Portada
Hace 2 años | Por NubisMusic a elconfidencial.com
Publicado hace 2 años por NubisMusic a elconfidencial.com

Ransomware Ciberataque: El fallo que ha puesto en jaque a todo internet dependía del tiempo libre de un voluntario

 elconfidencial.com

Log4Shell lleva días ocupando titulares en todo el mundo, pero la clave está en el origen de la brecha de seguridad: un código desarrollado por un voluntario en su tiempo libre que nadie se había molestado en auditar.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 1.3k 43

Comentarios

D
editado

El artículo está todo mal. Ralph Goers es un miembro de la Apache Software Foundation con un amplio historial en librerías de logging de java. Es voluntario sí, pero no es algo que ha hecho "en su tiempo libre" y nadie se ha molestado en revisar, como si lo hubiera hecho "mal y pronto". Es simplemente un bug de tantos.
https://github.com/rgoers

No lo revisa nadie, porque el que sabe es él. El es el creador de log4j2.

Que esta librería está en todo internet sirve para hacerse una idea los millones de horas que trabajo que ha evitado a los equipos que querían un sistema de logging y han usado directamente log4j2.

El opensource, como todo, tiene defectos. Pero, que Ralph sea voluntario, no es el problema sino la causa de su éxito. El periodista debería enterarse algo mejor de hasta donde ha llegado el opensource y por qué ha llegado hasta alli.

V 40
K 268
N

#18 Éso he pensado yo.

Sensacionalista, pero ya estamos acostumbrados en noticias sobre IT, donde el que lo escribe no está quizá muy familiarizado y busca titular.

V 3
K 29
Wayfarer

#30 Cualquier artículo sobre un tema que requiere especialización escrito en un medio generalista suele ser una sarta de tonterías. Nosotros nos damos cuenta de que los artículos de informática son una sarta de tonterías porque es nuestro campo, pero me juego un desayuno a que cualquier matemático, físico, astrónomo, etc. que vea un artículo de su campo respectivo en un medio generalista también encontrará una buena sarta de tonterías.

CC #18 #29

V 1
K 14
SalsaDeTomate

#18 Un artículo de informática en un medio generalista se presta a que sea un sarta de tonterías.

V 4
K 46
BiRDo

#18 Viendo la calidad de tu comentario, tengo sentimientos encontrados para votar la noticia como sensacionalista, porque no quiero que se pierda tu intervención.

En fin, te la marcaré como favorita y votaré sensacionalista.

V 1
K 16
Ferran

Horrible usar voluntarios, mínimo un becario que de charlas se necesita.

V 5
K 48
Ehorus

#9 te recuerdo una miembra del gobierno, famosa por despido en diferido pidiendo voluntarios de gratis para la ciberdefensa del país, con disponibilidad de 24 horas???

V 1
K 20
f

#7 claro que puedes quejarte, tambien con el software libre. Nosotros hemos descubierto esta semana un bug en Azure DevOps que nos impacta directamente, y los de Microsoft nos han dicho que contemos 6 meses para que lo arreglen (vamos, que lo arreglaran si se acuerdan cuando les de la gana) y mi empresa suelta mucha pasta a Microsoft, del orden de 20 millones de euros al ano.
Vamos que lo de que "pagando San Pedro canta" igual es verdad.... pero vete tu a saber cuando se pondra a cantar, el jodio.

V 4
K 38
F

#21 y eso que Microsoft no es de los peores a la hora de arreglar cosas y dar soporte a usuarios.

V 1
K 16
D

#21 ¿Se los sueltas en el ano?

V 0
K 11
f
editado

#39 Sí... Escribí desde el portatil de mi mujer, que tiene el mapeo de teclado en americano y... Ni acentos, ni ñ, ni nada...

V 0
K 7
Spirito

A ver, que yo me entere. ¿Una sola persona puede cargarse todo Internet?

V 3
K 32
D

#5. Sólo Linus Torvald tiene ese poder...

