Un codificador anónimo casi piratea una gran parte de Internet. ¿Qué tan preocupante es?

El intento de pirateo de XZ Utils aprovechó la forma en que suele funcionar el desarrollo de software de código abierto.

Canberra:

Fuera del mundo del software de código abierto, es probable que pocas personas hayan oído hablar de XZ Utils, una herramienta pequeña pero ampliamente utilizada para la compresión de datos en sistemas Linux. Pero finales de la semana pasadalos expertos en seguridad descubrieron una falla grave y deliberada que podría dejar a las computadoras Linux en red susceptibles a ataques maliciosos.

Desde entonces, se ha confirmado que la falla es un problema crítico que podría permitir que un hacker experto obtenga control sobre sistemas Linux vulnerables. Debido a que Linux se usa en todo el mundo en servidores web y de correo electrónico y plataformas de aplicaciones, esta vulnerabilidad podría haberle dado al atacante acceso silencioso a información vital almacenada en computadoras en todo el mundo, incluido potencialmente el dispositivo que está usando en este momento para leer esto.

Principales vulnerabilidades de software, como el truco de SolarWinds y El error Heartbleedno son nada nuevo, pero éste es muy diferente.

El intento de pirateo de XZ Utils aprovechó la forma en que suele funcionar el desarrollo de software de código abierto. Como muchos proyectos de código abierto, XZ Utils es una herramienta crucial y ampliamente utilizada, y su mantenimiento lo realiza en gran medida un único voluntario que trabaja en su tiempo libre. Este sistema ha creado enormes beneficios para el mundo en forma de software libre, pero también conlleva riesgos únicos.

Código abierto y utilidades XZ

En primer lugar, un breve repaso sobre el software de código abierto. La mayoría del software comercial, como el sistema operativo Windows o la aplicación Instagram, es de “código cerrado”, lo que significa que nadie excepto sus creadores puede leer o modificar el código fuente. Por el contrario, con el software de “fuente abierta”, el código fuente está disponible abiertamente y las personas son libres de hacer lo que quieran con él.

El software de código abierto es muy común, particularmente en los aspectos prácticos del software que los consumidores no ven, y es enormemente valioso. Uno estudio reciente estimó el valor total del software de código abierto que se utiliza hoy en día en 8,8 billones de dólares.

leer más  Marvel Games y Bethesda revelan el juego Blade

Hasta hace unos dos años, el proyecto XZ Utils estaba a cargo de un desarrollador llamado Lasse Collin. Alrededor de ese tiempouna cuenta que utiliza el nombre Jia Tan presentó una mejora en el software.

No mucho después, aparecieron algunas cuentas previamente desconocidas para informar errores y enviar solicitudes de funciones a Collin, presionándolo para que contratara un ayudante para mantener el proyecto. Jia Tan era el candidato lógico.

Durante los próximos dos añosJia Tan se involucró cada vez más y, como ahora sabemos, introdujo un arma cuidadosamente oculta en el código fuente del software.

El código revisado altera en secreto otra pieza de software, una omnipresente herramienta de seguridad de red llamada OpenSSH, para que pase código malicioso a un sistema de destino. Como resultado, un intruso específico podrá ejecutar cualquier código que desee en la máquina de destino.

La última versión de XZ Utils, que contiene la puerta trasera, se incluirá en distribuciones populares de Linux y se implementará en todo el mundo. Sin embargo, se detectó justo a tiempo cuando un ingeniero de Microsoft investigó algunas irregularidades menores en la memoria de su sistema.

Una respuesta rápida

¿Qué significa este incidente para el software de código abierto? Bueno, a pesar de las apariencias iniciales, eso no significa que el software de código abierto sea inseguro, poco confiable o no digno de confianza.

Debido a que todo el código está disponible para el escrutinio público, los desarrolladores de todo el mundo podrían comenzar rápidamente a analizar la puerta trasera y la historia de cómo se implementó. Estos esfuerzos podrían documentarse, distribuirse y compartirse, y los fragmentos de código malicioso específicos podrían identificarse y eliminarse.

Una respuesta a esta escala no habría sido posible con software de código cerrado.

Un atacante tendría que adoptar un enfoque algo diferente para atacar una herramienta de código cerrado, tal vez haciéndose pasar por un empleado de la empresa durante un largo período y explotando las debilidades del sistema de producción de software de código cerrado (como la burocracia, la jerarquía, la presentación de informes poco claros). líneas y pobre intercambio de conocimientos).

leer más  Encuesta semanal: ¿quién gastará dinero en el Honor Magic6 RSR Porsche Design?

Sin embargo, si lograran una puerta trasera de este tipo en el software propietario, no habría posibilidad de realizar una auditoría de código distribuido a gran escala.

