edición general
29 meneos
480 clics

Explicación de lo ocurrido con el backdoor detectado en la librería XZ Utils para dummies

Imagina que te llamas Andrés Freund y trabajas para Microsoft. Mientras realizas tareas de actualización "sientes" que el acceso SSH a determinados servidores con Debian Sid "de repente" es un poquito más lento y que tira algunos errores no esperados. Cuando investigas más a fondo te das cuenta de que el repositorio upstream de la librería XZ contiene UN BACKDOOR. Pero... WTF! ¿Qué está pasando? ¡Esto es MUY GRAVE! Así que una vez recopilas toda la información, lo publicas en una lista de correo de seclist.org y… ¡Lo demás ya es historia!

| etiquetas: ciberseguridad , malware , xzutils
24 5 0 K 13 tecnología
15 comentarios
24 5 0 K 13 tecnología
Comentarios destacados:    
herlocksholmes #1 herlocksholmes
Para dummies está bien. Pero para dummies^ infinito como yo, no vale. Sigo sin entender un pimiento ????.
0 K 13
PauMarí #2 PauMarí *
#1 el resumen es: :tinfoil:
Pero por lo que parece en este caso se han dado cuenta a tiempo pero esto hace dudar del sistema de "colaboración" de desarrollo open source en general ya que parece que alguien tiene a sueldo "colaboradores" que no solo están para aportar "altruistamente" y tienen sus propios propósitos...
3 K 33
herlocksholmes #11 herlocksholmes
Gracias a #10 #4 #3 y #2. Entiendo el problema y su gravedad. Por cosas como esto sigo en Menéame.
1 K 20
#3 eqas
#1 Aquí uno que más o menos lo entiende, pero al que le causa estrés. Este asunto de repositorios, contribuciones es el principal escollo para que yo use Linux como sistema principal. Yo uso Linux desde hace décadas literalmente, desde los primeros Slackware de la revista Solo Programadores. Y siempre me ha surgido la duda acerca de los repositorios, contribuciones... A un neófito le puede dar la impresión de que el código fuente, como es visible, pues "es visto". Pero no es así. No…   » ver todo el comentario
3 K 29
PauMarí #5 PauMarí *
#3 das por hecho que Windows no utiliza código open source obtenido de esos repositorios pero eso no es así (y tampoco lo esconden, solo hay que leer los créditos).
1 K 18
#6 eqas
#5 no no, no lo doy por hecho, lo sé.
0 K 10
PauMarí #7 PauMarí *
#6 pues no entiendo tu postura de prevalecer Windows pues en Linux al menos puedes cambiar los repositorios de origen de los paquetes pero en Windows no sólo no puedes, además no sabes cual ha usado Microsoft para sus desarrollos.
Aunque eso implicaria auditar a fondo cada distribución o usar alguna tipo Gentoo que compila todo en local y ya se que requiere muchísimo tiempo pero poder, puedes
0 K 7
cubaman #8 cubaman *
#5 Estoy casi seguro que lo usan previa auditoría. En el mismo artículo se menciona a Google haciendo eso exactamente, y por qué el hacker evitó que su código llegará a ser usado por Google para evitar la inspección.
Cc/ #7
1 K 13
sorrillo #12 sorrillo
#3 Linux no es más seguro que Windows, ambos son inseguros, pero al menos con Windows, me parece que hay que vigilar sólo una puerta.

Windows tiene una puerta a la que pueden picar organismos como la NSA y amenazar con prisión acusados de traición si no ponen las puertas traseras que les demandan, que pueden distribuirse de forma generalizada o personalizada. Tu Windows en casa puede recibir una actualización de Windows Update automática, silenciosa, que no se bloquea con opciones del…   » ver todo el comentario
0 K 11
sxentinel #14 sxentinel
#3 Ehhh no, y tu comentario esta mal a muchos niveles...

Comparar la seguridad en Windows y en Linux en base a que alguien haya metido un archivo malicioso en un repositorio, es como decir que Windows es inseguro porque un hacker se ha colado en Microsoft y a metido un archivo malicioso en Win32.

La seguridad que ha fallado y donde están los problemas de confianza es en el uso de los repositorios y eso va mas allá del sistema operativo, afecta a Windows, Linux, las aplicaciones y cualquier sistema que use repositorios.

Si quieres hablar de seguridad en sistemas operativos, solo tienes que ver como gestiona uno y otro los permisos o los movimientos de archivos.
0 K 9
Cantro #4 Cantro
#1 Básicamente que alguien con mucho tiempo, mucho conocimiento y mucho dinero, porque se dedica a esto en jornada laboral, ha conseguido infiltrarse en el desarrollo de una librería crítica y añadir código malicioso, de forma que puede obtener acceso a un montón de sistemas sin ser detectado.

Y que ahora ni Cristo se fía de lo que haya hecho desde que se unió al proyecto, así que toca revisar absolutamente todo desde ese momento
7 K 65
#10 Ashark
#1 Resumiendo, SSH es un protocolo de comunicación cifrado que se usa mucho en administración de servidores, lo que da una idea de la gravedad. El tipo se pasa dos años trabajando "por amor al arte" a tiempo completo para ganarse la confianza mientras preparaba el terreno para colar una puerta trasera en una aplicación auxiliar. Difícil pues no puedes ocultarla ya que el código fuente está a la vista, pero sí meter embrollos o adornos que camuflen el propósito de ese fragmento de…   » ver todo el comentario
2 K 23
cosmonauta #13 cosmonauta
¿Este pájaro irá a la cárcel? Es un tema interesante. Por un lado, es un cabroncete de mucho cuidado. Por otro, no está claro que haya conseguido usar el backdoor y ofreció el código libre y gratis
0 K 11
#15 MDman
#13 ¿Pero lo (o les) han encontrado? Porque no creo sea fulanito con nombre y apellidos.
0 K 9
#9 hashtable
Noticias como esta deberian de hacer que cada vez más empresas y universidades se planteen invertir dinero y recursos en openbsd.
0 K 6
comentarios cerrados

menéame