#0 Parece buen artículo. Le seguiré echando un vistazo ahora cuando pueda.

edito: me extraña muchísimo que haya una puerta trasera puesta ahí a posta pero luego lo miro

Relacionada: www.meneame.net/story/linux-pudo-haber-incluido-generador-numeros-alea (aunque Linus lo desmontó).


#4 una backdoor por definición "está escondida". Aunque me causa duda el marco temporal de lo que se cuenta.

A ver, tengo una duda, el backdoor/malware en si no estaba "escondido", sino que lo detectaron en 2013, lo que pasa que no habían podido saber como se usaba porque necesitaba una key que no se publicó hasta varios años después, ¿es correcto?, y luego aparte que lo relacionaron con la NSA, pero eso no es que el malware estuviera "escondido"

#2 no es que el backdoor esté en el propio sistema, es un virus simplemente, si te lo meten por el medio que sea, ya tienes esa puerta trasera abierta

#3 si, con "escondido" me refiero a que no se conociera

Veamos:

# whois pangulab.cn   
Domain Name: pangulab.cn
ROID: 20220216s10001s46651810-cn
Domain Status: ok
Registrant: 北京奇安盘古实验室科技有限公司
Registrant Contact Email: its@qianxin.com
Sponsoring Registrar: 阿里云计算有限公司（万网）
Name Server: dns19.hichina.com
Name Server: dns20.hichina.com
Registration Time: 2022-02-16 12:38:24
Expiration Time: 2023-02-16 12:38:24
DNSSEC: unsigned


Dominio registrado en China hace 9 días

El dominio de contacto pertenece a qianxin que es una empresa creada en 2014 que se dedica a ciberseguridad.

Así que en 2013 el grupo detectó una vulnerabilidad pero no informa hasta 9 años después creando una página ad-hoc sin ninguna otra información.

Pues puede ser posible, pero es que no dice en que parte de la "Plataforma Linux" encontraron la vulnerabilidad, ni publica el código de la misma ni nada.

Yo voto negativa hasta que no hay más información.

No puede ser! Si el software libre es inherentemente seguro! La NSA solo afecta a Windows, que lo he leído en hispalinux

Apple con esto siempre va de cara, sus backdoors son los iphone

#7 Efectivamente información no contrastada, voto bulo.

#8 No te enteras de nada y vienes a hacer chistes de cosas sobre las que no sabes ....¿qué podría salir mal?

#10 Si, el informe resulta un poco extraño, pero puede ser por la barrera del idioma o por falta de experiencia.
También podría ser una especie de falsa bandera de un ATP de los propios chinos, que son muy activos en la guerra ciber.
Yo no lo despreciaría automáticamente. Puede que esté ahí, simplemente no sepamos de quién.

Mi pregunta es, como han podido meter ese codigo ahi, sin que saltara una alarma?

#7 ¿Por qué corres whois como root?

#14 Simplemente pongo # para diferenciar el comando de la respuesta, tengo zsh con powerlevel10k como tema y los prompt salen raros según donde los pongas cuando hago copiar y pegar.

Probablemente deformación profesional, ya que en los tutoriales que escribo, los comandos tienen que ejecutarse como root...

#12 Yo he votado sensacionalista pero no bulo. No puedo afirmar que sea falso, pero tengo 0 pruebas de que sea verdadero además de que el medio tiene 0 credibilidad...

#13 El artículo no aclara nada de nada. ¿en que distribución se introdujo la puerta trasera? ¿se introdujo en en el código fuente? Si es así, ¿en que fichero? ¿en el del código de un driver?

Parece interesante pero, tal y como está redactado, no se puede confirmar ni refutar. ¿Cual es el voto equivalente a "afirmación no científica"?

#14 Cuando estás en el honeypot te la suda todo.

#17 En el PDF está todo explicado, son 56 páginas
www.pangulab.cn/files/The_Bvp47_a_top-tier_backdoor_of_us_nsa_equation

Y hay afectados en España, varias universidades, La UPC, la UB  

#18 Yo corro los whois en mi host, llámame loco.

#7 #10 #12 #16 Varios miembros de Pangu Lab son conocidos por temas de jailbreak en iPhone

La noticia de Pangu Lab ha sido publicada y enlazada en medios como:

thehackernews
thehackernews.com/2022/02/chinese-experts-uncover-details-of.html

bleepingcomputer
www.bleepingcomputer.com/news/security/nsa-linked-bvp47-linux-backdoor

theregister
www.theregister.com/2022/02/23/chinese_nsa_linux/

securityweek
www.securityweek.com/chinese-researchers-detail-linux-backdoor-nsa-lin

aunque si es verdad que algunos afirman que el informe es "confuso" en algunos aspectos:
twitter.com/netresec/status/1496516551805128704
twitter.com/matthew_d_green/status/1496626753934090247

#16 Si tienes cero pruebas o ni siquiera entiendes de lo que habla pa que votas nada?

