Vulnerabilidad subida de peso en Linux (xz)

[Geologia_Matutina]

es ventajista comentarlo ahora, pero quién demonios quiere revisar líneas de código en su tiempo libre tras haberse pasado 10 horas haciendo lo mismo en su trabajo? Pues muy poca gente. Y quién tan entusiasta como para hacer un trabajo profesional a cambio de nada material? Pues menos personas aún. Encima no hablamos de revisar faltas de ortografía, aunque no tengo ni astuta, imagino que fácil no será, revisar/subsanar programas.

El kernel en su mayoría está hecho por gente en nómina. Los voluntarios de tiempo libre duran poco (o los espanta Torvalds, o los contrata alguien).

Distinto tema es el resto de paquetes, algunos importantísimos y que no reciben la atención ni los fondos necesarios. Por ejemplo cuando Heartbleed empitonó a la totalidad de empresas del ramo salió a la luz que OpenSSL solo tenía dos pagadores habituales, recaudando 5000$ al año. Un software que necesita millones de euros al año en auditoría.

 

[cucerulo]

¿Entonces estarías dispuesto a cambiar tu casa por la del vecino?

Eso es un falso dilema de libro. Lo que tengo que hacer es corregir los fallos que han permitido que entrarán en mi casa y pensar qué sistemas o costumbres mías pueden llegar a ser un problema. Si tras una intrusión en mi casa me limito a reparar la ventana por la que entraron, seguir igual y compararme con mi vecino, mal vamos.

Yo veo a Linux creciendo y con el crecimiento tiene que venir una mayor profesionalización. Si no, la siguiente fase es la multiplicación de los problemas.

 

[Gatoo_]

Si tras una intrusión en mi casa me limito a reparar la ventana por la que entraron, seguir igual y compararme con mi vecino, mal vamos.

Pues no, no vas del todo mal, porque si tú pones rejas y tu vecino se deja las ventanas abiertas de par en par, lo normal es que entren a robar en la casa de tu vecino.

 

[angrymorty]

¿Tú que haces con más interés y empeño: arreglar el ordenador del jefe o el tuyo propio de tu casa?

pues depende, no soy un robot. a veces hago mejor las cosas de casa y otras las del trabajo. y tú? siempre barres para lo tuyo?

 

[angrymorty]

El kernel en su mayoría está hecho por gente en nómina. Los voluntarios de tiempo libre duran poco (o los espanta Torvalds, o los contrata alguien).

Distinto tema es el resto de paquetes, algunos importantísimos y que no reciben la atención ni los fondos necesarios. Por ejemplo cuando Heartbleed empitonó a la totalidad de empresas del ramo salió a la luz que OpenSSL solo tenía dos pagadores habituales, recaudando 5000$ al año. Un software que necesita millones de euros al año en auditoría.

Interesante.

 

[Gatoo_]

pues depende, no soy un robot. a veces hago mejor las cosas de casa y otras las del trabajo. y tú? siempre barres para lo tuyo?

Desde luego. Lo contrario tiene un calificativo.

 

[Venturi]

Pues no, no vas del todo mal, porque si tú pones rejas y tu vecino se deja las ventanas abiertas de par en par, lo normal es que entren a robar en la casa de tu vecino.

Pues depende. Si el caco ve que el esfuerzo en entrar a la casa de las rejas le va a dar mas beneficio que entrar a la casa de un hambriente que lo más delicado que tiene son tres fotos de su novia en berzas, va a gastar más esfuerzo en la casa de las rejas.

 

[Gatoo_]

Pues depende. Si el caco ve que el esfuerzo en entrar a la casa de las rejas le va a dar mas beneficio que entrar a la casa de un hambriente que lo más delicado que tiene son tres fotos de su novia en berzas, va a gastar más esfuerzo en la casa de las rejas.

Ya, pero es que el vecino puede ser más interesante que tú y vivir con un cartel en la fachada de 'Welcome Refugees' y la puerta abierta 24 horas, por eso el ransomware ataca en aeropuertos gestionados con Windows y no en los ordenadores personales de los linuxeros.

 

[Venturi]

Ya, pero es que el vecino puede ser más interesante que tú y vivir con un cartel en la puerta de 'Welcome Refugees' y la puerta abierta 24 horas, por eso el ransomware ataca en aeropuertos gestionados con Windows y no en los ordenadores personales de los linuxeros.

O el ransomware puede atacar servidores Linux, que son la mayoría en internet. Como dice @cucerulo el problema es la falsa sensación de seguridad por usar Linux.
Lo que está claro es que ni Windows es un coladero ni Linux es la panacea. Ambos tienen sus puntos débiles y ser un fanboy de cualquiera de ellos es de demorado mental.

 

[Nakatone]

Usad



Y dejaos de cosas.

 

[Gatoo_]

Ambos tienen sus puntos débiles y ser un fanboy de cualquiera de ellos es de demorado mental.

Pues ya me dirás qué sois los defensores de un sistema operativo con 900.000.000 de bichito circulando por la red.

 

[Venturi]

Pues ya me dirás qué sois los defensores de un sistema operativo con 900.000.000 de bichito circulando por la red.

¿Que he defendido yo? .Decir que los Linux tiene un problema con la falsa sensación de seguridad, como tú demuestras en cada comentario, me hace defender a Windows?

 

[Gatoo_]

¿Que he defendido yo? .Decir que los Linux tiene un problema con la falsa sensación de seguridad, como tú demuestras en cada comentario, me hace defender a Windows?

No sé, dime tú qué significa eso de que "Lo que está claro es que ni Windows es un coladero...".

¿Que no es un coladero? ¿Y entonces por qué todo el malware y los bichito los programan para Windows?

 

[cucerulo]

O el ransomware puede atacar servidores Linux, que son la mayoría en internet. Como dice @cucerulo el problema es la falsa sensación de seguridad por usar Linux.

Yo creo que la gente aún no se acaba de dar cuenta de las implicaciones que tiene este tema. Un chino random se pone a trabajar voluntariamente en un paquete de linux, en cuanto hay confianza achucha (ayudado por otras personas que hasta se pudo crear él mismo) para que incluyan sus mejoras en los repositorios y cuela. Se incluyen los paquetes y no hay nadie que los testee antes, en el medio o después. Se destapa el tema de refilón porque uno probando otra cosa distinta se da cuenta que el SSH tarda medio segundo más de lo que debiera e investiga. De no ser por este hombre se hubiera distribuido el regalito y alguien habría tenido acceso como administrador PRÁCTICAMENTE A TODOS LOS SERVIDORES DE INTERNET QUE CORREN BAJO LINUX, es decir, casi todos.

Si les programan un "rm -rf /" para el mismo día a la misma hora, paralizan el mundo.

Bien, pues ahora imaginaos el número de paquetes que tiene Linux mantenidos por gente random en lugares variados del planeta que no se sabe si son quienes dicen ser o siquiera si existen y eso da una tranquilidad tremenda...

 

[cucerulo]

Pues ya me dirás qué sois los defensores de un sistema operativo con 900.000.000 de bichito circulando por la red.

Nuevo falso dilema. Intentar solucionar los problemas de un sistema operativo no te convierte automáticamente en un defensor del otro, no hagas trampas.

¿Que no es un coladero? ¿Y entonces por qué todo el malware y los bichito los programan para Windows?

Claramente porque son el 90% de los usuarios de ordenadores. Si Linux tuviera ese 90% estábamos apañados. El Heartbleed no habría tardado años en descubrirse. Meses o días.