Imagina que te llamas Andrés Freund y trabajas para Microsoft. Mientras realizas tareas de actualización "sientes" que el acceso SSH a determinados servidores con Debian Sid "de repente" es un poquito más lento y que tira algunos errores no esperados. Cuando investigas más a fondo te das cuenta de que el repositorio upstream de la librería XZ contiene UN BACKDOOR. Pero... WTF! ¿Qué está pasando? ¡Esto es MUY GRAVE! Así que una vez recopilas toda la información, lo publicas en una lista de correo de seclist.org y… ¡Lo demás ya es historia!
|
etiquetas: ciberseguridad , malware , xzutils
Pero por lo que parece en este caso se han dado cuenta a tiempo pero esto hace dudar del sistema de "colaboración" de desarrollo open source en general ya que parece que alguien tiene a sueldo "colaboradores" que no solo están para aportar "altruistamente" y tienen sus propios propósitos...
Aunque eso implicaria auditar a fondo cada distribución o usar alguna tipo Gentoo que compila todo en local y ya se que requiere muchísimo tiempo pero poder, puedes
Cc/ #7
Windows tiene una puerta a la que pueden picar organismos como la NSA y amenazar con prisión acusados de traición si no ponen las puertas traseras que les demandan, que pueden distribuirse de forma generalizada o personalizada. Tu Windows en casa puede recibir una actualización de Windows Update automática, silenciosa, que no se bloquea con opciones del… » ver todo el comentario
Comparar la seguridad en Windows y en Linux en base a que alguien haya metido un archivo malicioso en un repositorio, es como decir que Windows es inseguro porque un hacker se ha colado en Microsoft y a metido un archivo malicioso en Win32.
La seguridad que ha fallado y donde están los problemas de confianza es en el uso de los repositorios y eso va mas allá del sistema operativo, afecta a Windows, Linux, las aplicaciones y cualquier sistema que use repositorios.
Si quieres hablar de seguridad en sistemas operativos, solo tienes que ver como gestiona uno y otro los permisos o los movimientos de archivos.
Y que ahora ni Cristo se fía de lo que haya hecho desde que se unió al proyecto, así que toca revisar absolutamente todo desde ese momento