Lecciones que aprender

Este caso es una valiosa oportunidad para aprender sobre debilidades y vulnerabilidades de otro tipo.

En primer lugar, demuestra la facilidad con la que las relaciones en línea entre usuarios anónimos y desarrolladores pueden volverse tóxicas. De hecho, el ataque dependía de la normalización de estas interacciones tóxicas.

La parte de ingeniería social del ataque parece haber utilizado cuentas anónimas “sockpuppet” para hacer sentir culpable y coaccionar emocionalmente al responsable de mantenimiento principal a aceptar adiciones de código menores, aparentemente inocuas, durante un período de años, presionándolo para que cediera el control del desarrollo a Jia Tan.

Una cuenta de usuario se quejó:

Ignoras los muchos parches que se están pudriendo en esta lista de correo. Ahora mismo estás ahogando tu repositorio.

Cuando el desarrollador problemas de salud mental declaradosreprendió otra cuenta:

Lamento tus problemas de salud mental, pero es importante ser consciente de tus propios límites.

Individualmente, esos comentarios pueden parecer inofensivos, pero en conjunto se convierten en una multitud.

Necesitamos ayudar a los desarrolladores y mantenedores a comprender mejor los aspectos humanos de la codificación y las relaciones sociales que afectan, sustentan o dictan cómo se produce el código distribuido. Queda mucho trabajo por hacer, particularmente para mejorar el reconocimiento de la importancia de la salud mental.

Una segunda lección es la importancia de reconocer la “ofuscación”, un proceso que los piratas informáticos suelen utilizar para dificultar la comprensión del código y los procesos del software o realizar ingeniería inversa. Muchas universidades no enseñan esto como parte de un curso estándar de ingeniería de software.

En tercer lugar, es posible que algunos sistemas todavía estén ejecutando versiones peligrosas de XZ Utils. Muchos dispositivos inteligentes populares (como refrigeradores, dispositivos portátiles y herramientas de automatización del hogar) se ejecutan en Linux. Estos dispositivos a menudo llegan a una edad en la que ya no es financieramente viable para sus fabricantes actualizar su software, lo que significa que no reciben parches para los agujeros de seguridad recién descubiertos.

leer más  Celebrando el aniversario de la brillantez en las ferias gemelas de joyería

Y finalmente, quienquiera que esté detrás del ataque –algunos especulado puede ser un actor estatal: ha tenido libre acceso a una variedad de bases de código durante un período de dos años, perpetrando un engaño cuidadoso y paciente. Incluso ahora, ese adversario aprenderá de cómo están reaccionando al ataque los administradores de sistemas, los productores de distribuciones de Linux y los mantenedores de bases de código.

¿A dónde vamos desde aquí?

Los mantenedores de códigos de todo el mundo ahora están pensando en sus vulnerabilidades a nivel estratégico y táctico. No sólo se preocuparán por su código en sí, sino también por sus mecanismos de distribución de código y procesos de ensamblaje de software.

Mi colega David Lacey, que dirige la organización de ciberseguridad sin fines de lucro. IDCARE, a menudo me recuerda que la situación que enfrentan los profesionales de la ciberseguridad está bien articulada en una declaración del IRA. Tras el fallido atentado con bomba contra el Brighton Grand Hotel en 1984, la organización terrorista de manera escalofriante reclamado:

Hoy hemos tenido mala suerte, pero recuerda que sólo hay que tener suerte una vez. Tendrás que tener suerte siempre.

(Autor: Sigi GoodeProfesor de Sistemas de Información, Universidad Nacional Australiana)

(Declaración de divulgación: Sigi Goode no trabaja, consulta, posee acciones ni recibe fondos de ninguna empresa u organización que se beneficiaría de este artículo, y no ha revelado afiliaciones relevantes más allá de su nombramiento académico)

Este artículo se republica desde La conversación bajo una licencia Creative Commons. Leer el artículo original.

(A excepción del titular, esta historia no ha sido editada por el personal de NDTV y se publica desde un canal sindicado).

2024-04-05 07:34:31
1712304867
#codificador #anónimo #casi #piratea #una #gran #parte #Internet #Qué #tan #preocupante

Recent News

Tags
a Alemania A nosotros ASIA Autoenfoque CEEU CMPNY delito deporte Deportes EASIA Economía En EN ASIA Estados Unidos Europa Francia funny futsal fútbol americano investigación Israel LO QUE YO manzana MCE MTPIX negocio Noticias NOTICIAS1 Noticias generales Panorama periódico del sur de Alemania policía política porcelana Rusia salud sanish tecnología tipo: historia TOPCMB TOPNWS totolotarias un diario Zapatillas deportivas

Related News

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.