Estados Unidos está lidiando con importantes preocupaciones en materia de ciberseguridad. Después de que los desarrolladores descubrieron un sabotaje dentro del programa. Un programa de este tipo fue saboteado deliberadamente por uno de sus desarrolladores. Podría crear una puerta trasera a millones de servidores en Internet. Los funcionarios del gobierno estaban alarmados. En un incidente que generó preocupaciones sobre cómo proteger el software de código abierto, el desarrollador de software alemán Andrés Freund estaba realizando pruebas de rendimiento detalladas el mes pasado cuando notó un comportamiento extraño en un programa poco conocido. Lo que encontró durante la investigación provocó conmociones en todo el mundo del software y llamó la atención de ejecutivos de tecnología y funcionarios gubernamentales. Freund, que trabaja para Microsoft en las afueras de San Francisco, descubrió que la última versión del programa de software de código abierto XZ Utils es un sabotaje deliberado por parte de uno desarrollador, una medida que podría destruir la puerta trasera de millones de servidores en Internet. Los expertos en seguridad dicen que fue porque Freund vio el cambio antes de que la última versión del XZ fuera de uso generalizado que el mundo se salvó. Crisis de seguridad digital Los piratas informáticos chinos tuvieron acceso a la infraestructura estadounidense durante «al menos cinco años» antes del descubrimiento. «Realmente esquivamos una bala», dijo Satnam Narang, investigador de seguridad de Tenable que rastrea el impacto del descubrimiento. «Es uno de esos momentos en los que tenemos que limpiarnos la frente y decir: ‘Esto es todo’. ‘Tenemos mucha suerte con este'». Los desarrolladores realizaron pruebas de rendimiento detalladas el mes pasado. cuando notó un comportamiento extraño en un programa poco conocido Lo que encontró durante la investigación provocó conmociones en todo el mundo del software. y ha atraído la atención de ejecutivos de tecnología y funcionarios gubernamentales. (REUTERS/Dado Ruvic/Illustration/File Photo) Los casi accidentes han desviado la atención hacia la seguridad del software de código abierto. Este es un programa gratuito y, a menudo, voluntario. Esta transparencia y flexibilidad significa que este software sirve como base para la economía de Internet. Muchas cosas como Varios proyectos Basado en un puñado de voluntarios no remunerados que luchaban por sobrevivir a la demanda masiva de correcciones y actualizaciones de Collin, el ciberataque chino tenía como objetivo «Creando pánico social» en todo Estados Unidos, dice el director de seguridad al Congreso en los últimos años Parece que el bajo estrés En un mensaje publicado en una lista de correo pública en junio de 2022, Collin dijo que estaba lidiando con Describió «problemas de salud mental a largo plazo» e insinuó que estaba trabajando en privado con un nuevo desarrollador llamado Jia Tan y «tal vez tenga problemas». Un papel más importante en el futuro». Los registros de actualización disponibles en el sitio de software de código abierto Github muestran que el papel de Tan se está expandiendo rápidamente. Para 2023, los registros muestran que Tan está fusionando su código con XZ, lo cual es una señal. Indica que tiene asumido un papel de confianza en este proyecto. Pero los expertos en ciberseguridad que calificaron los registros dijeron que Tan se hacía pasar por un voluntario servicial. Dicen que en los próximos meses Tan introducirá una puerta trasera casi invisible en el XZ. Collin no respondió a un mensaje en busca de comentarios y dijo en su sitio web que no respondería a los periodistas hasta que lo hiciera. Al hacerlo, Tan no ha respondido los mensajes enviados a su cuenta de Gmail. Reuters no pudo determinar quién es Tan, dónde está o para quién trabaja. Pero muchas personas que han consultado sus actualizaciones creen que Tan es el seudónimo de un hacker experto o de un grupo de hackers. que probablemente sea un grupo trabajando en En nombre de una poderosa agencia de inteligencia «Esto no es algo de nivel infantil», afirmó Omkhar Arasaratnam, director general de la Open Source Security Foundation, que trabaja para proteger proyectos como XZ. «Esto es increíblemente complejo». Tan podría haberlo evitado fácilmente si así fuera. t para Freund, un desarrollador de Microsoft cuya curiosidad surgió cuando notó que la última versión de XZ usaba intermitentemente una cantidad inesperada de potencia de procesamiento en el sistema que estaba probando. Microsoft se negó a que Freund estuviera disponible para una entrevista. Pero en correos electrónicos y publicaciones públicas en las redes sociales, Freund dijo que una serie de pistas fáciles de pasar por alto lo llevaron a descubrir la puerta trasera. El descubrimiento «realmente fue en gran medida una cuestión de casualidad», dijo Freund en las redes sociales. Satya Nadella felicita a Freund durante el fin de semana Al decir en un post en las redes sociales, todos “En la comunidad de código abierto Este hallazgo es preocupante. Los voluntarios que mantienen el software que impulsa Internet no son ajenos a la idea de una pequeña compensación o reconocimiento. Pero es difícil darse cuenta de que ahora están siendo perseguidos por espías con buenos recursos que se hacen pasar por buenos samaritanos. «Increíblemente aterrador», dijo Arasaratnam de la Open Source Security Foundation. Los funcionarios del gobierno están sopesando el impacto del incidente Near Miss, destacando las preocupaciones sobre cómo proteger el software de código abierto. La subdirectora nacional de cibernética, Anjana Rajan, dijo a Politico que «hay muchas conversaciones que debemos tener sobre lo que seguimos haciendo» para proteger el código fuente abierto. «Haga clic aquí para obtener la aplicación de noticias». La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de FOX dijo que depende de empresas estadounidenses. que utiliza software de código abierto para reinvertir recursos en las comunidades que lo construyen y mantienen. Jack Cable, consultor de CISA, dijo a Reuters que la carga recae sobre las empresas tecnológicas no sólo para validar el software abierto, sino también para «respaldarlo». y ayudar a construir un ecosistema sostenible de código abierto del que obtenemos tanto valor”. No está claro que las empresas de software estén adecuadamente incentivadas para hacerlo. Las listas de correo electrónico de código abierto en línea están llenas de quejas sobre los gigantes tecnológicos que piden voluntarios para solucionar problemas de código abierto. El software que utilizan esas empresas genera miles de millones de dólares en ingresos. No importa cómo resolver el problema. Casi todo el mundo coincide en que el episodio XZ demuestra que algo ha cambiado. «Tenemos mucha suerte aquí», dijo Freund en otro post de Mastodon. «No podemos seguir confiando en eso».
Source link
+ There are no comments
Add yours