Vulnerabilidad XZ
Es un caso interesante, ya que evidencia como la Seguridad en Teconología de Información en el fondo es un problema produndamente humano, de como el sistema de código abierto funciona, y como estuvimos al borde del desastre.
Resulta que el Software Libre (Open Source, incluyendo por ejemplo las diversas distribuciones de Linux) son una amalgama de proyectos de código abierto muchas veces programados por voluntarios, que de forma coordinada, crean un producto. Dentro de estos programas, esta la libreria de compresión de archivos XZ Utils, programada por Lasse Colin.
Todo empieza en el 2021 cuando un usuario llamado “JlaT75” (aka Jia Tan) hace un comentario o revisión sobre el código de XZ, donde propone el cambio de una funcíon por otra mas insegura. Nadie nota el cambio. Pasa el tiempo, y “JlaT75” se queja que Lasse no está revisando el código tán rápido como debería, otros usuarios lo apoyan, y sugieren que Lasse acepte ayuda, haciendo que eventualmente Lasse delegara el desarrollo de XZ Utils a “JlaT75”. “JlaT75” eventualmente cambia la información de contacto del proyecto hacia su correo electrónico.
En Enero de 2023 “JlaT75” hace su primer committ (versíon final) del código de XZ Utils y empieza a deshabilitar ciertas funciones que hubieran permitido verificar que el código sería comprometido.
Finalmente en Febrero del 2024 “JlaT75” hace committ liberando las versiones 5.6.0 y 5.6.1 de “XZ Utils” donde ha creado un “backdoor” en XZ Utils.
Resulta que XZ Utils es usado como parte del proceso de autenticación de sesiones SSH durante la manipulación de claves y llaves de usuario. En resumen, la función XZ crea una copia desencriptada de la clave o llave de un usuario, antes de encriptarla y comprimirla.
Esta versión comprometida de XZ Utils llega a ser incluida en varias distribuciones “rapidas” (inestables, experimentales) de Linux: Fedora Rawhide, Fedora 41 (Beta), Debian 5.5.1alpha-0.1 to 5.6.1-1. (Experimental Inestable), OpenSuse Tumbleweed y MicroOS, Kali Linux.
Andres Freund, desarrollador de PostgresSQL que trabaja para Microsoft, nota durante pruebas que su medición de performance esta 600ms mas lento y que el proceso SSH esta consumiendo mas procesador de lo normal. Empieza a investigar y a verificar el código y decide publicar un correo electrónico en una lista de seguridad, prendiendo las alarmas.
En realidad es un ataque complejo y con una persistencia que solamente un actor estatal puede tener.
Página de Lasse Collin narrando los hechos: https://tukaani.org/xz-backdoor/
E-Mail de Andres Freund dando la alarma: https://www.openwall.com/lists/oss-security/2024/03/29/4
Blog de Evan Boehs: https://boehs.org/node/everything-i-know-about-the-xz-backdoor
Resumen de Ars Technica: https://arstechnica.com/security/2024/04/what-we-know-about-the-xz-utils-backdoor-that-almost-infected-the-world
Tradiciones Canadienses.
Una de esas tradiciones Canadienses, que nadie sabe bien de donde viene, dicta que El Ministr@ de Hacienda debe comprar zapatos nuevos el dia de publicar el presupuesto ante el Parlamento. Es una oportunidad de prensa que puede ser simbólica de lo que viene.
https://en.m.wikipedia.org/wiki/New_shoes_on_budget_day
Pedazo de la Estación Espacial Internacional cae sobre casa en Florida.
Un trozo de material metálico, cilíndrico, un kilogramo de peso y del tamaño de una lata de gaseosa pequeña case sobre la casa de Alejandro Otero, en Maples, Florida. La investigación llega hasta la NASA, quien confirma que es un soporte para un banco de baterías de la Estación Espacial Internacional, que debió quemarse durante la re-entrada. Teóricamente es posible que si la pieza fuera propiedad de la NASA, los daños causados serían cubiertos por los seguros del Gobierno Federal de los Estados Unidos, pero el banco de baterias fue desarrollado por la Agencia Espacial Japonesa JAXA. Será que lo cubre el seguro?
Ars Technica: https://arstechnica.com/space/2024/04/trash-from-the-international-space-station-may-have-hit-a-house-in-florida
Miau … Miau …
Gato despierta a desarrollador y previene ataque DDOS a las 3;00 am.
https://www.theregister.com/2024/04/15/cat_warns_owner_of_ddos/
Se acuerdan de Manuel Elkin Patarroyo?
Segun La Oreja Roja, tiene un sueldo de 48 millones al mes sin haber dictado un minuto de clase en la Universidad Nacional desde el siglo pasado. Hasta donde habrá que compensarlo por sus contribuciones a la ciencia?
