edición general
76 meneos
1327 clics
Este envío tiene varios votos negativos. Asegúrate antes de menear

Ransomware Ciberataque: El fallo que ha puesto en jaque a todo internet dependía del tiempo libre de un voluntario

Log4Shell lleva días ocupando titulares en todo el mundo, pero la clave está en el origen de la brecha de seguridad: un código desarrollado por un voluntario en su tiempo libre que nadie se había molestado en auditar.

| etiquetas: log4shell , ransomware , ciberataque , internet
61 15 13 K 29 tecnología
43 comentarios
61 15 13 K 29 tecnología
Comentarios destacados:            
  2. #2 --50121--
    #1 lo bonito son los que se aprovechan sin donar ni contribuir, y luego lloran.
    41 K 294
  3. #3 chavi *
    #1 Que bonitas son las empresas que se quieren aprovechar sin soltar ni un céntimo ni unha hora/trabajo y luego despejan las culpas hacia otro....

    ¿Quien les ha obligado a usarlo?

    Que arreglen el bug, o que no usen el software.

    A llorar a la llorería.
    53 K 363
  4. #4 Fanpiro
    #1 pues sí, en mundo de software libre es la leche, pero te advierto que eso mismo, e incluso cosas peores, pasan con el software privativo.
    16 K 102
  5. Spirito #5 Spirito
    A ver, que yo me entere. ¿Una sola persona puede cargarse todo Internet?
    3 K 32
  6. #6 xosevp
    #1 ¿ Cuanto pagas ?
    0 K 7
  7. Robus #7 Robus
    #4 sí, pero con el software privativo sabes que, al menos, tienes derecho a quejarte.
    2 K 23
  8. Anomalocaris #8 Anomalocaris
    #1 ¿Qué tiene de utópico el software libre? Es una realidad que ha demostrado sobradamente que funciona. Un error no invalida las bondades y los logros del software libre.
    Estas cosas también pasan en el software privativo.
    21 K 150
  9. Ferran #9 Ferran
    Horrible usar voluntarios, mínimo un becario que de charlas se necesita.
    5 K 48
  10. #10 DerTeufel
    #5. Sólo Linus Torvald tiene ese poder... :troll:
    4 K 37
  11. JungSpinoza #11 JungSpinoza
    #1 #2

    .  media
    54 K 383
  12. JungSpinoza #12 JungSpinoza
    #5 #10 Creo que os habeis olvidado la saga de leftpad en NPM.

    qz.com/646467/how-one-programmer-broke-the-internet-by-deleting-a-tiny
    8 K 74
  13. omegapoint #13 omegapoint
    #8 o en el hardware
    2 K 20
  14. Doisneau #14 Doisneau
    #1 #3 Cuanto puede costar pedir una revision profesional? Solo por curiosidad, se que hay mucha gente del mundillo por meneame.
    0 K 10
  15. Black_Txipiron #15 Black_Txipiron
    #7 a protestar si, para quejarte vas a tener las puertas cerradas.
    2 K 21
  16. #16 --516070--
    #5 Realmente no. Fue descubierto un error y se solucionó bastante rápido.

    Los que encuentran errores no son las personas que quieren explotarlos.

    Lo único que tienen que hacer los responsables de los sistemas es estar pendientes de las alertas diarias que los organismos públicos envían de forma gratuita e implementar los arreglos de inmediato.
    5 K 59
  17. dudo #17 dudo
    #5 el open source nos matará a todos
    0 K 9
  18. #18 --35904-- *
    El artículo está todo mal. Ralph Goers es un miembro de la Apache Software Foundation con un amplio historial en librerías de logging de java. Es voluntario sí, pero no es algo que ha hecho "en su tiempo libre" y nadie se ha molestado en revisar, como si lo hubiera hecho "mal y pronto". Es simplemente un bug de tantos.
    github.com/rgoers

    No lo revisa nadie, porque el que sabe es él. El es el creador de log4j2.

    Que esta librería está en todo internet sirve para hacerse una idea los millones de horas que trabajo que ha evitado a los equipos que querían un sistema de logging y han usado directamente log4j2.