V 4
K 37
JungSpinoza

#5 #10 Creo que os habeis olvidado la saga de leftpad en NPM.

https://qz.com/646467/how-one-programmer-broke-the-internet-by-deleting-a-tiny-piece-of-code/

V 8
K 74
D

#5 Realmente no. Fue descubierto un error y se solucionó bastante rápido.

Los que encuentran errores no son las personas que quieren explotarlos.

Lo único que tienen que hacer los responsables de los sistemas es estar pendientes de las alertas diarias que los organismos públicos envían de forma gratuita e implementar los arreglos de inmediato.

V 5
K 59
dudo

#5 el open source nos matará a todos

V 0
K 9
F

#5 no, pero el clickbait sí.

V 1
K 20
SON_

#5 claro! Mete Google en Google y ya verás 😀

V 1
K 16
pert0

#0 duplicada me parece Tres desarrolladores que trabajan gratis han evitado pérdidas millonarias a algunas de las mayores compañías tecnológicas del mundo

Hace 2 años | Por mr_b a genbeta.com
Publicado hace 2 años por mr_b a genbeta.com

Tres desarrolladores que trabajan gratis han evita...

 genbeta.com

V 1
K 28
x

#14 Por aqui tienes el coste de varios proyectos: https://www.coreinfrastructure.org/programs/audit-program/

V 1
K 17
Doisneau

#19 #20 Gracias a ambos

V 0
K 10
s
editado

¿Se puede saber que hostias hace una librería, que sirve básicamente para logear mensajes, implementando patrones de log que pueden incluir una url remota de un servidor LDAP para hacer no se sabe qué y encima de manera insegura?
Se han pasado el principio KISS por donde yo me sé y las consecuencias han sido catastróficas.

V 1
K 16
cosmonauta

#37 El mundo java es poco amigo del KISS.

V 1
K 20
Candidatas
11
meneos
tecnología 777-300 con piel de tiburón: SWISS ya equipó toda su flota con tecnología AeroSHARK
19
meneos
tecnología Software Testing Day (xkcd)
28
meneos
tecnología Un tribunal japonés dictamina que no se puede otorgar patente para invenciones de IA
30
meneos
tecnología Las distribuciones de Linux prohíben el código generado por IA's contaminado: NetBSD y Gentoo lideran la acusación de prohibir el código escrito por IA[ENG]
10
meneos
tecnología Microsoft pide a algunos empleados de China que se reubiquen en medio de las tensiones chino-estadounidenses [ENG]
10
meneos
tecnología Coche SU7. Xiaomi quiere poner sus fábricas a toda máquina: podría duplicar sus tiempos de trabajo desde junio
10
meneos
tecnología Ahora sí podemos decir que definitivamente Twitter murió para siempre
9
meneos
tecnología Nuevo jailbreak logrado de PlayStation 4 con televisores inteligentes LG que ejecutan hardware webOS [ENG]
11
meneos
tecnología Un investigador desarrolla auriculares con cancelación activa de ruido infundidos con IA: la tecnología puede aislar los sonidos ambientales especificados por el usuario en tiempo real [ENG]
13
meneos
tecnología Muy pronto seremos manipulados por encantadores asistentes de IA
8
meneos
tecnología Impresión 3D: Sandia National Laboratories desarrolla una técnica que acelera la producción y mejora la resistencia
7
meneos
tecnología Neuralink era consciente de que el fallo del chip en el paciente humano ya sucedía en animales
7
meneos
tecnología Las marcas de móviles más populares del mundo 1990 - 2024
12
meneos
tecnología ChatGPT abre sus puertas a contenido erótico
9
meneos
tecnología Hidden Mirrors: un juego de simetrías, lógica y paciencia
5
meneos
tecnología Vídeo: Robots caracoles con caparazón de hierro se unen para tareas todoterreno [ENG]
31
meneos
tecnología La filtración de datos de una empresa de reconocimiento facial revela un peligro oculto de la biometría
14
meneos
tecnología Samsung creará SSD con memorias NAND Flash de 1.000 capas
7
meneos
tecnología Wire, Proton y Apple ayudan a identificar a sospechoso en España
29
meneos
tecnología Stack Overflow banea a los usuarios en masa por rebelarse contra su asociación con OpenAI: los usuarios eliminan las respuestas para evitar que se utilicen para entrenar a ChatGPT [ENG]
par

#31 Por qué dices que no se lo ha leído?

