En este marco, la Fundación OpenJS ha dado a conocer un intento fallido de adquisición creíble que se llevó a cabo recientemente y que fue interceptado por la propia organización, en el que se pretendía engañar al Consejo de Proyectos Cruzados de la Fundación OpenJS. En esta ocasión, los ciberdelincuentes enviaron una serie de correos electrónicos sospechosos con mensajes similares, aunque con nombres distintos y desde direcciones de correos electrónicos superpuestos asociados a GitHub.
|
etiquetas: código abierto , xz utils , puertas traseras , ingeniería social
" un actor malicioso consiguió insertar una puerta trasera "
" intento fallido de adquisición creíble"
"Consejo de Proyectos Cruzados de la Fundación OpenJS"
-Somos los cruzados del consejo y venimos a morir por un lenguaje pobremente tipado.
Luego, el "código fuente intencionalmente ofuscado o difícil de entender" lo podemos encontrar incluso en los javascripts de algunas de las webs, códigos que aunque teóricamente abiertos no son sencillos de interpretar.
De Richard Stallman (actualizado el 1/1/2024): www.gnu.org/philosophy/javascript-trap.es.html
"Algunos sitios continúan usando JavaScript de esa manera, pero muchos lo usan para programas mayores que realizan operaciones importantes. Por ejemplo, Google Docs trata de instalar en el navegador del usuario un programa JavaScript de medio megabyte y tan compactado que podríamos llamarlo «Obscurscript». Esta forma compactada está hecha a partir del código fuente, del que se borran los espacios que hacen el código legible y las observaciones explicativas que lo hacen comprensible, y se sustituyen los nombres significativos que aparecen en el código con nombres cortos arbitrarios, de modo que no hay forma de saber lo que significan."
Lo que pienso se debería hacer es abrir una investigación directamente a las personas que liberan estas prácticas maliciosas en el código. Lo único que yo encuentro no es sólo tratar de vulnerar el software sino además el propio modelo de fuente abierta o incluso el software libre que tan buenos resultados ofrece al tratarse sobretodo en una ética difícilmente comprendida sino rechazada por el neoliberalismo.
Un tipo haciendo contribuciones inocentes y bastante correctas hasta que nos intenta colar un SQL injection de lo mas sutil.
Sospechamos cuando le pedimos varias veces que lo cubriese con un test y el tipo empezó a escaquear. Alguien más listo que los demás se miró el código con atención y vio la vulnerabilidad, que era muy, muy sutil.
Desde luego, espero que hayan dejado un buen poso de gente que sabe casi tanto como ellos, porque sinó será un cristo.
Por suerte creó escuela y alguien seguirá.
No hace falta publicitarlo, porque se ve.
Si se dedicase exclusivamente a xz y estuviese bien pagado sin duda estaría menos cansado y sería menos vulnerable. Si además le agregas un compañero de trabajo avalado por la fundación o algún ente responsable y reconocido, entonces este tipo de ataques debería ser más difícil.
Igual te crees que por ser dedicadas no te la van a clavar. Lo hacen con mucha más frecuencia, y con nula capacidad de defenderte.
<<Nosotlos no hemos sido>> y añadió: <<Tenemos pluebas que indican que nosotlos no hemos sido>>
.