Tecnología, Internet y juegos
192 meneos
1188 clics
Fundaciones de código abierto advierten sobre nuevos intentos de adquisición de ingeniería social tras XZ Utils

Fundaciones de código abierto advierten sobre nuevos intentos de adquisición de ingeniería social tras XZ Utils

En este marco, la Fundación OpenJS ha dado a conocer un intento fallido de adquisición creíble que se llevó a cabo recientemente y que fue interceptado por la propia organización, en el que se pretendía engañar al Consejo de Proyectos Cruzados de la Fundación OpenJS. En esta ocasión, los ciberdelincuentes enviaron una serie de correos electrónicos sospechosos con mensajes similares, aunque con nombres distintos y desde direcciones de correos electrónicos superpuestos asociados a GitHub.

| etiquetas: código abierto , xz utils , puertas traseras , ingeniería social
96 96 0 K 172
28 comentarios
96 96 0 K 172
Comentarios destacados:        
skaworld #1 skaworld *
joder el traductor echando humo xD

" un actor malicioso consiguió insertar una puerta trasera "
" intento fallido de adquisición creíble"
"Consejo de Proyectos Cruzados de la Fundación OpenJS"

-Somos los cruzados del consejo y venimos a morir por un lenguaje pobremente tipado.  media
16 K 150
OniNoNeko_Levossian #3 OniNoNeko_Levossian
#1 la otra opción que tenía me salía con un ban, yo también esperaba algo mejor de Europa Press
3 K 54
#2 Mustela
Tiene sentido.

Luego, el "código fuente intencionalmente ofuscado o difícil de entender" lo podemos encontrar incluso en los javascripts de algunas de las webs, códigos que aunque teóricamente abiertos no son sencillos de interpretar.

De Richard Stallman (actualizado el 1/1/2024): www.gnu.org/philosophy/javascript-trap.es.html

"Algunos sitios continúan usando JavaScript de esa manera, pero muchos lo usan para programas mayores que realizan operaciones

…   » ver todo el comentario
16 K 148
ronko #4 ronko
#2 Da miedo pensar en el día que Stallman no esté.
Por suerte creó escuela y alguien seguirá.
8 K 62
#5 bibubibu
#4 Y torvalds.

Desde luego, espero que hayan dejado un buen poso de gente que sabe casi tanto como ellos, porque sinó será un cristo.
7 K 65
ronko #6 ronko
#5 Aunque Torvalds es más joven. Pero sí.
1 K 17
frg #14 frg
#5 El sucesor de Torvals espero que sea Marcan.
1 K 20
Capitan_Centollo #9 Capitan_Centollo *
#2 Que se minimice el código javascript de una aplicación web que se descarga el cliente es lo normal. Lo que no es normal es que se almacene así el código fuente dentro de los repositorios o que el código transpilado y minimizado que llegue al cliente no se corresponda con los fuentes disponibles en el repositorio del código. Para compararlos imagino que se usa algún hash de verificación que indique si el código descargado verdaderamente viene de la transpilación directa del código fuente correspondiente, y no ha sido manipulado.
8 K 55
blid #10 blid
#2 Hostia, el cambio de guion en el último momento no me le esperaba.
0 K 9
cosmonauta #11 cosmonauta *
En el curro nos han intentado colar una de esas.

Un tipo haciendo contribuciones inocentes y bastante correctas hasta que nos intenta colar un SQL injection de lo mas sutil.

Sospechamos cuando le pedimos varias veces que lo cubriese con un test y el tipo empezó a escaquear. Alguien más listo que los demás se miró el código con atención y vio la vulnerabilidad, que era muy, muy sutil.
7 K 79
#28 Pitt
#11 ¿Como de sutil era? ¿Podrías ponerla a grandes rasgos?
0 K 10
frg #20 frg
#17 A ver si te crees que el resto de software no es también similar. Por lo menos en el open source puedes poner a gente de tu confianza a revisar lo que tienes funcionando.

