Vulnerabilidad subida de peso en Linux (xz)

[cucerulo]

El problema de seguridad con XZ Utils

En este post explicamos cuál es el problema de seguridad con XZ Utils, la biblioteca de compresión y cuáles son las distribuciones afectadas

ubunlog.com

 

[Vorsicht]

CMs de ciberseguridad, gracias por el hype pero es un eval en el script de construcción de una biblioteca. Ya ves tu las capacidades de comprometer que tiene eso

BUUUUM GORDÍSIMA BUUUUM BUUUUUUUUUUUUUUUM

Pa qué, pa qué te esfuerzas?

 

[Entrambos mares]

Un hacker pone en marcha su plan de 2 años para meter un backdoor en las principales distros de Linux, pero un investigador de Microsoft lo pilla

Un hacker estuvo 2 años trazando su plan de una backdoor para acceder a las principales distros de Linux, pero Microsoft lo descubrió.

elchapuzasinformatico.com

Vamos a ver, que era trabajo de un hacker al que han pillado antes de tiempo y que solo afectaba a distribuciones que van muy a la última, por no decir que se ha detectado en Fedora Rawhide (creo que no estaba en la beta de F40). Lo único mosqueante es que estaba en kali.

 

[cuñado de bar]

Un hacker pone en marcha su plan de 2 años para meter un backdoor en las principales distros de Linux, pero un investigador de Microsoft lo pilla

Un hacker estuvo 2 años trazando su plan de una backdoor para acceder a las principales distros de Linux, pero Microsoft lo descubrió.

elchapuzasinformatico.com

Vamos a ver, que era trabajo de un hacker al que han pillado antes de tiempo y que solo afectaba a distribuciones que van muy a la última, por no decir que se ha detectado en Fedora Rawhide (creo que no estaba en la beta de F40). Lo único mosqueante es que estaba en kali.

¡El cazador cazado!

 

[BHAN83]

Si se hace bien un backdoor a drede puede camuflarse como un bug de despiste y nadie puede acusarte de criminal en lugar de simple.

Mas rellenito fue Heartbleed en OpenSSL hace 10 años que requeria 0 intervencion del usuario para explotarse.

Heartbleed - Wikipedia, la enciclopedia libre

es.wikipedia.org

2 años con el error a la vista de toda la comunidad en uno de los proyectos mas utilizados, y nadie se dio cuenta.

 

[audienorris1899]

Pa qué, pa qué te esfuerzas?

Que tu sistema operativo te ofrezca una actualización que le permita a "alguien" conectarse remotamente a tu sistema y obtener el control total del mismo sin que te enteres, es para restarle importancia desde luego. Si no llega a ser por un trabajador de Microsoft, esto hubiese llegado en un mes a la siguiente Ubuntu y Fedora.

He borrado el segundo post que había escrito, porque no me apetece entrar en bucle otra vez con el mismo tema, así que los aludidos en él, que se abstengan de responderme. Lo que tenía que decir sobre esto, ya lo dije en el primer post.

No hay mayor ciego que el que no quiere ver.

Reitero que con el nivel de retraso y fanatismo del foro (y excluyo a @cucerulo que es el único al que le ha dado por pensar), defendiendo a un sistema operativo irracionalmente como si fuese un equipo de fútbol, no vale la pena comentar nada más.

Bueno sí, haré un último comentario: el troyano se lo han/hemos comido los usuarios de Linux, personalmente estuve compilando XZ justo 2 horas antes de que saliese esto a la palestra... pero no hay que olvidar que otros sistemas operativos y señalo a Windows, aunque en menor medida, también se nutren de librerías de código abierto y no están exentos de percances como éste.

Lo de XZ es sólo la punta del iceberg; lo lógico y racional es pensar que una buena parte de desarrolladores "open source" pertenecen a distintos gobiernos y entre 100 aportaciones benignas dejen 1 dudosa, con regalitos como éste. Si quisiese espíar a otro país, es lo que yo haría.

 

[cuñado de bar]

No sí al final va a tener razón que windows 11 es más seguro que linux. Lo malo de windows es instalar cosas por tu cuenta que te cuelan bicho. Por ejemplo, software crackeado o no oficial. Pero que te cuelen una puerta trasera ya dentro del propio repositorio, me parece gravísimo.

 

[audienorris1899]

No sí al final va a tener razón que windows 11 es más seguro que linux.

Lo es y no sólo por el tema de código abierto/cerrado como en este caso; aunque todo el código abierto que corre en Linux fuese al 100% fiable, GNU/Linux seguiría por detrás de Windows 11 en cuanto a seguridad y cualquier experto en el tema, no fanatizado, te lo confirmará.

