Un atacante desconocido ha conseguido crear y desplegar un proceso automatizado que bifurca y clona repositorios existentes, añadiendo su propio código malicioso oculto bajo siete capas de ofuscación (vía Ars Technica). Estos repositorios falsos son difíciles de distinguir de sus homólogos legítimos, y algunos usuarios que desconocen la naturaleza maliciosa del código están bifurcando ellos mismos los repositorios afectados, aumentando involuntariamente la escala del ataque.
|
etiquetas: github , ataque , código malicioso , informática
Por comodidad de los desarrolladores que lo ven todo desde su mundo de Yupi, tenemos aplicaciones que se podrán escribir en 100 líneas sin , escritas en 20 pero con cientos de dependencias.
Porque? Porque solo miramos lo que tenemos inmediatamente delante de la nariz, y exclamamos -oh cielos, que código más elegante!- sin que importe lo más mínimo toda la basura que pueda haber… » ver todo el comentario
#41 Tiene toda la razon.
El problema será Copilot y marmolillos preguntando a ChatGPT sin saber que hace el codigo de un programa, libreria o script.
Por cierto no se que tiene que ver chatgpt con copilot y con ataques que hacen forks de repos. Que todo lleva ai?
2) Preparate para futuras demandas como parte de tu codigo pertenezca a codigo BSD sin mencionar el origen o GPL/LGPL sin respetar licencias.
Puedes desplegar un clúster de kuberntes en aws EKS, meter una aplicación llena de dependencias.
Eso será muy efectivo los primeros a o 4 meses. Entonces el chavo al que le otorgan la explotación del servicio depende de as para casi el 100% de la infraestructura y tienes millones de dependencias con las que lidiar cuando haya actualizaciones. Y las hay constantemente.
Es MUCHO mejor a largo plazo, y más rentable, trabajar en una base solida que… » ver todo el comentario
Muchos me acusaron de que haciendo las cosas yo eran más inseguras. Aún no he sufrido nada por ello, y no es porque los sistemas los usen cuatro… » ver todo el comentario
Creo que es fácil caer en la tentación de pensar que lo que no entendemos está mal y que nosotros lo hacemos mejor pero hay mucha gente muy muy buena por ahi y de hecho creo que la mayoría de librerías conocidas estan mantenidas por gente muy capaz.
Se supone que cuanto más se usa esa librería más se revisará el código para estar al día de actualizaciones y problemas nuevos que surgen, pero la realidad es que gran parte del código es normal, y no estará más desactualizado de lo que pueda estar el código de cualquiera.
Todo esto unido a que cualquier dependencia te obliga a estar atento… » ver todo el comentario
Creo que tengo una experiencia bastante dilatada y variada, y sé por qué dices lo que dices, no eres el primero ni serás el último, pero creo que ganarías más pensando un poco sobre lo que exponemos varios de los compañeros, en lugar de ser tan… » ver todo el comentario
1. Una vez que casi todo esté en "la nube". Aws, azure y demás nos subirán los precios (Pero no lo suficiente para que salga la cuenta migrar a soluciones self hosted)
2. El pais dónde esta tu empresa deja de ser amigo de USA y te bloquean el acceso a github, aws, azure, etc
3. Ataque nuclear parcial, donde los principales objetivos son los datacenters de aws, azure, etc donde están desplegadas tus aplicaciones, datos, y sus backups
Justamente parte de los argumentos que uso con mis clientes para usar soluciones híbridas y poner prácticamente todo dentro del paquete entregable, en la forma que sea, kuberntes, contenedores, maquinas virtuales, etc.
El momento que usas más servicios de los que te daría de forma nativa una DC, estás en sus manos.
Los tres escenarios son posibles, el 1 ya se da y el 2, bueno, tenemos la razón por la cuál existe Alibaba.
Al escenario 3 me suelo referir como guerra regional que llega a incapacitar la infraestructura de la región.
