Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
abril
(Total:
123
)
- Reino Unido prohíbe vender dispositivos inteligent...
- Infostealers: malware que roba información
- Vulnerabilidades Zero-Day en firewalls Cisco ASA
- Volkswagen hackeada: roban 19.000 documentos del s...
- Vulnerabilidad grave en GNU C Library (glibc) de 2...
- TikTok dejará de pagar a sus usuarios para evitar ...
- Windows 11 empieza a mostrar anuncios en el menú d...
- El malware RedLine Stealer abusa de repos de Githu...
- ¿Qué es el eSIM swapping?
- Ransomware en México
- Crean un perro robot con lanzallamas
- PartedMagic, Rescatux, SystemRescueCD, distros Lin...
- TikTok podrá clonar tu voz con inteligencia artifi...
- Ex director de ciber política de la Casa Blanca ta...
- Nuevo Chromecast 4K con Google TV
- Europa abre una investigación contra TikTok por su...
- El senado de Estados Unidos vota contra TikTok, so...
- El fabricante de tu móvil estará obligado a arregl...
- Procesadores de Intel Core i9 13-14th pierden hast...
- Vulnerabilidad crítica en VirtualBox para Windows
- Estados Unidos ha librado una batalla aérea simula...
- La Policía Europea (Europol) quiere eliminar el ci...
- Bruselas amenaza con suspender la nueva versión de...
- La Audiencia Nacional de España niega a EEUU una e...
- Desarrollan en Japón inteligencia artificial que p...
- ¿Cómo se cuelan las aplicaciones maliciosas en la ...
- Telefónica cierra todas sus centrales de cobre y E...
- Configurar correo electrónico aún más seguro con A...
- Samsung aumenta la jornada laboral a 6 días para “...
- LaLiga pide imputar a directivos de Apple, Google ...
- Windows 11 le daría la espalda a Intel y AMD con s...
- Desmantelada la plataforma de phishing LabHost
- Microsoft Office 2016 y 2019 sin soporte a partir ...
- Blackmagic Camera, la app para Android para grabar...
- Apple permite instalar aplicaciones para iOS como ...
- Filtrados casi 6 millones de archivos con fotos de...
- Versión con malware de Notepad++
- PuTTY corrige una vulnerabilida en el uso de clave...
- 54 mil millones de cookies robadas
- Cómo detectar la autenticidad de fotografías y vídeos
- CISA presenta su sistema de análisis de malware
- Un ciberataque deja al descubierto los datos perso...
- La única persona que se conecta a Steam en la Antá...
- DiskMantler: así es «el destructor de discos duros...
- ¿Qué es el PPPoE (Protocolo Punto a Punto over Eth...
- ¿Qué es POE? ¿Cuáles son las diferencias entre POE...
- IPsec Passthrough y VPN Passthrough
- La gran pregunta del mundo del gaming: ¿Los juegos...
- Cómo cambiar el puerto por defecto 3389 de RDP
- Inteligencia artificial Grok usa protocolo Torrent...
- Cómo instalar programas o reinstalar Windows con W...
- Intel descataloga por sorpresa los chips Core de 1...
- El fabricante de accesorios Targus interrumpe sus ...
- Filtran base con datos personales de 5.1 millones ...
- Hollywood carga contra la piratería y propone una ...
- Google Fotos revela que el Borrador Mágico será un...
- Empleado de Microsoft expone un servidor sin contr...
- Cómo configurar un proxy o VPN para Telegram
- Sierra Space quiere entregar suministros bélicos d...
- El PSG reconoce un ciberataque contra su sistema d...
- Descubiertas varias vulnerabilidades de seguridad ...
- P4x: el hacker justiciero que tumbó internet en Co...
- Amazon consigue cerrar un canal de Telegram que pr...
- Elon Musk cree que la IA superará a la inteligenci...
- Ciberdelincuentes chinos usan la IA generativa par...
- Estos son todos los datos que recopila ChatGPT cad...
- Ofrecen 30 millones de dólares por encontrar explo...
- Se busca director para la Agencia Española de Supe...
- Find My Device de Android permite "Encontrar mi di...
- Google resenta Axion, su primer procesador basado ...
- A la venta por 10.000$ base de datos con de 39,8 m...
