En este marco, la Fundación OpenJS ha dado a conocer un intento fallido de adquisición creíble que se llevó a cabo recientemente y que fue interceptado por la propia organización, en el que se pretendía engañar al Consejo de Proyectos Cruzados de la Fundación OpenJS. En esta ocasión, los ciberdelincuentes enviaron una serie de correos electrónicos sospechosos con mensajes similares, aunque con nombres distintos y desde direcciones de correos electrónicos superpuestos asociados a GitHub.
Comentarios
joder el traductor echando humo
" un actor malicioso consiguió insertar una puerta trasera "
" intento fallido de adquisición creíble"
"Consejo de Proyectos Cruzados de la Fundación OpenJS"
-Somos los cruzados del consejo y venimos a morir por un lenguaje pobremente tipado.
#1 la otra opción que tenía me salía con un ban, yo también esperaba algo mejor de Europa Press
Tiene sentido.
Luego, el "código fuente intencionalmente ofuscado o difícil de entender" lo podemos encontrar incluso en los javascripts de algunas de las webs, códigos que aunque teóricamente abiertos no son sencillos de interpretar.
De Richard Stallman (actualizado el 1/1/2024): https://www.gnu.org/philosophy/javascript-trap.es.html
"Algunos sitios continúan usando JavaScript de esa manera, pero muchos lo usan para programas mayores que realizan operaciones importantes. Por ejemplo, Google Docs trata de instalar en el navegador del usuario un programa JavaScript de medio megabyte y tan compactado que podríamos llamarlo «Obscurscript». Esta forma compactada está hecha a partir del código fuente, del que se borran los espacios que hacen el código legible y las observaciones explicativas que lo hacen comprensible, y se sustituyen los nombres significativos que aparecen en el código con nombres cortos arbitrarios, de modo que no hay forma de saber lo que significan."
Lo que pienso se debería hacer es abrir una investigación directamente a las personas que liberan estas prácticas maliciosas en el código. Lo único que yo encuentro no es sólo tratar de vulnerar el software sino además el propio modelo de fuente abierta o incluso el software libre que tan buenos resultados ofrece al tratarse sobretodo en una ética difícilmente comprendida sino rechazada por el neoliberalismo.
#2 Da miedo pensar en el día que Stallman no esté.
Por suerte creó escuela y alguien seguirá.
#4 Y torvalds.
Desde luego, espero que hayan dejado un buen poso de gente que sabe casi tanto como ellos, porque sinó será un cristo.
#5 Aunque Torvalds es más joven. Pero sí.
#5 El sucesor de Torvals espero que sea Marcan.
#2 Que se minimice el código javascript de una aplicación web que se descarga el cliente es lo normal. Lo que no es normal es que se almacene así el código fuente dentro de los repositorios o que el código transpilado y minimizado que llegue al cliente no se corresponda con los fuentes disponibles en el repositorio del código. Para compararlos imagino que se usa algún hash de verificación que indique si el código descargado verdaderamente viene de la transpilación directa del código fuente correspondiente, y no ha sido manipulado.
#2 Hostia, el cambio de guion en el último momento no me le esperaba.
En el curro nos han intentado colar una de esas.
Un tipo haciendo contribuciones inocentes y bastante correctas hasta que nos intenta colar un SQL injection de lo mas sutil.
Sospechamos cuando le pedimos varias veces que lo cubriese con un test y el tipo empezó a escaquear. Alguien más listo que los demás se miró el código con atención y vio la vulnerabilidad, que era muy, muy sutil.
#11 ¿Como de sutil era? ¿Podrías ponerla a grandes rasgos?
#17 A ver si te crees que el resto de software no es también similar. Por lo menos en el open source puedes poner a gente de tu confianza a revisar lo que tienes funcionando.
No hace falta publicitarlo, porque se ve.
#20 Al menos los desarrolladores no son anonimos. Que los puede comprar un gobierno, una organizacion criminal igual, bueno con un poco mas de dificultad, pero al menos despues en una investigacion a la persona por espionaje les puedes encarcelar y eso desincentiva que otros programadores no anonimos lo hagan ante el riesgo de ser encarcelados por espionaje.
#21 Vamos despacio ¿Cuantas puertas traseras llevaran Windows y Mac gracias a agencias que supuestamente velan por la seguridad? Si tienes la opción de ver el código tienes la posibilidad de encontrar la puerta y taparla, como poso en el caso de ZX. Un programador de una empresa privada es comprado y ¿Quien se entera? La mayoria de las plantillas pecan de no sobrarles tiempo para hacer pruebas, fijate la trayectoria de fallos en las actualizaciones de Windows, dura años de petar.
Y seguirá siendo así mientras piezas de software de las que dependen grandes infraestructuras sean mantenidas por programadores que trabajan de gratis en sus tiempos libres, y que muchas veces están extremadamente cansados y de paso con cero reconocimiento, mientras que las compañías que se benefician directamente del trabajo gratis de esta gente hacen poco o nada para valorarlos y mantener esas piezas vitales de software libre lo más seguras posibles, incluyendo dar equipos de desarrollo para cada uno, y no depender de un único mantenedor.
#7 ¿Crees que un programador profesional del país X destinado a un proyecto libre es inmune a sufrir presiones para dejar pasar un agujero aprovechable?
#19 El programador detrás de xz utils que fue atacado mediante ingeniería social es también profesional, pero en su caso es un único programador que trabaja en otra cosa para ganarse la vida y dedica su tiempo libre a xz utils mientras que recibe presiones constantes para su mantenimiento, como si fuese otro trabajo de tiempo completo, lo que le genera cansancio extra que luego se suma a los problemas personales y hace que sea más vulnerable a este tipo de ataques.
Si se dedicase exclusivamente a xz y estuviese bien pagado sin duda estaría menos cansado y sería menos vulnerable. Si además le agregas un compañero de trabajo avalado por la fundación o algún ente responsable y reconocido, entonces este tipo de ataques debería ser más difícil.
Pensé que con tanto "agent" y "fine-tunning" en "Machine Learning" era más fácil detectar cosas "raras" en el código...
#12 Encadenar términos sin contexto no evita nada malicioso.
Un representante del país en el que están puesto todas las miradas a raíz de escándalo XY utils ha declarado
y añadió:
#8 TODOS los países están haciéndolo. Que los perfiles intenten simular una locajización geográfica no implica que sean de la misma.
¿Entonces el open source es como un queso grullere y nos damos cuenta ahora?
#13 Hace tiempo que lo sabemos. No es nada nuevo.
#15 ¿y no se publicita mucho porque mina la confianza de usuarios, consumidores e inversores en el sistema open source?
No podía saberse. El sobrevalorado "software libre"
.
#23: En el software libre también hay profesionales. El problema es cuando se asocia "libre" a "siempre gratis" y no se valora la revisión del código por parte de profesionales para asuntos en los que merece la pena pagar, como por ejemplo, un sistema operativo para teléfonos móviles.
#23 Es una de las ventajas del software libre, que se podía y se pudo saber. Donde no se puede saber nada que no te quieran decir los profesionales que lo desarrollan es en el privativo
#23 Tu primera viñeta debería decir ”Software privativo mantenido por empresas colando backdoors”.
Igual te crees que por ser dedicadas no te la van a clavar. Lo hacen con mucha más frecuencia, y con nula capacidad de defenderte.