Portada
mis comunidades
otras secciones
#4:
#1 Básicamente que alguien con mucho tiempo, mucho conocimiento y mucho dinero, porque se dedica a esto en jornada laboral, ha conseguido infiltrarse en el desarrollo de una librería crítica y añadir código malicioso, de forma que puede obtener acceso a un montón de sistemas sin ser detectado.
Y que ahora ni Cristo se fía de lo que haya hecho desde que se unió al proyecto, así que toca revisar absolutamente todo desde ese momento
Y que ahora ni Cristo se fía de lo que haya hecho desde que se unió al proyecto, así que toca revisar absolutamente todo desde ese momento
Comentarios
Para dummies está bien. Pero para dummies^ infinito como yo, no vale. Sigo sin entender un pimiento ????.
#1 el resumen es:
Pero por lo que parece en este caso se han dado cuenta a tiempo pero esto hace dudar del sistema de "colaboración" de desarrollo open source en general ya que parece que alguien tiene a sueldo "colaboradores" que no solo están para aportar "altruistamente" y tienen sus propios propósitos...
Gracias a #10 #4 #3 y #2. Entiendo el problema y su gravedad. Por cosas como esto sigo en Menéame.
#1 Aquí uno que más o menos lo entiende, pero al que le causa estrés. Este asunto de repositorios, contribuciones es el principal escollo para que yo use Linux como sistema principal. Yo uso Linux desde hace décadas literalmente, desde los primeros Slackware de la revista Solo Programadores. Y siempre me ha surgido la duda acerca de los repositorios, contribuciones... A un neófito le puede dar la impresión de que el código fuente, como es visible, pues "es visto". Pero no es así. No hace mucho leí un artículo en el que me hizo recapacitar sobre el uso incluso de FDroid (https://privsec-dev.translate.goog/posts/android/f-droid-security-issues/?_x_tr_sl=auto&_x_tr_tl=es&_x_tr_hl=es&_x_tr_pto=wapp) .
Fui por ejemplo uno de los afectados cuendo el servidor de Linux Mint distribuyó versiones infectadas. Hay tantas distribuciones, tantas versiones, tantos repositorios, tanto de todo en pos de la libertad y transparencia, que me parece que es dificil de controlar la seguridad (o no habría pasado esto del XZ). Linux no es más seguro que Windows, ambos son inseguros, pero al menos con Windows, me parece que hay que vigilar sólo una puerta. Para un cuadriculado como yo, Linux me inspira intranquilidad, imagino que os echaréis encima mia.
Como sistema principal uso Windows, pero intentando usar todo el software libre posible sobre él, y ajustando al dedillo la configuración, para intentar que no haga más de lo que debe.
#3 das por hecho que Windows no utiliza código open source obtenido de esos repositorios pero eso no es así (y tampoco lo esconden, solo hay que leer los créditos).
#5 no no, no lo doy por hecho, lo sé.
#6 pues no entiendo tu postura de prevalecer Windows pues en Linux al menos puedes cambiar los repositorios de origen de los paquetes pero en Windows no sólo no puedes, además no sabes cual ha usado Microsoft para sus desarrollos.
Aunque eso implicaria auditar a fondo cada distribución o usar alguna tipo Gentoo que compila todo en local y ya se que requiere muchísimo tiempo pero poder, puedes
#5 Estoy casi seguro que lo usan previa auditoría. En el mismo artículo se menciona a Google haciendo eso exactamente, y por qué el hacker evitó que su código llegará a ser usado por Google para evitar la inspección.
Cc/ #7
#3 Linux no es más seguro que Windows, ambos son inseguros, pero al menos con Windows, me parece que hay que vigilar sólo una puerta.
Windows tiene una puerta a la que pueden picar organismos como la NSA y amenazar con prisión acusados de traición si no ponen las puertas traseras que les demandan, que pueden distribuirse de forma generalizada o personalizada. Tu Windows en casa puede recibir una actualización de Windows Update automática, silenciosa, que no se bloquea con opciones del panel de control (salvo desactivando Internet en configuración de red, quizá) y que como solo recibirías tú pasaría desapercibida por todas las medidas de seguridad de terceros.
Marissa Mayer (CEO de Yahoo): "No cumplir con las solicitudes de la NSA es traición"
Marissa Mayer (CEO de Yahoo): "No cumplir con las solicitudes de la NSA es traición"
Marissa Mayer (CEO de Yahoo): "No cumplir con...
news.softpedia.esEl FBI amenaza con arrestar al fundador de Lavabit por cerrar el servicio [ENG]
El FBI amenaza con arrestar al fundador de Lavabit por cerrar el servicio [ENG]
El FBI amenaza con arrestar al fundador de Lavabit...
investigations.nbcnews.com#3 Ehhh no, y tu comentario esta mal a muchos niveles...
Comparar la seguridad en Windows y en Linux en base a que alguien haya metido un archivo malicioso en un repositorio, es como decir que Windows es inseguro porque un hacker se ha colado en Microsoft y a metido un archivo malicioso en Win32.
La seguridad que ha fallado y donde están los problemas de confianza es en el uso de los repositorios y eso va mas allá del sistema operativo, afecta a Windows, Linux, las aplicaciones y cualquier sistema que use repositorios.
Si quieres hablar de seguridad en sistemas operativos, solo tienes que ver como gestiona uno y otro los permisos o los movimientos de archivos.
#1 Básicamente que alguien con mucho tiempo, mucho conocimiento y mucho dinero, porque se dedica a esto en jornada laboral, ha conseguido infiltrarse en el desarrollo de una librería crítica y añadir código malicioso, de forma que puede obtener acceso a un montón de sistemas sin ser detectado.
Y que ahora ni Cristo se fía de lo que haya hecho desde que se unió al proyecto, así que toca revisar absolutamente todo desde ese momento
#1 Resumiendo, SSH es un protocolo de comunicación cifrado que se usa mucho en administración de servidores, lo que da una idea de la gravedad. El tipo se pasa dos años trabajando "por amor al arte" a tiempo completo para ganarse la confianza mientras preparaba el terreno para colar una puerta trasera en una aplicación auxiliar. Difícil pues no puedes ocultarla ya que el código fuente está a la vista, pero sí meter embrollos o adornos que camuflen el propósito de ese fragmento de código y hagan desistir a los curiosos atareados con cosas más importantes. Ahora toca revisar unos millones de líneas, porque es de suponer que el "altruista" puso su huevo de cuco en otros nidos.
Está claro que cobró y no poco para dedicar dos años al trabajillo, hay muchos candidatos para la financiación.
¿Este pájaro irá a la cárcel? Es un tema interesante. Por un lado, es un cabroncete de mucho cuidado. Por otro, no está claro que haya conseguido usar el backdoor y ofreció el código libre y gratis
#13 ¿Pero lo (o les) han encontrado? Porque no creo sea fulanito con nombre y apellidos.
Noticias como esta deberian de hacer que cada vez más empresas y universidades se planteen invertir dinero y recursos en openbsd.