Vulnerabilidad subida de peso en Linux (xz)

[angrymorty]

El que programa para Linux lo hace también por sí mismo, ya sea por interés propio en lo que está programando o porque disfruta y es su afición.

El que cobra por programar lo que quiere es cobrar, no programar.

Vaya. Se ve que puedes llevar esta tontería hasta el infinito.

Para empezar, no estamos discutiendo si la gente trabaja para otros por dinero. Volvamos a lo nuestro. Tú insinúas que la gente que (en ocasiones o casi siempre) se esfuerza más en proyectos para terceros es (siempre) noséqué (nada bueno). Por ejemplo, un luthier (en realidad, cualquier artesano) que busca satisfacer necesidades que generalmente no son las suyas, en realidad se esmeraría lo justo para contentar a su pagador mientras que los mejores instrumentos los tendría en su casa o los habría regalado a desconocidos.

Por supuesto, un programador, como cualquier otro profesional, muchas veces se verá forzado a dar lo mejor de sí a su pagador, puesto que es quien tiene una necesidad que en no pocas ocasiones es más exigente que cualquiera suya como individuo y dado que la contraprestación es dineraria, entonces entregará (en muchas o pocas ocasiones) lo mejor de sí para trabajar en tiempo y forma. Además, como sabe que le va el prestigio en ello y de eso mismo depende gran parte de su salario, a menudo procurará anteponer los encargos de otros a sus deseos. Esto NO es siempre ni todos. Lo sé, pero desde luego, estás insinuando que nadie en su sano juicio entrega lo mejor para terceros por dinero.

 

[John Smmith]

¿Vulnerabilidad? ¿Qué vulnerabilidad?

XZ es una más de las cientos de librerías que corren en todos los sistemas GNU/Linux y una más de las decenas de miles que pueden llegar a correr en Linux. El desarrollador y mantenedor principal de XZ es @JiaT75 y quién es @JiaT75 pues ni más ni menos que Jia Tan. ¿Quién es Jia Tan? Pues alguien bajo una identidad falsa, que ha contribuido en varios proyectos, incluido el kernel de Linux. Seguramente Jia Tan será uno de los muchos mantenedores y desarrolladores de librerías de código abierto bajo el paraguas de los servicios secretos de sus respectivos países.

Hay que ser tan estulto como @Gatoo_ ,que no hay hilo de Linux en el que no demuestre su severo retraso, para creer que Linux es más seguro que Windows, cuando en vuestro PC bajo Linux estáis corriendo software de miles de "desarrolladores" como Jia Tan y ya sólo por eso, hay que tener los bemoles de acero para afirmar algo así. Hace poco escribí esto:



Pues eso, al usar Linux estáis confiando vuestros datos y seguridad en algunas personas reales y en otras que se esconden bajo o un nick o identidad falsa. La mayoría tendrán buenas intenciones, pero ¿quién lo garantiza?

Lo que ha sucedido es muy grave, pero no por ello inesperado (por mí). Esto no se trata de un desarrollador maligno que ha logrado colar un commit malo en un proyecto, sino que estamos hablando del propio responsable del proyecto el que ha distribuido el malware. Es como si Windows Update -y absteneos de hacer comentarios cuñaos sobre si Windows espía o no- a través de una de sus actualizaciones del Windows Update distribuyese un troyano.

Esto va dedicado para los que creen que Linux es más seguro porque se audita el código fuente JA JA y JA. Ni el 1% de lo que corre en cualquier sistema Linux habrá sido correctamente auditado y quién sabe cuántas más puertas traseras se esconderán en software aparentemente limpio. Por cierto, el que ha descubierto esto es un trabajador de... Microsoft.

Entre esto y los temas de escritorio aparentemente benignos, que al desinstalarlos se cargan todos los ficheros que están a su alcance, es una semana trágica para los amapingüinos del foro, que son ni más ni menos que todos los usuarios de Linux de Burbuja, excepto @IntelME que fue el único que no se escandalizó cuando leyó mi tan repetida frase en el foro: Windows 11 es más seguro que GNU/Linux.

¿Tu sabes lo que es una comunidad Open source?