#15 ¡powerlevel10k es genial!

#22 Porque no me ofrecen nada para contrastar la noticia y el medio donde lo publican es cuanto menos..... sospechoso. Oye, si tienes el código fuente de la puerta trasera o alguna otra fuente primaria pues no tengo problemas en reconocer mi error....

#21 Vamos a ver, me estás enlazando noticias que ponen como fuente primaria a la noticia original que como ya he dicho, ha sido creada hace menos de dos semanas atrás y no tiene ninguna otra noticia, sólo esa, y se supone que encontraron esa puerta trasera hace ya 9 años...

Si fuera una noticia de un grupo de hackers activo, con historia detrás o de un medio al menos veterano como unaaldia.hispasec.com/, pues le daría una oportunidad y la daría como válida mientras que otra fuente no me demostrara lo contrario.

Por ahora mantengo mi voto de sensacionalista, hasta que alguien aporte más información....

#19 Lo he leído. Salvo que se me haya pasado, no explica como se introdujo en las máquinas afectadas ni que distribución ejecutaban.

#19 Pues le he dado un vistazo por encima y lo que leo no tiene mucho sentido....

Página 4 habla del archivo /usr/bin/modload como responsable de la puerta trasera.

Que yo sepa, hay dos comandos en Linux para cargar módulos en el kernel, insmod y modprobe, no hay modload al menos en las distribuciones que uso a diario. Puede ser que exista ese comando en alguna distribución que yo no use o que estuviera allí haciéndose pasar por un binario que no despertase sospechas o bien puede ser que estuviesen usando una distribución BSD o Unix que sí que tienen ese comando, pero dado que hace un par de años que no compilo un kernel igual estoy equivocado, pero el documento no aclara demasiado.

#27 Creo que está relacionado con Solaris . Yo tampoco he visto el modload en ningúna distribución linux de las que haya tocado nunca, al menos con hardware basado en arquitectura x86 o x86-64.

Yo tampoco lo he visto fuera de BSD... pero he encontrado que en una web de soporte de Centos, resolviendo un problema con rsyslog... en el archivo de configuración /etc/rsyslog.conf aparece ese comando cargando módulos para proveer acceso a systemd y journald :
forums.centos.org/viewtopic.php?t=64288

Hace muchos años que no uso Red Hat ni otras distribuciones con paquetería RPM, y no recuerdo si estaba ese comando... yo siempre usaba lsmod, insmod, rmmod, momdprobe y depmod.

#25 Yo simplemente no creo que BleepingComputer o TheHackerNews publiquen noticias falsas o sensacionalistas, o del primer sitio web chino que vean.....

Entiendo que si han publicado la noticia es porque el grupo Chino Pangu Team es bien conocido por crear herramientas jailbreak para el iPhone, desde hace ya muchos años (al menos desde 2014)
en.wikipedia.org/wiki/Pangu_Team

UnaAlDia de Hispasec publica muchísimas noticias de BleepingComputer y THN (TheHackerNews), pero muchas, muchas.

#30 No parecen que sea el mismo. En la Wikipedia el grupo que mencionas se llama 盘古越狱团队 o "Equipo Pangu de escape de la Prisión" mientras que el grupo que se menciona el artículo se llama 盘古实验室 "Laboratorio Pangu" como se puede ver en su página de presentación, pero sólo visible en la versión en Chino [1] donde mencionan que el grupo fue creado en 2022 y abajo ponen lo que parecen ser ofertas de trabajo..... creo, mi chino no da para más...

No sería la primera vez que un medio "serio" la caga hablando de algo proveniente de China, y que se la hayan creído precisamente por el parecido en el nombre, siendo dos equipos totalmente distintos

[1] www.pangulab.cn/post/founded-text/

#29 Lo que mencionas es una macro dentro del binario de rsyslog para cargar módulos y no un binario en sí como indica el PDF que se enlaza por lo que no creo que sea eso...

#27 OpenBSD no tiene soporte de módulos y se cargaron la compat_linux hace eones para evitar más problemas.

Si quieres quitar soporte de hw toca editar el kernel con "config" y guardar los cambios, preferiblemente en otra imagen de kernel. (config -e /bsd -o /bsd.nuevo).

#19 Convierte ese PDF a DJVU por si acaso.