- Despedido el CEO de la productora de 'Got Talent' ...
- Spotify presenta AI Playlist: crea listas de repro...
- Elon Musk contra un juez de Brasil por el bloqueo ...
- OpenAI usó videos robados de YouTube para entrenar...
- Apple firma con Shutterstock un acuerdo de entre 2...
- MTA-STS: Strict Transport Security
- Si coges el metro en San Francisco, es gracias a u...
- La app de control parental KidSecurity expone dato...
- Stability AI en crisis tras incumplir pagos a prov...
- Tu número de móvil podría valer 14.000 euros: así ...
- Vulnerabilidad crítica de Magento permite robar da...
- Los atacantes que hackearon el Consorcio Regional ...
- Cómo se forjó el backdoor en xz (librería Linux)
- Cómo saber cuándo pasará el coche de Google Street...
- Dos hermanos se han hecho millonarios desarrolland...
- El Gobierno de España encarga a IBM crear un model...
- Google tiene la solución al gran problema del JPEG...
- Twitter regala verificaciones azules a cuentas que...
- La trampa de los cursos para aprender a programar ...
- Android 15 permitirá tener un espacio privado para...
- Google limitará los bloqueadores de anuncios en Ch...
- Microsoft bloqueará las actualizaciones de Windows...
- YouTube lanza una advertencia a OpenAI: usar sus v...
- Patente busca inyectar anuncios por HDMI cuando ju...
- Apple, cerca de sufrir escasez de chips por culpa ...
- La Guardia Civil detiene a un pasajero que extravi...
- Un estado alemán se aleja de Microsoft y usará Lin...
- Todo lo que necesitas saber sobre las VLANs en redes
- Documentos judiciales revelan que Facebook permiti...
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Cómo se forjó el backdoor en xz (librería Linux)
La semana pasada, Andres Freund —un desarrollador alemán de 38 años que trabaja para Microsoft— decidió probar en su ordenador las últimas versiones de algunas librerías de Linux. Un auténtico tostón para la mayoría de los mortales, pero rutinario para Andres, uno de los principales contribuidores de la base de datos open source Postgres.
Pero los resultados de esas pruebas fueron todo menos rutinarios. Andres observó que el proceso SSH —con el que se puede acceder y ejecutar comandos en una máquina de forma remota— estaba tardando medio segundo más en ejecutarse. Medio.
Muchos técnicos habríamos obviado ese pequeño detalle —hace mucho tiempo que los ordenadores alcanzaron tal nivel de potencia como para que pudiéramos dejar de prestar atención a la optimización de nuestro código y concentrarnos en «cosas más importantes», como añadir capa de abstracción tras capa de abstracción hasta alejar por completo ese código del hardware que lo ejecuta—, pero no Andres, un auténtico oldskooler para el que medio segundo más de tiempo de procesamiento es una auténtica eternidad.
Andres recordó que, durante el vuelo de vuelta a casa después de visitar a sus padres por Navidad, encontró unos cuantos mensajes de error de SSH que no reconocía en un registro de pruebas automatizadas. En ese momento no le dio importancia, pero ahora tenía curiosidad por ver si estaban relacionados con esa bajada de rendimiento.
Trazó el origen de los mismos a las últimas actualizaciones de XZ Utils, una librería de compresión de datos que poco o nada tiene que ver con SSH. Al bucear en el código de esas actualizaciones, descubrió un código malicioso que instalaba una «puerta trasera» y permitía a su creador usar el mecanismo de autenticación de SSH para ejecutar cualquier programa en la máquina infectada sin ninguna restricción.
Afortunadamente, esas actualizaciones de XZ solo se habían incorporado a versiones de prueba de algunas distribuciones de Linux que aún no habían sido certificadas como aptas para pasar a producción, pero si a Andres no le hubiera dado por investigar qué estaba robándole medio segundo de su CPU, «los malos» podrían haber accedido a cualquier servidor Linux que se actualizara a una versión que contuviera la puerta trasera. Para ser conscientes de la magnitud del potencial desastre, basta recordar que el 96,3% del millón de servidores web con más tráfico en Internet usa Linux.
