Todo empezó cuando amigo de andréingeniero de software principal de Microsoft, sintió curiosidad por saber por qué SSH código de seguridad remoto en el Linux La beta se estaba ejecutando lentamente. Freund investigó un poco y descubrió el problema: un programador jefe y mantenedor de la biblioteca de compresión de datos xz, Jia Tan, había poner una puerta trasera en el código. ¿Su propósito? Para permitir que los atacantes se apoderen de los sistemas Linux.
También: Linux podría ser su mejor opción para aumentar la seguridad de su computadora de escritorio
Recientemente, se ha vuelto muy común que los piratas informáticos malintencionados insertar código incorrecto en el software. Algunos repositorios de código fuente abierto, como el popular javascript gerente de empaquetación, Administrador de paquetes de nodo (npm)y el igualmente popular repositorio de software Python Índice de paquetes de Python (PyPI)se han vuelto famosos por albergar malware de piratería y minería de criptomonedas.
También existen programas maliciosos de código abierto, como Ladrón de zafiros, que buscan robar identificaciones de usuarios, contraseñas y otros secretos. Si bien ciertamente se ha escrito una gran cantidad de código incorrecto en Linux y sus utilidades estrechamente relacionadas, nadie ha ocultado con éxito malware en su interior… hasta ahora.
Antes de emocionarse demasiado, tenga en cuenta esto: el código xz corrupto no apareció en ninguna distribución de producción de Linux. Si estuvieras trabajando con sombrero, Debian, openSUSE, ubuntuu otras distribuciones beta de última generación, tenías algo de qué preocuparte. De lo contrario, debes ser claro.
Pero no nos equivoquemos: Linux esquivó una bala. Si esto hubiera llegado a los sistemas Linux que todos usamos todos los días, ya sea que usted sea consciente o no, estaríamos en un mundo de dolor.
Irónicamente, mientras la gente usa el desastre xz como excusa para atacar el código abierto, la verdad es que el ataque fracasó. porque de código abierto. Como señaló Mark Atwood, ingeniero principal de la oficina de programas de código abierto de Amazon: «El ataque falló porque era de código abierto.. La forma en que funciona este ataque para código no abierto es que el atacante pasa dos años contratando a un agente por parte de un proveedor de desarrollo de software por contrato, lo introducen a escondidas, [and] nadie se entera.»
También: ¿Estás pensando en cambiarte a Linux? 10 cosas que necesitas saber
¿Cómo puede decir eso? Porque es la verdad. Por ejemplo, todavía no sabemos exactamente cómo Microsoft permitió que un grupo de hackers chino entrara en Microsoft Online Exchange el año pasado. Gracias a Freund, sabemos mucho sobre cómo se logró el truco xz. Como Dimitri Stiliadis, Laboratorios Endor CTO y cofundador, señaló: «Tuvimos suerte de que el ataque se produjera contra software de código abierto. que cualquiera puede mirar y entender. Si el mismo ataque fuera contra un componente de código cerrado, ¿cómo lo sabríamos?».
Amén.
Lo que no sabemos todavía es quién estuvo detrás del ataque ni por qué. hay Mucha especulación que se trataba de otro grupo de hackers chino; pero al final del día, nos quedan conjeturas fundamentadas.
Por ejemplo, en lugar de que la política internacional estuviera detrás del malware, podría haber sido un intento especialmente elaborado de instalar criptomineros en sistemas Linux de alta potencia. Dado que los valores actuales de Bitcoin rondan los 65.000 dólares por moneda, la codicia es un motivo plausible.
Nosotros hacer Sepa que quienquiera que estuviera detrás del nombre Jia Tan tomó mucho tiempo y se tomó muchos problemas para instalar el malware. Tan comenzó su trabajo oscuro en 2021. Él o ella, con la ayuda de algunos marionetas de calcetínPoco a poco tomó el control del proyecto xz. Luego, Tan y sus colegas comenzaron a presionar para que el nuevo programa infectado con puerta trasera se implementara rápidamente en las distribuciones de Linux.
Es en este punto que Freund indagó en el código y descubrió la trama. Hoy, Lasse Collin, el mantenedor original XZha retomado el control del proyecto y está limpiando el código.
También: Las mejores distribuciones de Linux para principiantes: probadas por expertos
También se ha especulado que Tan y compañía ya habían colocado malware en versiones anteriores de xz. No parece haber nada de esto.
A otros les preocupa que xz sea sólo la punta del iceberg y que haya muchos otros programas maliciosos de código abierto escondidos en Linux. Pero, como afirma Eric S. Raymond, cofundador de código abierto, observado«Parece prudente y cauteloso suponer que por cualquier exploit descubierto, debe haber un gran número de exploits sin descubrir. Pero en realidad no lo sabemos, e incluso si fuera cierto, no daría consejos prácticos. «
Entonces, ¿qué podemos hacer al respecto? ¡Lotes!
Antes de que se descubriera este malware equipado con una trampilla, el Fundación de seguridad de código abierto (OpenSSF) había propuesto que adoptáramos políticas para un uso seguro y responsable del software de código abierto.
Posteriormente, Dan Lorenc, cofundador y director ejecutivo de una empresa de cadena de suministro de software de código abierto Guardacadenaspropuso reflexionar sobre las lagunas que este ataque ha dejado a la vista y desarrollar una defensa más profunda en toda la cadena de suministro de código abierto: «Las amenazas persistentes no van a desaparecer y no podemos detenerlas mágicamente, pero podemos seguir elevando el listón y haciéndolas más difíciles».
También: 5 consejos para proteger SSH en su servidor o escritorio Linux
Lorenc tiene razón. Como también afirmó: «Tuvimos una suerte increíble».
El código abierto, por su propia naturaleza, es potencialmente más seguro que los métodos propietarios. Pero solo es más seguro si analizamos detenidamente el código que utilizamos y nos aseguramos de que realmente sea seguro. La idea de que el código es seguro sólo porque está abierto es un pensamiento mágico en su peor expresión. Desear no hará que el código abierto o Linux sean seguros; sólo el trabajo duro logrará eso.