Prefiero mil veces mas confiar en una comunidad abierta que en codigos privativos. La corrupcion no la denuncian los corruptos si no el resto, que no está metido en el ajo. La transparencia en el código, como en la política y la administración, es lo único que brinda una minima protección, cuando no nos queda mas remedio que confiar en terceros.

Solo te falta añadir al post que votas PSOE o PP para quedar totalmente retratado.

Con windows no tendrás esos problemas porque no los sabrás nunca. Disfruta de tu Windows. Juicios tengas y los ganes.

 

[audienorris1899]

Pero al final salen las vulnerabilidades a la luz.

Salen a la luz una pequeña parte de ellas, como en Windows.

Los que sí tenían razón eran los talibanes de la FSF que no querían blobs. Solo código que se pueda leer.

Sin blobs, binarios, software propietario o como quieras llamarlo, la cuota de usuarios de Linux en el escritorio sería de un 0,05% como mucho.

Menudo cuñao, llamando cuañaos a otros. En código abierto lo detectan y al día siguiente le están poniendo solución.

¿Quién es el cuñao?

https://events19.linuxfoundation.org/wp-content/uploads/2017/11/Syzbot-and-the-Tale-of-Thousand-Kernel-Bugs-Dmitry-Vyukov-Google.pdf

La seguridad de Linux (o de MacOS) está muy mitificada. Ahora mismo su seguridad reside en que la base de usuarios es muy pequeña. Con una tasa de uso como Windows, yo estoy convencido de que veríamos números de vulnerabilidades y brechas muy similares a las de Windows.
Y escribo desde mint, tengo en casa Windows, MacOS, Debian y Mint, no es que quiera defender a MS.

La de Linux sí. MacOS, al igual que Windows, es un sistema más seguro que Linux, sin ser ambos una maravilla en ese aspecto.

Con windows no tendrás esos problemas porque no los sabrás nunca.

¿Ah no?

Security Update Guide - Microsoft Security Response Center

msrc.microsoft.com

Disfruta de tu Windows.

¿Será que no viste la parte final de éste mensaje? Los equipos que no soportan windows 11 oficialmente se están devaluando a marchas forzadas

 

[audienorris1899]

Y ya tenemos un nuevo hilo de Linux monopolizado por el demorado de @Gatoo_ No sé cómo no sólo no lo tenéis bloqueado sino que además entrais en su juego, cuando da verguenza ajena leer las paridas que está diciendo, recordemos algunas de ellas:

Pero el culmen de su retraso lo demostró en este mensaje, donde según él, los bichito de Windows no podían hacer nada ejecutados en Wine entre otras cosas porque no entendían el sistema ext4: El otro día instalé gnu/linux y volví a windows de nuevo

jorobar, pero qué estulto es. Está obsesionado con los permisos, como si Windows no los tuviera o como si los de Linux evitasen que un tema de escritorio pudiese borrar todos los archivos personales al ser desinstalado, así que imaginaos lo que podría hacer algún programa maligno.

Lo dicho, mejor tenerlo bloqueado, porque a mí personalmente me dan ganas de estamparle la cabeza contra un muro cuando por desgracia tengo que leerle.

 

[Venturi]

En Linux tienes que decidir tú exponerte "al público". En Windows lo deciden por ti.

Lo del keylogger de Windows veo que lo has borrado. Me alegro de que por fin hayas hecho una simple búsqueda en Google.

No lo borre intencionadamente, edite y metí la pata. Ya lo he arreglado. Ahora cuéntame, que vulnerabilidad explota ese keylogger de windows, y sobre todo la primera parte del mensaje, ¿por qué es más seguro un Linux con una cuenta de usuario que un Windows? A ver si resulta que la inseguridad de Windows está en que quien lo usa no toma ninguna precaucion y no en que el sistema sea inseguro o más vulnerable por diseño.

 

[ksa100]

Hay desarrolladores que harían lo que fuera con tal de que su nombre salga en un proyecto en Linux, lo que fuera. Y en los curriculums es lo primero que ponen, por delante de cualquier trabajo en una GAFAM.