No hace falta publicitarlo, porque se ve.
5 K 52
capitan__nemo #21 capitan__nemo *
#20 Al menos los desarrolladores no son anonimos. Que los puede comprar un gobierno, una organizacion criminal igual, bueno con un poco mas de dificultad, pero al menos despues en una investigacion a la persona por espionaje les puedes encarcelar y eso desincentiva que otros programadores no anonimos lo hagan ante el riesgo de ser encarcelados por espionaje.
1 K 25
#22 goyito
#21 Vamos despacio ¿Cuantas puertas traseras llevaran Windows y Mac gracias a agencias que supuestamente velan por la seguridad? Si tienes la opción de ver el código tienes la posibilidad de encontrar la puerta y taparla, como poso en el caso de ZX. Un programador de una empresa privada es comprado y ¿Quien se entera? La mayoria de las plantillas pecan de no sobrarles tiempo para hacer pruebas, fijate la trayectoria de fallos en las actualizaciones de Windows, dura años de petar.
1 K 18
fral #7 fral
Y seguirá siendo así mientras piezas de software de las que dependen grandes infraestructuras sean mantenidas por programadores que trabajan de gratis en sus tiempos libres, y que muchas veces están extremadamente cansados y de paso con cero reconocimiento, mientras que las compañías que se benefician directamente del trabajo gratis de esta gente hacen poco o nada para valorarlos y mantener esas piezas vitales de software libre lo más seguras posibles, incluyendo dar equipos de desarrollo para cada uno, y no depender de un único mantenedor.
2 K 33
frg #19 frg
#7 ¿Crees que un programador profesional del país X destinado a un proyecto libre es inmune a sufrir presiones para dejar pasar un agujero aprovechable?
1 K 25
fral #25 fral
#19 El programador detrás de xz utils que fue atacado mediante ingeniería social es también profesional, pero en su caso es un único programador que trabaja en otra cosa para ganarse la vida y dedica su tiempo libre a xz utils mientras que recibe presiones constantes para su mantenimiento, como si fuese otro trabajo de tiempo completo, lo que le genera cansancio extra que luego se suma a los problemas personales y hace que sea más vulnerable a este tipo de ataques.

Si se dedicase…   » ver todo el comentario
1 K 22
#12 ralph
Pensé que con tanto "agent" y "fine-tunning" en "Machine Learning" era más fácil detectar cosas "raras" en el código...
1 K 21
frg #16 frg
#12 Encadenar términos sin contexto no evita nada malicioso.
2 K 35
Ehorus #8 Ehorus
Un representante del país en el que están puesto todas las miradas a raíz de escándalo XY utils ha declarado
<<Nosotlos no hemos sido>> y añadió: <<Tenemos pluebas que indican que nosotlos no hemos sido>>
1 K 13
frg #18 frg
#8 TODOS los países están haciéndolo. Que los perfiles intenten simular una locajización geográfica no implica que sean de la misma.
2 K 28
capitan__nemo #13 capitan__nemo
¿Entonces el open source es como un queso grullere y nos damos cuenta ahora?
1 K 11
frg #15 frg
#13 Hace tiempo que lo sabemos. No es nada nuevo.
0 K 12
capitan__nemo #17 capitan__nemo
#15 ¿y no se publicita mucho porque mina la confianza de usuarios, consumidores e inversores en el sistema open source?
0 K 12
ElChepas #23 ElChepas *
No podía saberse. El sobrevalorado "software libre"
.  media
1 K -4
#24 mcfgdbbn3
#23: En el software libre también hay profesionales. El problema es cuando se asocia "libre" a "siempre gratis" y no se valora la revisión del código por parte de profesionales para asuntos en los que merece la pena pagar, como por ejemplo, un sistema operativo para teléfonos móviles.
1 K 19
#26 entidádesconocida
#23 Es una de las ventajas del software libre, que se podía y se pudo saber. Donde no se puede saber nada que no te quieran decir los profesionales que lo desarrollan es en el privativo ;)
0 K 7
#27 Malversan *
#23 Tu primera viñeta debería decir ”Software privativo mantenido por empresas colando backdoors”.

Igual te crees que por ser dedicadas no te la van a clavar. Lo hacen con mucha más frecuencia, y con nula capacidad de defenderte.
1 K 15

menéame