Pero bueno si hay una guerra nuclear probablemente la aplicación será lo de menos...
En resumen, aplicaciones que podrían ocupar 100 líneas, ocupando 1000.
Me fascina como en esta industria en la que se supone que tenemos grandes mentes pensantes hay tanta dejadez.
Me recuerdas a los Devs de ux de los proyectos en los que trabajo.
Centro del universo.
Mientras no suplanté también los repos de npm, maven, etc…
Es un problema serio
guix.gnu.org/es/
nouveau.freedesktop.org/VideoAcceleration.html
ryf.fsf.org/products/Talos-II-lite-Mainboard
Cara la Talos? Si, pero un thinkpad de GNU es relativamente barato y permite hacer muchisimas cosas con menos recursos de lo que piden otros sistemas. Un Guix con XFCE es perfectamente usable.
Guix es compleja? Ok, pero si trabajas en ciencia o entornos sensibles, tu entorno ha de ser 100% reproducible.
OpenSSL es un software ajeno a Linux. Es como si incluyes las vulnerabilidades de Photoshop como vulnerabilidades de Windows
Y navegando contra un servidor con el OpenSSL vulnerable sería vulnerable tu edge en Windows
Ojala mas gente usase Guix, toda la instalacion y construccion se 'certifica' para que sea clonable por entero en cualquier maquina en identica salida.
En particular, ninguno de los navegadores más habituales en Linux (Firefox y Chrome) hacen uso de OpenSSL. La aplicación más común que sí usaba OpenSSL y sí emplea hearthbeat es SSH, y sólo supone un… » ver todo el comentario
No me vengáis con películas que el hilo iba de otra cosa y sólo puse un ejemplo de vulnerabilidad crítica. CC #46
security-tracker.debian.org/tracker/status/release/stable
Es mas, si haces click en el paquete ves que muchos tienen el bug resuelto.
Cierro que entramos en bucle.
Pero yo no uso Debian, uso Hyperbola GNU con Dillo, Edbrowse, sacc para gopher, gplaces para Gemini, a veces Links y Iceweasel-UXP con Ublock Origin Legacy para emergencias. Pocos problemas tendre yo con el JS y/o anuncios, tengo hasta archivos de hosts con unos 200.000 dominios bloqueados. Pero para comentar en MNM via edbrowse me sobra.
Sobre el problema de Github, si el unico problema es meter un binario Win32 en vez del repo, pues cojonudo. La mayoria de devs hara caso omiso.
Multiple security issues were discovered in Chromium, which could result
in the execution of arbitrary code, denial of service or information
disclosure.
Pero como yo uso Windows, no tengo ese problema.
edbrowse.org
Y no troleo como dice #8, con quickjs se puede comentar perfectamente desde un netbook.
www.tenable.com/plugins/nessus/191442
The version of Microsoft Edge installed on the remote Windows host is prior to 122.0.2365.63. It is, therefore, affected by multiple vulnerabilities as referenced in the February 29, 2024 advisory.
- Type Confusion in V8 in Google Chrome prior to 122.0.6261.94 allowed a remote attacker to potentially exploit object corruption via a crafted HTML page. (Chromium security severity: High) (CVE-2024-1938)
- Type Confusion in V8 in Google Chrome prior to 122.0.6261.94 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) (CVE-2024-1939)
A ver si este año me instalo el Linux en mi escritorio
En la wikipedia indica que afecta tanto a cliente como a servidor, e informa de que no afectaba a implementaciones TLS distintas a la de openssl, como por ejemplo la de Windows (que sí, que hay BSD, FortiOS, y miles de SO).
Por tanto, su máquina Debian, la que nos ocupa en este caso, de existir y ser usada en ese momento (de 2012 a 2014), podría ser vulnerable navegando contra un servidor malicioso.
Al final puede que un desarrollador cuele código malicioso en los repos de Debían sin querer