 

[ksa100]

No lo borre intencionadamente, edite y metí la pata. Ya lo he arreglado. Ahora cuéntame, que vulnerabilidad explota ese keylogger de windows, y sobre todo la primera parte del mensaje, ¿por qué es más seguro un Linux con una cuenta de usuario que un Windows? A ver si resulta que la inseguridad de Windows está en que quien lo usa no toma ninguna precaucion y no en que el sistema sea inseguro o más vulnerable por diseño.

Privacidad y seguridad van de la mano. La falta de seguridad de Windows radica en que parte del modelo de negocio de Microsoft es vulnerar constantemente tu privacidad a través del rastreo sistemático y monetización de tus datos, anonimizados o no. A partir de ahí ya si quieres nos ponemos a comentar lo que sea, desde los inumerables bichito que afectan a Windows hasta el robo de llaves que ha sufrido, fuga de datos y lo que sea, una auténtica barbaridad. Simplemente Windows y todo el ecosistema de software y servicios de Microsoft no son confiables, ni podrán serlo jamás. Linux puede tener problemas puntuales, pero como ves se solucionan en abierto, mostrándonos el problema y la solución a todos los desarrolladores y usuarios. Además, qué narices, la historia de Microsoft es una historia de juego sucio brutal, lo raro es que se permita la comercialización de PCs con Windows, pero eso está cambiando tan rápido que las estadísticas de Statcounter ya no son creíbles, en medio planeta ni se plantean ya usar Windows, produce un gran rechazo, ya sea por su propia naturaleza de sistema operativo merder o por cuestiones políticas.

 

[Venturi]

Privacidad y seguridad van de la mano. La falta de seguridad de Windows radica en que parte del modelo de negocio de Microsoft es vulnerar constantemente tu privacidad a través del rastreo sistemático y monetización de tus datos, anonimizados o no. A partir de ahí ya si quieres nos ponemos a comentar lo que sea, desde los inumerables bichito que afectan a Windows hasta el robo de llaves que ha sufrido, fuga de datos y lo que sea, una auténtica barbaridad. Simplemente Windows y todo el ecosistema de software y servicios de Microsoft no son confiables, ni podrán serlo jamás. Linux puede tener problemas puntuales, pero como ves se solucionan en abierto, mostrándonos el problema y la solución a todos los desarrolladores y usuarios. Además, qué narices, la historia de Microsoft es una historia de juego sucio brutal, lo raro es que se permita la comercialización de PCs con Windows, pero eso está cambiando tan rápido que las estadísticas de Statcounter ya no son creíbles, en medio planeta ni se plantean ya usar Windows, produce un gran rechazo, ya sea por su propia naturaleza de sistema operativo merder o por cuestiones políticas.

Totalmente de acuerdo. Como filosofia, dejar todo a la vista de desarrolladores y usuarios es mejor que un modelo cerrado, hace más fácil ver que falla y que puede ser un backdoor.
Pero en este hilo algunos reducen todo a Windows caca y Linux bueno sin dar un solo argumento contundente. O dar argumentos de coña, como decir que windows espía y habría que prohibirlo y al mismo tiempo jactarse de que Linux se usa mucho por Android, que espia tanto o más que Windows.

 

[Gatoo_]

Vaya. Se ve que puedes llevar esta tontería hasta el infinito.

Para empezar, no estamos discutiendo si la gente trabaja para otros por dinero. Volvamos a lo nuestro. Tú insinúas que la gente que (en ocasiones o casi siempre) se esfuerza más en proyectos para terceros es (siempre) noséqué (nada bueno). Por ejemplo, un luthier (en realidad, cualquier artesano) que busca satisfacer necesidades que generalmente no son las suyas, en realidad se esmeraría lo justo para contentar a su pagador mientras que los mejores instrumentos los tendría en su casa o los habría regalado a desconocidos.