Lo malo de windows es instalar cosas por tu cuenta que te cuelan bicho. Por ejemplo, software crackeado o no oficial.

Obvio, pero eso ocurre en todos los sistemas operativos. Al menos en Windows, si tienes suerte, su antivirus detendrá la amenaza y te la notificará.
En Linux todo es una cuestión de fe. Éste troyano, por ejemplo, se ha instalado en todos los ordenadores sin oposición alguna y nadie se ha enterado de nada. Paradójicamente, ha sido un trabajador de Microsoft el que de casualidad lo ha descubierto ya que no estaba haciendo ninguna auditoría de seguridad, pero más paradójico aún es ver a chalados echando cosas sobre Microsoft al mismo tiempo que se congratulan por la rápidez con la que se solventan los problemas de seguridad en Linux.

De todos modos, me hace gracia lo del software crackeado, cuando el 99% de software que corre en Linux, también lo hace en Windows y a poco que seas un poco ducho en el tema, sabrás que Windows tiene herramientas con las que puedes incluso ejecutar bichito a propósito y que no te ocurra nada. Yo los únicos programas que ejecuto a pelo en Windows son los del propio sistema operativo, con lo cual, las posibilidades de pillar bicho en Windows son escasas.

Pero que te cuelen una puerta trasera ya dentro del propio repositorio, me parece gravísimo.

Qué va, el comité de expertos en seguridad de Burbuja ha restado importancia a este suceso y si les llevas la contraria te sacarán cualquier chorrada del sistema operativo que ellos no usan debido a lo nefasto que es. No entiendo que se preocupen tanto de lo que NO tienen instalado en su PC y tan poco de lo que tienen instalado en el suyo.

Mientras tanto, en la vida real:

 

[cuñado de bar]

De todos modos, me hace gracia lo del software crackeado, cuando el 99% de software que corre en Linux, también lo hace en Windows y a poco que seas un poco ducho en el tema, sabrás que Windows tiene herramientas con las que puedes incluso ejecutar bichito a propósito y que no te ocurra nada. Yo los únicos programas que ejecuto a pelo en Windows son los del propio sistema operativo, con lo cual, las posibilidades de pillar bicho en Windows son escasas.

Lo que a gente se descarga son programas de pago y juegos.

Ya no solo cosas conocidas como Office, Photoshop, Sony vegas.... Sino que hay muchísimo software de pago. Conversores de archivos, edición light, programas de recuperación de archivos, particiones, etc...

Los mejores o más accesibles son de pago. Si la gente tuviera que pagar licencias por todo, sería la ruina.

A mí me pasó con un programa de particiones. Necesitaba ése para unir el espacio sobrante de un disco duro clonado. Pero esa función es de pago, como todas las que te interesa. Ni el de Windows, ni en Linux podía hacer eso, sin borrar la partición de arranque de Windows. Como usar también un antispyware, que si quieres borrar los bichos, sólo te dejan en la versión de pago. En la práctica lo bueno es de pago.

En el otro caso me salió más rentable formatear e instalar de cero, que clonar el disco duro.

Sí. Puedes usar software libre en Windows. Pero te quedas muy cojo en posibilidades. Pero en Linux es que hay poca alternativa. Tampoco puedes elegir otro software, ni pagando

A lo que te refieres es a usar maquinas virtuales o toolbox para abrir un programa sin afectar al propio sistema.

 

[audienorris1899]

Ojo, a los dos comentarios más valorados de este hilo.

En código abierto lo detectan y al día siguiente le están poniendo solución.

¿Te paso el enlace a un pdf cuyas conclusiones sobre el kernel de Linux son éstas?



Aquí tenéis el promedio de vida de las vulnerabilidades del kernel, desde que fueron introducidas (no intencionadamente hay que creer) hasta que fueron descubiertas y solucionadas.





El Gatoo_ amaMint basada en Ubuntu dijo: Descuida, mañana estará solucionado.

 

[Ostracismo Produtorio]

¿Vulnerabilidad? ¿Qué vulnerabilidad?

XZ es una más de las cientos de librerías que corren en todos los sistemas GNU/Linux y una más de las decenas de miles que pueden llegar a correr en Linux. El desarrollador y mantenedor principal de XZ es @JiaT75 y quién es @JiaT75 pues ni más ni menos que Jia Tan. ¿Quién es Jia Tan? Pues alguien bajo una identidad falsa, que ha contribuido en varios proyectos, incluido el kernel de Linux. Seguramente Jia Tan será uno de los muchos mantenedores y desarrolladores de librerías de código abierto bajo el paraguas de los servicios secretos de sus respectivos países.

