es verdad que con tener acceso físico a un equipo sólo necesitaremos un Live CD para cargar otra distro y poder acceder a esos datos.
alfonbena20
Se me han caído las gafas al leer grabe en vez de grave.
arquimaes
Teniendo acceso físico al pc...
HcBirras
ay lilo lilo... ;)
JuanAR
Me van a hacer poner contraseña para probarlo xD
¿Se sabe si con Burg también pasa?
abelnightroad
Yo tengo el multi-arranque inhabilitado y la unidad de disco duro como primaria, de modo que imagino no tener problemas con CD autónomo (Live CD) o USB autónomo (Live USB), ¿Cierto?
danielhdz
Grabe... b. b. la b.
bauglir
Yo tengo el GRUB2, de una versión supuestamente afectada, con contraseña, y no funciona el truco de marras (con la última OpenSUSE). De momento, ellos la demostración la hacen con una Debian de una versión de hace casi 2 años.
Por otro lado, coincido con hhhhugo: raro será que el que tenga el GRUB2 con contraseña, no tenga el HDD con LUKS.
trellat
Son de la Universitat Politècnica de València, no de la Universitat de València, son universidades distintas... :)
sathwan
"En cualquier caso esto no quita que el error sea grabe"
Pasa una hora, y el error persiste...
herpesg666
Mi Windows es mas seguro, he probado los 28 retro y funciona como siempre.
Si, ya se que saltarse la contraseña de Windows es un juego de niños, pero no me querreis comparar ...