Amargo cumpleaños de Apache

Amargo cumpleaños de Apache

por

Los hackearon

La Apache  Software Foundation se acerca a celebrar su décima convención Apachecon, evento que los desarrolladores relacionados con el proyecto consideran como el cumpleaños de éste. En el marco de tan importante aniversario,  su director Jim Jagielski habló con Linux.com.

Jagielski comentó que aunque la mayor parte de la gente asocia Apache únicamente con el webserver, creado en 1995, actualmente la Apache Software Foundation (creada en 1999) cobija centenares de proyectos, dentro de los cuales efectivamente el más llamativo es Apache Webserver (que según ellos corre en más de 100 millones de sitios web) pero también hay notables proyectos menos conocidos como el servidor de aplicaciones Java Tomcat, que está aumentando su participación en el ámbito empresarial, y Hadoop, un framework para búsquedas distribuídas en muchas máquinas.

Dijo además que Apache ha sido al mismo tiempo punta de lanza para Linux (gracias a que la combinación linux-Apache es de alguna manera estándar de facto para servidores web) y puente entre el mundo Open Source y el corporativo. Esto último no sólo por aumentar el uso de software libre en las empresas, sino por estar en buenas relaciones incluso con Microsoft que desde el año pasado es uno de los patrocinadores de la Apachecon.

A propósito de la Apachecon 2009, dijo que hay varios nuevos proyectos, y que el desafío para Apache es ahora sacar provecho de las tecnologías de moda: virtualización y cloud computing. Cuando hay muchos servidores en la nube el desafío es reconfigurar, balancear carga, monitorear de alguna manera que tenga sentido y, por supuesto, mantener la sencillez. Al parecer SpringSource (un desarrollo comercial basado en Apache, tal como lo permite la licencia tipo Apache) será la estrella de la convención. Ahora que SpringSource fue adquirido por VMWare ganará protagonismo en la escena de Cloud Computing y a manera de agradecimiento, liberará parte de su código para contribuir con la ASF.

Puras flores para Apache, pero la tarde del viernes no estaban muy contentos luego de que sus servidores fueran hackeados. Resulta que la máquina minotaur.apache.org (Apache sobre FreeBSD 7) fue infiltrada y los hackers ganaron acceso root SSH, procediendo a generar varios scripts maliciosos CGI y PHP. Pasa que minotaur a su vez distribuye paquetes a otras máquinas, por lo que esos scripts fueron a dar a eos.apache.org (Apache sobre Solaris 10) que es el webserver de los sitios públicos de Apache.org.

Para controlar la emergencia se sacó del aire casi todos los servidores y luego de una rápida revisión descubrieron que el server de emergencia, aurora.apache.org (Apache sobre Linux), ubicado en europa, no había sido comprometido. Usaron ese server para restaurar snapshots via ZFS al resto de las máquinas, restableciendo los servicios.

Al respecto tengo que decir:

  1. Si entraron atacando SSH, no es culpa de Apache
  2. Si entraron explotando una vulnerabilidad de Apache, es grave pero al menos lo tendrán que arreglar muy rápido y difundir la necesidad de actualizar o parchar la base instalada a nivel mundial
  3. Al final Linux salvó el día.

Link:
Celebrating a Decade of Apachecons
(Linux.com)
apache.org downtime – initial report (Apache Blogs)