Estará contento Microsoft, que uno de sus ingenieros depure y detecte código malicioso en y con herramientas GPL o BSD solucionando un problema de seguridad en sistemas de software libre o fuente abierta.
Ahora la compañía hará su trabajo con la propaganda si no la ha hecho ya y puedo imaginar el resto.
Un muy buen resumen del suceso y su posible y terrible, tremenda, horripilante, etc... consecuencia que hubiera tenido, hay que cambiar el modelo de licencias para que las multinacionales, que se aprovechan por la cara del soft libre, paguen a los voluntarios por su trabajo.
#1 al pobre hombre le achuchaban y él decía que con sus problemas mentales no le daba la vida... De verdad que no sé cómo hay gente que sigue manteniendo software libre, debería, como dices, ser soportado por multinacionales. Esta vez han (hemos) tenido suerte. A ver la siguiente...
#2 Hay fundaciones que mantienen y desarrollan software. Por ejemplo Apache. IBM contribuye a desarrollo de software, especialmente desde que lanzaron Linux on Power (para portar software a Linux sobre sus microprocesadores). Cuando encuentran que un software puede rendir más pero no lo hace porque está programado asumiendo que va a correr sobre alguna arquitectura que tiene limitaciones que no están en Power proponen parches para quitar esas limitaciones por software.
El tema es que hay software que no es sexy. Una librería de compresión es algo muy técnico. La gente no sabe como funciona un algoritmo de compresión, y además quieren hacer o contribuir con cosas que hagan trabajo útil para el usuario. Construir algo grande a partir de ladrillos pequeños, no inspeccionar y comprender hasta el ladrillo.
También está el hecho de que los ficheros de testing no se auditan. Si no te lo compilas tu mismo no te das cuenta ¿Quién lee los test para darse cuenta de que un script de test a su vez descarga código malicioso? ¿Luego ese código solo se ejecuta en x86 porque el backdoor seguramente solo funciona con glibc? Así que puedes ejecutar análisis del programa malicioso en otras plataformas y que no esté presente.
La verdad que han sido insidiosos esta vez.
Y de todas maneras ¿Si alguien en alguna distribución decide empaquetar código malicioso en software que en realidad no los tiene? ¿Cómo sabes tú que tu paquete rpm o deb que te descargas de verdad es el software que pone que es y que tu distribución no le ha hecho una "personalización" maliciosa?
Comentarios
Relacionada: "Puerta trasera en software de compresión (liblzma) que afecta a OpenSSH"
Puerta trasera en software de compresión (liblzma) que afecta a OpenSSH
Puerta trasera en software de compresión (liblzma)...
mastodon.socialEstará contento Microsoft, que uno de sus ingenieros depure y detecte código malicioso en y con herramientas GPL o BSD solucionando un problema de seguridad en sistemas de software libre o fuente abierta.
Ahora la compañía hará su trabajo con la propaganda si no la ha hecho ya y puedo imaginar el resto.
Un muy buen resumen del suceso y su posible y terrible, tremenda, horripilante, etc... consecuencia que hubiera tenido, hay que cambiar el modelo de licencias para que las multinacionales, que se aprovechan por la cara del soft libre, paguen a los voluntarios por su trabajo.
#1 al pobre hombre le achuchaban y él decía que con sus problemas mentales no le daba la vida... De verdad que no sé cómo hay gente que sigue manteniendo software libre, debería, como dices, ser soportado por multinacionales. Esta vez han (hemos) tenido suerte. A ver la siguiente...
#2 Hay fundaciones que mantienen y desarrollan software. Por ejemplo Apache. IBM contribuye a desarrollo de software, especialmente desde que lanzaron Linux on Power (para portar software a Linux sobre sus microprocesadores). Cuando encuentran que un software puede rendir más pero no lo hace porque está programado asumiendo que va a correr sobre alguna arquitectura que tiene limitaciones que no están en Power proponen parches para quitar esas limitaciones por software.
El tema es que hay software que no es sexy. Una librería de compresión es algo muy técnico. La gente no sabe como funciona un algoritmo de compresión, y además quieren hacer o contribuir con cosas que hagan trabajo útil para el usuario. Construir algo grande a partir de ladrillos pequeños, no inspeccionar y comprender hasta el ladrillo.
También está el hecho de que los ficheros de testing no se auditan. Si no te lo compilas tu mismo no te das cuenta ¿Quién lee los test para darse cuenta de que un script de test a su vez descarga código malicioso? ¿Luego ese código solo se ejecuta en x86 porque el backdoor seguramente solo funciona con glibc? Así que puedes ejecutar análisis del programa malicioso en otras plataformas y que no esté presente.
La verdad que han sido insidiosos esta vez.
Y de todas maneras ¿Si alguien en alguna distribución decide empaquetar código malicioso en software que en realidad no los tiene? ¿Cómo sabes tú que tu paquete rpm o deb que te descargas de verdad es el software que pone que es y que tu distribución no le ha hecho una "personalización" maliciosa?