Hay que ser tan estulto como @Gatoo_ ,que no hay hilo de Linux en el que no demuestre su severo retraso, para creer que Linux es más seguro que Windows, cuando en vuestro PC bajo Linux estáis corriendo software de miles de "desarrolladores" como Jia Tan y ya sólo por eso, hay que tener los bemoles de acero para afirmar algo así. Hace poco escribí esto:



Pues eso, al usar Linux estáis confiando vuestros datos y seguridad en algunas personas reales y en otras que se esconden bajo o un nick o identidad falsa. La mayoría tendrán buenas intenciones, pero ¿quién lo garantiza?

Lo que ha sucedido es muy grave, pero no por ello inesperado (por mí). Esto no se trata de un desarrollador maligno que ha logrado colar un commit malo en un proyecto, sino que estamos hablando del propio responsable del proyecto el que ha distribuido el malware. Es como si Windows Update -y absteneos de hacer comentarios cuñaos sobre si Windows espía o no- a través de una de sus actualizaciones del Windows Update distribuyese un troyano.

Esto va dedicado para los que creen que Linux es más seguro porque se audita el código fuente JA JA y JA. Ni el 1% de lo que corre en cualquier sistema Linux habrá sido correctamente auditado y quién sabe cuántas más puertas traseras se esconderán en software aparentemente limpio. Por cierto, el que ha descubierto esto es un trabajador de... Microsoft.

Entre esto y los temas de escritorio aparentemente benignos, que al desinstalarlos se cargan todos los ficheros que están a su alcance, es una semana trágica para los amapingüinos del foro, que son ni más ni menos que todos los usuarios de Linux de Burbuja, excepto @IntelME que fue el único que no se escandalizó cuando leyó mi tan repetida frase en el foro: Windows 11 es más seguro que GNU/Linux.

Pero al final salen las vulnerabilidades a la luz. Los que sí tenían razón eran los talibanes de la FSF que no querían blobs. Solo código que se pueda leer.

 

[Venturi]

Ojo, a los dos comentarios más valorados de este hilo.



¿Te paso el enlace a un pdf cuyas conclusiones sobre el kernel de Linux son éstas?

Ver archivo adjunto 1850024

Aquí tenéis el promedio de vida de las vulnerabilidades del kernel, desde que fueron introducidas (no intencionadamente hay que creer) hasta que fueron descubiertas y solucionadas.

Ver archivo adjunto 1850025



El Gatoo_ amaMint basada en Ubuntu dijo: Descuida, mañana estará solucionado.

Ver archivo adjunto 1850026

La seguridad de Linux (o de MacOS) está muy mitificada. Ahora mismo su seguridad reside en que la base de usuarios es muy pequeña. Con una tasa de uso como Windows, yo estoy convencido de que veríamos números de vulnerabilidades y brechas muy similares a las de Windows.
Y escribo desde mint, tengo en casa Windows, MacOS, Debian y Mint, no es que quiera defender a MS.

 

[Clorhídrico]

"Zero days" cocinados a fuego lento. El software libre es lo que tiene, aunque en teoría es más seguro porque hay "mucha gente" revisando (va a ser que no tantos o hay muchos sitios donde liarla). Lo increíble es que al chino este le han pillado después de 2 años por un lag de medio segundo que detectó un ingeniero de Microsoft (qué ironía...).

Yo tengo Arch y me coló la versión trucha (aunque estuvo poco).

Salu2

 

[angrymorty]

es ventajista comentarlo ahora, pero quién demonios quiere revisar líneas de código en su tiempo libre tras haberse pasado 10 horas haciendo lo mismo en su trabajo? Pues muy poca gente. Y quién tan entusiasta como para hacer un trabajo profesional a cambio de nada material? Pues menos personas aún. Encima no hablamos de revisar faltas de ortografía, aunque no tengo ni astuta, imagino que fácil no será, revisar/subsanar programas.

 

[Conde Duckula]

Ojo, a los dos comentarios más valorados de este hilo.



¿Te paso el enlace a un pdf cuyas conclusiones sobre el kernel de Linux son éstas?

Ver archivo adjunto 1850024

Aquí tenéis el promedio de vida de las vulnerabilidades del kernel, desde que fueron introducidas (no intencionadamente hay que creer) hasta que fueron descubiertas y solucionadas.

Ver archivo adjunto 1850025



El Gatoo_ amaMint basada en Ubuntu dijo: Descuida, mañana estará solucionado.

Ver archivo adjunto 1850026

¿Donde está el enlace?