    El opensource, como todo, tiene defectos. Pero, que Ralph sea voluntario, no es el problema sino la causa de su éxito. El periodista debería enterarse algo mejor de hasta donde ha llegado el opensource y por qué ha llegado hasta alli.
    40 K 268
  19. #19 flixter
    #14 El problema es que dar un numero cerrado es muy complicado. Depende de lo importante que sea lo que quieras auditar, del tamano del proyecto, del numero de lenguajes, ... Yo trabajo para una empresa para la que dependemos bastante de packer y ansible (en mi equipo) y cada pocas semanas estoy subiendo revisiones, modificaciones, extensiones, ... porque es un codigo que usamos y me interesa que este bien hecho... pero coincido plenamente con #3 que hay muchas empresas que se lo encuentran hecho, se parchean lo suyo si tienen algun problema (pero no contribuyen con ese parche al proyecto, porque es "propiedad intelectual" xD) y luego se ponen a llorar si hay algun problema.
    9 K 70
  20. #20 xosevp
    #14 Por aqui tienes el coste de varios proyectos: www.coreinfrastructure.org/programs/audit-program/
    1 K 17
  21. #21 flixter
    #7 claro que puedes quejarte, tambien con el software libre. Nosotros hemos descubierto esta semana un bug en Azure DevOps que nos impacta directamente, y los de Microsoft nos han dicho que contemos 6 meses para que lo arreglen (vamos, que lo arreglaran si se acuerdan cuando les de la gana) y mi empresa suelta mucha pasta a Microsoft, del orden de 20 millones de euros al ano.
    Vamos que lo de que "pagando San Pedro canta" igual es verdad.... pero vete tu a saber cuando se pondra a cantar, el jodio.
    4 K 38
  22. #22 chavi
    #14 Crees que eso garantiza la ausencia de Bugs?
    0 K 8
  24. #24 Fanpiro *
    #7 y con el software libre te pueden decir que porqué no has auditado el código que usas, y porque no lo has corregido.
    En el software privativo te dirán... Ya lo arreglaremos.
    0 K 10
  25. #25 Fanpiro
    #21 y eso que Microsoft no es de los peores a la hora de arreglar cosas y dar soporte a usuarios.
    1 K 16
  26. #26 Fanpiro
    #5 no, pero el clickbait sí.
    1 K 20
  27. SON_ #27 SON_
    #5 claro! Mete Google en Google y ya verás {0x1f600}
    1 K 16
  28. #28 --666006--
    #1 Que lo comentes en una noticia sobre una librería que usan multitud de empresas de software privativo tiene cierta guasa.

    #7 Derecho a quejarte tienes el mismo con ambos modelos.
    Que te vayan a hacer caso, lo mismo en ambos modelos.
    0 K 9
  29. #29 Nielo
    #18 Éso he pensado yo.

    Sensacionalista, pero ya estamos acostumbrados en noticias sobre IT, donde el que lo escribe no está quizá muy familiarizado y busca titular.
    3 K 29
  30. SalsaDeTomate #30 SalsaDeTomate
    #18 Un artículo de informática en un medio generalista se presta a que sea un sarta de tonterías.
    4 K 46
  31. janatxan #31 janatxan
    #28 "Su uso estaba muy extendido porque era útil y sencillo y, como era tan conocido, se daba por hecho que había sido revisado por otros usuarios. La realidad ha demostrado ser todo lo contrario."
    Que no te leas el envío y digas la primera parida que se te pasa por la cabeza también tiene guasa. :roll:
    1 K 2
  32. BiRDo #32 BiRDo
    #18 Viendo la calidad de tu comentario, tengo sentimientos encontrados para votar la noticia como sensacionalista, porque no quiero que se pierda tu intervención.

    En fin, te la marcaré como favorita y votaré sensacionalista.
    1 K 16
  33. Ehorus #33 Ehorus
    #9 te recuerdo una miembra del gobierno, famosa por despido en diferido pidiendo voluntarios de gratis para la ciberdefensa del país, con disponibilidad de 24 horas???
    1 K 20
  34. zuul #34 zuul
    #1 lo bonito es ver hablar a la gente sin tener ni puta idea
    2 K 7
  35. #35 --625430--
    #7 JJJAJAJJAJJAJAJJAJAJA. No. No warranty. Leéte los EULAs hazme el favor.
    0 K 10
  36. Doisneau #36 Doisneau
    #19 #20 Gracias a ambos :hug:
    0 K 10
  37. #37 sudoer *
    ¿Se puede saber que hostias hace una librería, que sirve básicamente para logear mensajes, implementando patrones de log que pueden incluir una url remota de un servidor LDAP para hacer no se sabe qué y encima de manera insegura?
    Se han pasado el principio KISS por donde yo me sé y las consecuencias han sido catastróficas.
    1 K 16
  38. par #38 par
    #31 Por qué dices que no se lo ha leído?
    0 K 6
  39. #39 --8899--
    #21 ¿Se los sueltas en el ano? :-D
    0 K 11
  40. #40 flixter *
    #39 Sí... Escribí desde el portatil de mi mujer, que tiene el mapeo de teclado en americano y... Ni acentos, ni ñ, ni nada... :-D
    0 K 7
  41. cosmonauta #41 cosmonauta
    #37 El mundo java es poco amigo del KISS.
    1 K 20
  42. #42 --666006--
    #31 Lo que dan por hecho y no comprueban en la empresa privada está bien, claro que sí. Solo está mal que alguien trabajando gratis no lo haya comprobado, pero no está mal que alguien cobrando no lo haya comprobado.

    Y dices que digo paridas. No serás imbécil, pero quedas cerca.
    1 K -2
  43. Wayfarer #43 Wayfarer
    #30 Cualquier artículo sobre un tema que requiere especialización escrito en un medio generalista suele ser una sarta de tonterías. Nosotros nos damos cuenta de que los artículos de informática son una sarta de tonterías porque es nuestro campo, pero me juego un desayuno a que cualquier matemático, físico, astrónomo, etc. que vea un artículo de su campo respectivo en un medio generalista también encontrará una buena sarta de tonterías.

    CC #18 #29
    1 K 14
comentarios cerrados

menéame