V 0
K 6
janatxan
editado

Que bonito es el ecosistema del software libre. Quizás hay que dejar de pensar en el mundo como algo utópico e imponer un sistema de revisión como dios manda.

V 27
K -109
D

#1 lo bonito son los que se aprovechan sin donar ni contribuir, y luego lloran.

V 41
K 294
JungSpinoza
editado

#1 #2

.

comment_34569735 media
V 54
K 383
c
editado

#1 Que bonitas son las empresas que se quieren aprovechar sin soltar ni un céntimo ni unha hora/trabajo y luego despejan las culpas hacia otro....

¿Quien les ha obligado a usarlo?

Que arreglen el bug, o que no usen el software.

A llorar a la llorería.

V 53
K 363
Doisneau

#1 #3 Cuanto puede costar pedir una revision profesional? Solo por curiosidad, se que hay mucha gente del mundillo por meneame.

V 0
K 10
f

#14 El problema es que dar un numero cerrado es muy complicado. Depende de lo importante que sea lo que quieras auditar, del tamano del proyecto, del numero de lenguajes, ... Yo trabajo para una empresa para la que dependemos bastante de packer y ansible (en mi equipo) y cada pocas semanas estoy subiendo revisiones, modificaciones, extensiones, ... porque es un codigo que usamos y me interesa que este bien hecho... pero coincido plenamente con #3 que hay muchas empresas que se lo encuentran hecho, se parchean lo suyo si tienen algun problema (pero no contribuyen con ese parche al proyecto, porque es "propiedad intelectual" lol) y luego se ponen a llorar si hay algun problema.

V 9
K 70
c

#14 Crees que eso garantiza la ausencia de Bugs?

V 0
K 8
F

#1 pues sí, en mundo de software libre es la leche, pero te advierto que eso mismo, e incluso cosas peores, pasan con el software privativo.

V 16
K 102
Robus

#4 sí, pero con el software privativo sabes que, al menos, tienes derecho a quejarte.

V 2
K 23
Black_Txipiron

#7 a protestar si, para quejarte vas a tener las puertas cerradas.

V 2
K 21
F
editado

#7 y con el software libre te pueden decir que porqué no has auditado el código que usas, y porque no lo has corregido.
En el software privativo te dirán... Ya lo arreglaremos.

V 0
K 10
D

#1 Que lo comentes en una noticia sobre una librería que usan multitud de empresas de software privativo tiene cierta guasa.

#7 Derecho a quejarte tienes el mismo con ambos modelos.
Que te vayan a hacer caso, lo mismo en ambos modelos.

V 0
K 9
janatxan

#28 "Su uso estaba muy extendido porque era útil y sencillo y, como era tan conocido, se daba por hecho que había sido revisado por otros usuarios. La realidad ha demostrado ser todo lo contrario."
Que no te leas el envío y digas la primera parida que se te pasa por la cabeza también tiene guasa. roll

V 1
K 2
D

#31 Lo que dan por hecho y no comprueban en la empresa privada está bien, claro que sí. Solo está mal que alguien trabajando gratis no lo haya comprobado, pero no está mal que alguien cobrando no lo haya comprobado.

Y dices que digo paridas. No serás imbécil, pero quedas cerca.

V 1
K -2
D

#7 JJJAJAJJAJJAJAJJAJAJA. No. No warranty. Leéte los EULAs hazme el favor.

V 0
K 10
x

#1 ¿ Cuanto pagas ?

V 0
K 7
Anomalocaris

#1 ¿Qué tiene de utópico el software libre? Es una realidad que ha demostrado sobradamente que funciona. Un error no invalida las bondades y los logros del software libre.
Estas cosas también pasan en el software privativo.

V 21
K 150
omegapoint

#8 o en el hardware

V 2
K 20
zuul

#1 lo bonito es ver hablar a la gente sin tener ni puta idea

V 2
K 7