Por supuesto, un programador, como cualquier otro profesional, muchas veces se verá forzado a dar lo mejor de sí a su pagador, puesto que es quien tiene una necesidad que en no pocas ocasiones es más exigente que cualquiera suya como individuo y dado que la contraprestación es dineraria, entonces entregará (en muchas o pocas ocasiones) lo mejor de sí para trabajar en tiempo y forma. Además, como sabe que le va el prestigio en ello y de eso mismo depende gran parte de su salario, a menudo procurará anteponer los encargos de otros a sus deseos. Esto NO es siempre ni todos. Lo sé, pero desde luego, estás insinuando que nadie en su sano juicio entrega lo mejor para terceros por dinero.

Estás discutiendo por discutir. No me voy a molestar en contestarte.

 

[Gatoo_]

No lo borre intencionadamente, edite y metí la pata. Ya lo he arreglado. Ahora cuéntame, que vulnerabilidad explota ese keylogger de windows, y sobre todo la primera parte del mensaje, ¿por qué es más seguro un Linux con una cuenta de usuario que un Windows? A ver si resulta que la inseguridad de Windows está en que quien lo usa no toma ninguna precaucion y no en que el sistema sea inseguro o más vulnerable por diseño.

El keylogger es una vulnerabilidad en sí mismo. No sé qué quieres que te explique. No necesitan ni colarse en tu PC para conocer tus cuentas y contraseñas porque ya se las estás mandando tú mismo.

Respecto a lo segundo, Linux es más seguro que Windows con una cuenta de usuario porque en Linux no hay 900.000.000 de bichito danzando por la red, y porque cuando se conoce un agujero resulta que incluso es noticia, aunque lo arreglan en cuestión de horas.

 

[Coronel Kurtz]

Ya está arreglado.
No como Windows o Mac OS, y eso que lo rellenito e importante se lo hace FreeBSD.

 

[audienorris1899]

@Venturi te corrijo tu frase, porque te has olvidado de un detalle: Como filosofia, dejar todo a la vista de desarrolladores, usuarios y hackers es mejor que un modelo cerrado, hace más fácil ver que falla y que puede ser un backdoor.

Si vivieras en una urbanización privada, ¿te gustaría que planos detallados de las casas, así como las ubicaciones y modelos de las alarmas y horarios y rutinas de los vigilantes de seguridad, entre otro tipo de detalles, estuvieran disponibles a todo el mundo en Internet con la excusa de poder así auditar y mejorar la seguridad de tu urbanización? ¿Te sentirías más seguro? Con el software ocurre lo mismo.

¿Acaso piensas que los que sostienen una pancarta de "Welcome Refugees" no creen que los pateriles son pobrecitos indefensos y hambrientos que huyen de la miseria y necesitan ser ayudados, en lugar de ser auténticos sacos de hez y criminales en algunos casos?

Que el código sea abierto no tiene porque ser mejor o más seguro que el código cerrado, como tampoco a la inversa. Si xz hubiese sido de código cerrado, también se hubiese detectado por el mismo método. Sin ir más lejos, ahí están todos los identificados en Windows y con un cortafuegos (antivirus) para que no puedan causar daños nuevamente; en Linux sin embargo, puedes instalar el troyano de xz o cualquier rootkit de los ya conocidos, que el sistema se lo tragará sin rechistar.

Ya está arreglado.
No como Windows o Mac OS, y eso que lo rellenito e importante se lo hace FreeBSD.

Mirad, otro que no debe de haber visto esto:

https://events19.linuxfoundation.org/wp-content/uploads/2017/11/Syzbot-and-the-Tale-of-Thousand-Kernel-Bugs-Dmitry-Vyukov-Google.pdf

 

[Gatoo_]

O dar argumentos de coña, como decir que windows espía y habría que prohibirlo y al mismo tiempo jactarse de que Linux se usa mucho por Android, que espia tanto o más que Windows.

En Android ni siquiera se usa antivirus, la diferencia es bastante sustancial.

Instalar Windows es como comprarse un descapotable y aparcarlo en un barrio de etnianos, jovenlandeses y okupas con las llaves puestas.

No puedo entender cómo es posible que la gente instale un sistema que saben que no puede utilizarse sin antivirus. No me cabe en la cabeza.

 

[skeptik]

Fanboys pro Microsoft (o anti-software libre) no han perdido el tiempo en cargar las tintas contra el software libre. Improbable, pero si alguien quiere pararse a pensar un poco, aquí dejo otro punto de vista.