Nestle le agrega azucar a la leche en polvo solo en los paises pobres.
Japon cierra una calle para prevenir a turistas tomar la misma foto del monte Fuji.
https://unseen-japan.com/overtourism-mt-fuji-lawson-spot/
OpEd: Cuando voy a la oficina, paso al lado del Parque McNabb en la esquina de Bronson y Gladstone. Es un parque bonito, mantenido por la comunidad, cercado, con un portal metálico decorado, tiene un parque infantil, dos o tres pozos para patinetas, y amplio espacio para caminar las mascotas. Un chico de 16 años murió en el parque el Viernes pasado, se presumía al principio que era un asesinato, dias despues la Policía indica que después de la investigación, no habrá cargos ni arrestos, y que como no han notificado a la familia, no pueden identificar a la víctima. Ottawa todavía se conmueve por la muerte, y por lo general, se hacen pequeños altares con flores o peluches o tarjetas. En el caso del chico muerto en el Parque McNabb, nada.
Dos o tres semanas despues, la policia aclara, sin nombrar al chico que la muerte fue accidental y que se cierra la investigación.
OpEd 2:
Aqui en Ottawa, hay un restaurante de arepas muy popular en el centro (Goonies, muy recomendado). Estábamos almorzando de afán con una amiga por su cumpleaños, y nos sentamos en una mesa, como el local estaba lleno, una señora, en Español (obvio, son arepas) nos preguntó si podríamos compartir la mesa, y obvio dijimos que si, en fin, sin pausa, después de agradecer, empezo el típico interrogatorio que de donde eramos, cuanto tiempo llevábamos aqui, etc. y en la misma frase nos contó que el esposo esta desaparecido hace 23 años, que ella tiene una fundación que busca desaparecidos y que encontraron a uno que llevaba como 40 años, y que hacía años ellos llegaron a Gatineau como refugiados, ya que su esposo y ella eran miembros del sindicato de trabajadores de la salud en el Valle, vivieron un tiempo aca, pero el esposo fue miserable, se devolvieron y a El lo desaparecieron al año, ahora ella vino a visitar a amigos en Gatineau, pero que esta con el hijo en Toronto que se quedo y terminó en la Universidad de Ottawa, pero que consiguió trabajo en Toronto, y nos dijo que ella vió muchas cosas como enfermera jefe, que la privatización de la salud trafica con el dolor humano, pero que la EPS se portó muy bien con el cáncer que tuvo en el riñón derecho, pero que fue ella que le dijo al doctor amigo de ella que le hiciera una resonancia del riñón, o si no, no lo habrían descubierto y que ahora ella prefiere trabajar de voluntaria con enfermos de cancer. Todo eso en un solo respiro.
“Tan querida la señora” dijo mi amiga.
PatriotMobile hackeado
Lo que me sorprende (no debería) es que en los Estados Unidos exista un operador celular que se define como: ” “El único operador celural (Norte)Americano Cristiano Conservador” cuya visión es: “ofrecer servicios de telefonía celular a individuos que prioritizan sus libertades constilucionales, sus libertades religiosas y valores tradicionales (Norte)Americanos”. Un hacker logró obtener los datos completos de sus 100K afiliados.
https://techcrunch.com/2024/05/21/conservative-cell-carrier-patriot-mobile-hit-by-data-breach/
Club Deportivo Palestino (Chile)
Si, en Chile existe un equipo de fútbol 6to en la primera división.
https://es.m.wikipedia.org/wiki/Club_Deportivo_Palestino
Santo Prepucio
Yo no sé porqué el algoritmo de TikTok me mostró una conversación acerca del Santo Prepucio. Jesús, como buen Judío fue circuncidado a los 8 días de nacido (se celebra el 1ro de Enero). y la “reliquia” ha pasado de mano en mano, y desaparecido a lo largo de los siglos. Se dice que un bibliotecario del Vaticano en el siglo 17, Leo Aliatus escribió un documento, no publicado, titulado De Praeputio Domini Nostri Jesu Christi Diatriba (Discusión del Sagrado Prepucio de Nuestro Señor Jesucristo ), donde discutía que el Santo Prepucio ascendió a los cielos al junto al resto del cuerpo durante la Ascensión y se convirtió en los anillos de Saturno. (Galileo Galilei observó los anillos de Saturno en 1610, pero no los pudo explicar). Y Santa Caterina de Siena, escribio en una de sus cartas, un paralelo entre el anillo de bodas como recordatorio del Santo Prepucio.
https://en.m.wikipedia.org/wiki/Holy_Prepuce#
Discover more from Estás Interfiriendo con mi Zen.
Subscribe to get the latest posts to your email.
Estás Interfiriendo con mi Zen. 