Pero este no es otro intento más de hackear servidores remotos, no ya por su sofisticada implementación y los enormes esfuerzos por ocultarlo sino por algo nunca visto hasta ahora: para tener la oportunidad de incluirlo en el código que se distribuye con Linux, el hacker estuvo ganándose la confianza de la Comunidad open source durante dos años, haciendo más de 6.000 contribuciones a la misma… hasta explotar sus debilidades.
Y es que, como tantas otras utilidades de software libre, aunque XZ es utilizado por millones de empresas de todo tipo, básicamente es mantenido de forma altruista por un único desarrollador, Lasse Collins. Y aquí es donde todo empieza a entrar en un terreno oscuro y perturbador.
Entre 2005 y 2008, Lasse —con ayuda de otros programadores— lanza el formato de fichero .xz que emplea el algoritmo LZMA para comprimir ficheros hasta un 70% más que gzip.
Con el tiempo, el formato se populariza y es ampliamente utilizado para comprimir y distribuir software como, por ejemplo, distintas distribuciones de Linux. Sin embargo, detrás del mismo sigue estando —fundamentalmente— Lasse.
A finales de 2021, 13 años después, aparece en escena un tal Jin Tan que empieza a enviar parches y mejoras a la lista de correo de XZ. En febrero de 2022, Collins incluye por primera vez en la librería código creado por Tan. A mediados de año, Jin Tan envía otro parche y otros supuestos desarrolladores —como «Jigar Kumar» o «Dennis Ens»— entran en acción y reprochan a Lasse su lentitud a la hora de incorporar código de terceros y evolucionar el software, «patches spend years on this mailing list. There is no reason to think anything is coming soon».
Collins se disculpó, explicando que hacía lo que podía para responder todos los correos que le llegaban, y apunta que —quizás— Jin Tan deberí asumir un rol más importante en el desarrollo de XZ.
Los supuestos desarrolladores siguieron presionando a Lasse para que diera permisos de mantenimiento a más personas e incluso le amenazaron sutilmente con crear un fork de su software, una copia que evolucione de forma independiente. «Progress will not happen until there is new maintainer […] you are better off waiting until new maintainer happens or fork yourself. Submitting patches here has no purpose these days. The current maintainer lost interest or doesn't care to maintain anymore. It is sad to see for a repo like this».
Lasse replica que no ha perdido el interés, pero que su capacidad para gestionar la librería es limitada debido a sus «problemas mentales» y recuerda que el proyecto no está remunerado.
Aunque sigue incorporando más y más parches de Tan, la presión no disminuye: «I am sorry about your mental health issues, but its important to be aware of your own limits. I get that this is a hobby project for all contributors, but the community desires more. Why not pass on maintainership for XZ for C so you can give XZ for Java more attention?».
Finalmente, Lasse claudica y da permisos de mantenimiento a Jin Tan a finales de 2022. En marzo de 2023 Tan publica la versión 5.4.2, la primera de la que se hace responsable. En junio de ese mismo año, un tal Hans Jansen envío un par de parches con optimizaciones que, sin ser malas por sí mismas, fueron cruciales para poder cargar el código malicioso posteriormente.
En febrero de 2024, Tan incorpora la puerta trasera como un fichero de testing más a la versión 5.6.0 de la librería y empieza a presionar a los líderes de distintas distribuciones de Linux para que la incluyan lo antes posible porque «soluciona errores y problemas de rendimiento». Si no hubiera sido por la intervención de Andres, lo habrían logrado.
No hay ningún rastro más de Jansen en Internet excepto un correo más, enviado en 2024, en el que se sumaba a la petición de Tan para que la versión infectada de XZ se incorporara lo antes posible a las nuevas distribuciones de Linux. Investigaciones posteriores tampoco han podido demostrar que Kumar o Ens —ni mucho menos Tan— sean identidades reales.
Puede que detrás de todo esto «solo» haya un grupo de hackers, pero el nivel técnico requerido para crear parches de una librería open source, la sofisticación de la puerta trasera y —sobre todo— la paciencia necesaria para invertir DOS AÑOS en ganar la confianza del desarrollador original para poder incluirla en su código, es algo inaudito. Tanto, que muchos miembros de la Comunidad de ciberseguridad sospechan que detrás solo puede estar algún estado con capacidad de ciberataque, como China, Rusia o Estados Unidos.
Fuentes:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.