The xz Issue Isn’t About Open Source

You’ve probably heard of the recent backdoor in xz. There have been a lot of takes on this, most of them boiling down to some version of: The problem here is with Open Source Software. I want…

changelog.complete.org

 

[Conde Duckula]

¿Quién es el cuñao?

https://events19.linuxfoundation.org/wp-content/uploads/2017/11/Syzbot-and-the-Tale-of-Thousand-Kernel-Bugs-Dmitry-Vyukov-Google.pdf

Tu, sobre todo después de ver el enlace que ibas a aportar desde el principio.

No dice por ninguna parte que haya agujeros sin solucionar tanto tiempo como dices tu.

Si leyeras con atención, hace referencia sobre todo a los no detectados.

Te metes al enlace del "hundreds" y ves esto.

7 días el que más.

Microsoft puede tener vulnerabilidades años o para siempre y pasa de ti en todos los aspectos.

Una solución a un ciberataque que llega tras seis meses: ¿Por qué Microsoft tardó tanto en parchear Windows?

Ciberdelincuentes respaldados por el gobierno de Corea del Norte han estado seis meses infectando ordenadores Windows mientras Microsoft buscaba una solución.

computerhoy.com

6 meses después de enterarse todo el mundo de algo tan grave, a saber desde cuando lo sabían ellos.

Piratas informáticos respaldados por el gobierno de Corea del Norte se han hecho con una gran victoria al aprovechar una vulnerabilidad en el sistema operativo Windows, conocida como CVE-2024-21338 que ha tenido en jaque a Microsoft durante demasiado tiempo.

Esta vulnerabilidad, para que te hagas una idea, permitió que instalaran un tipo de malware llamado rootkit en ordenadores vulnerables. Llamado FudModule, se trata de un auténtico ninja de los hackeos: puede ocultar estos archivos y procesos maliciosos en el sistema operativo, permitiendo a los piratas informáticos controlar el ordenador sin ser detectados.


Hasta aquí nada nuevo que no haya ocurrido otras veces. Sin embargo, lo sorprendente es que Microsoft tardó seis meses en solucionar esta vulnerabilidad después de que se la informara en agosto. Durante todo ese tiempo, los ciberdelincuentes de Lazarus, el grupo detrás de esta operación, tuvieron todo el tiempo del mundo para infectar más ordenadores y llevar a cabo sus actividades maliciosas.

En concreto, fueron los investigadores de Avast quienes enviaron a Microsoft una descripción del ataque, junto con un código de prueba de concepto que demostraba lo que hacía cuando era explotado.

Ciberterrorismo: cuando los grupos terroristas encuentran espacio en Internet para lanzar ataques

Seis meses: ¿Realmente es necesario tanto tiempo para lanzar un parche?
Sabiendo esto seguramente te preguntes, ¿por qué tardaron tanto en parchearlo? Hay una especie de debate sobre si la vulnerabilidad era lo suficientemente grave como para justificar un parche inmediato. Microsoft ha explicado que ciertos tipos de ataques, como este, no son tan preocupantes como otros.

Sin embargo, en el mundo de la ciberseguridad y más si el objetivo en una empresa de este tipo, hay diferentes niveles de acceso a un ordenador. Por así decirlo, hay muchas puertas por las que entrar, y al parecer la vulnerabilidad que Lazarus explotó, conocida como CVE-2024-21338, quizá se les escapaba de las manos a los de Microsoft.

Will Dormann, analista senior de vulnerabilidades de la firma de seguridad Analygence y crítico de Microsoft, dijo: "Podrían tener una muy buena razón por la cual podría haber sido más complicado y requerir más tiempo de ingeniería para solucionarlo. Por otro lado, simplemente podría haber sido priorizado por debajo de otras correcciones de seguridad más urgentes".

Continúa diciendo que las esperas de seis meses para solucionar las vulnerabilidades son "comunes", aunque esos retrasos pueden no ser "aceptables". Sea como fuere, eso es algo que nunca se sabrá. Lo que sí se conoce es que actualmente está solucionado y si aún no has actualizado Windows, deberías hacerlo.