edición general
30 meneos
150 clics
El caso XZ. Dos años planeando colar un backdoor en las distros linux y cómo se detectó por casualidad

El caso XZ. Dos años planeando colar un backdoor en las distros linux y cómo se detectó por casualidad

Copio la descripción del vídeo: Descubre cómo Linux enfrentó una pesadilla brutal cuando un ataque de puerta trasera amenazó su seguridad. En este video, exploraremos el caso xz, una herramienta de compresión, y cómo un intento de infiltración reveló la importancia de la seguridad en el mundo de la programación y la informática

| etiquetas: backdoor , xz , linux , debian , troyano , seguridad
27 3 2 K 137 actualidad
16 comentarios
27 3 2 K 137 actualidad
Comentarios destacados:      
#3 Mustela
#0 No es un vídeo pero aquí explican bien lo mismo: www.meneame.net/m/tecnología/aquilex-como-forjo-backdoor-xz
4 K 40
vazana #1 vazana
La pregunta es: ¿qué otros no se han detectado?
2 K 31
Jesulisto #2 Jesulisto
#1 Eso venía a decir :-(
0 K 13
xkill #5 xkill
#1 pues en el software libre pocos, pues estas salen tarde o temprano. En el software propietario: Windows, OSX, iOS. Ni lo sabemos ni nunca lo sabremos.
3 K 41
#7 Razhan
#5 #6 yo soy muy defensor del software libre (mi trabajo consiste en contribuir a un proyecto de software libre conocido por todos) pero uno de los detalles que han sido críticos en este escenario ha sido el aceptar código de individuos anónimos, una de las pocas ventajas que tiene el software privativo (en mi carrera profesional, según el software que escribía se volvía más crítico, he tenido que pasar más y más controles y revisiones de antecedentes)
5 K 47
Galero #8 Galero
#7 La calidad del código que no se publica suele ser penosa, cuando no nefasta.
1 K 24
#9 Razhan
#8 he visto de todo en ambos escenarios, pero aquí no estamos hablando de calidad sino de un actor malintencionado
2 K 18
Galero #11 Galero
#9 Entra dentro del concepto de Calidad. No sé si estás pensando en código bonito.
0 K 10
#12 Razhan
#11 este caso es realmente excepcional, así que no, dentro del concepto de calidad de código no suelo incluir backdoors insertados por una “persona” que ha invertido años para lograrlo
0 K 7
Galero #13 Galero
#12 Pues deberías, porque esas cosas pasan más de lo que nos imaginamos.
0 K 10
#14 Razhan
#13 cuantos casos más conoces de alguien que se hiciera pasar por un desarrollador legítimo durante años para introducir un backdoor? Ni siquiera un fallo de seguridad tipo heartbleed o log4shell que probablemente no fuera intencionados, sino como este un backdoor inequívoco?
0 K 7
frg #16 frg
#11 Si auditar es un trabajo titánico, a ver como auditas "código feo" ...
0 K 12
frg #15 frg
#5 ¿Pocos? La auditoría de código buscando "pequiños errores" no es nada divertida y casi no existe ee ningún proyecto FOSS.
0 K 12
Galero #6 Galero
#1 Es código abierto, estás a tiempo de darle un repaso.

En Windows y MacOS ni te lo plantees.
2 K 27
#10 TitereConCabeza
El código abierto de hace años no es el de ahora , antes me da la sensación que sí que se auditaba más por la comunidad , ahora todo el mundo “sabe” programar y le gusta “contribuir” y hay muchos proyectos de moda que no sé ni cómo aceptan ciertas PR de código nada óptimo.

Y lo peor es que ese no es el peor escenario como sí que lo es el que nos ocupa , que empieza a ser relativamente fácil inyectar código malicioso en proyectos comunitarios.
0 K 10
DayOfTheTentacle #4 DayOfTheTentacle
Mejor ...
0 K 5
comentarios cerrados

menéame