Imagina que te llamas Andrés Freund y trabajas para Microsoft. Mientras realizas tareas de actualización "sientes" que el acceso SSH a determinados servidores con Debian Sid "de repente" es un poquito más lento y que tira algunos errores no esperados. Cuando investigas más a fondo te das cuenta de que el repositorio upstream de la librería XZ contiene UN BACKDOOR. Pero... WTF! ¿Qué está pasando? ¡Esto es MUY GRAVE! Así que una vez recopilas toda la información, lo publicas en una lista de correo de seclist.org y… ¡Lo demás ya es historia!
|
etiquetas: ciberseguridad , malware , xzutils
Y que ahora ni Cristo se fía de lo que haya hecho desde que se unió al proyecto, así que toca revisar absolutamente todo desde ese momento
Pero por lo que parece en este caso se han dado cuenta a tiempo pero esto hace dudar del sistema de "colaboración" de desarrollo open source en general ya que parece que alguien tiene a sueldo "colaboradores" que no solo están para aportar "altruistamente" y tienen sus propios propósitos...
Fui por ejemplo uno de los afectados cuendo el servidor de Linux Mint distribuyó versiones infectadas. Hay tantas distribuciones, tantas versiones, tantos repositorios, tanto de todo en pos de la libertad y transparencia, que me parece que es dificil de controlar la seguridad (o no habría pasado esto del XZ). Linux no es más seguro que Windows, ambos son inseguros, pero al menos con Windows, me parece que hay que vigilar sólo una puerta. Para un cuadriculado como yo, Linux me inspira intranquilidad, imagino que os echaréis encima mia.
Como sistema principal uso Windows, pero intentando usar todo el software libre posible sobre él, y ajustando al dedillo la configuración, para intentar que no haga más de lo que debe.
Está claro que cobró y no poco para dedicar dos años al trabajillo, hay muchos candidatos para la financiación.
Windows tiene una puerta a la que pueden picar organismos como la NSA y amenazar con prisión acusados de traición si no ponen las puertas traseras que les demandan, que pueden distribuirse de forma generalizada o personalizada. Tu Windows en casa puede recibir una actualización de Windows Update automática, silenciosa, que no se bloquea con opciones del panel de control (salvo desactivando Internet en configuración de red, quizá) y que como solo recibirías tú pasaría desapercibida por todas las medidas de seguridad de terceros.
Marissa Mayer (CEO de Yahoo): "No cumplir con las solicitudes de la NSA es traición"
www.meneame.net/story/marissa-mayer-no-cumplir-solicitudes-nsa-traicio
El FBI amenaza con arrestar al fundador de Lavabit por cerrar el servicio [ENG]
www.meneame.net/story/fbi-amenaza-arrestar-fundador-lavabit-cerrar-ser
Comparar la seguridad en Windows y en Linux en base a que alguien haya metido un archivo malicioso en un repositorio, es como decir que Windows es inseguro porque un hacker se ha colado en Microsoft y a metido un archivo malicioso en Win32.
La seguridad que ha fallado y donde están los problemas de confianza es en el uso de los repositorios y eso va mas allá del sistema operativo, afecta a Windows, Linux, las aplicaciones y cualquier sistema que use repositorios.
Si quieres hablar de seguridad en sistemas operativos, solo tienes que ver como gestiona uno y otro los permisos o los movimientos de archivos.
Aunque eso implicaria auditar a fondo cada distribución o usar alguna tipo Gentoo que compila todo en local y ya se que requiere muchísimo tiempo pero poder, puedes