Estados Unidos está lidiando con importantes preocupaciones de ciberseguridad después de que un desarrollador descubriera un acto de sabotaje dentro de un programa. El programa, saboteado deliberadamente por uno de sus desarrolladores, podría haber abierto una puerta secreta a millones de servidores en Internet. Los funcionarios del gobierno estaban alarmados por el incidente, que ha generado preocupaciones sobre cómo proteger el software de código abierto. El desarrollador de software alemán Andrés Freund estaba ejecutando algunas pruebas de rendimiento detalladas el mes pasado cuando notó un comportamiento extraño en un programa poco conocido. Lo que encontró cuando investigó provocó escalofríos en todo el mundo del software y llamó la atención de ejecutivos de tecnología y funcionarios gubernamentales. Freund, que trabaja para Microsoft en San Francisco, descubrió que la última versión del programa de software de código abierto XZ Utils había sido deliberadamente saboteado por uno de sus desarrolladores, una medida que podría haber abierto una puerta secreta a millones de servidores en Internet. Los expertos en seguridad dicen que el mundo se salvó solo porque Freund detectó el cambio antes de que la última versión de XZ se implementara ampliamente. una crisis de seguridad digital. LOS HACKERS CHINOS TENÍAN ACCESO A LA INFRAESTRUCTURA ESTADOUNIDENSE DURANTE ‘AL MENOS 5 AÑOS’ ANTES DEL DESCUBRIMIENTO «Realmente esquivamos una bala», dijo Satnam Narang, un investigador de seguridad de Tenable que ha estado siguiendo las consecuencias del hallazgo. «Es uno de esos momentos en los que tenemos que limpiarnos la frente y decir: ‘Tuvimos mucha suerte con este'». Un desarrollador de software estaba ejecutando algunas pruebas de rendimiento detalladas el mes pasado cuando notó un comportamiento extraño en un programa poco conocido. Lo que encontró cuando investigó provocó escalofríos en todo el mundo del software y llamó la atención de ejecutivos de tecnología y funcionarios gubernamentales. (REUTERS/Dado Ruvic/Illustration/File Photo) El casi accidente ha vuelto a centrar la atención en la seguridad del software de código abierto: programas gratuitos, a menudo mantenidos por voluntarios, cuya transparencia y flexibilidad significan que sirven como base para la economía de Internet. Los proyectos dependen de un pequeño círculo de voluntarios no remunerados que luchan por salir de un montón de demandas de correcciones y actualizaciones. XZ, un conjunto de herramientas de compresión de archivos empaquetadas en distribuciones del sistema operativo Linux, fue mantenido durante mucho tiempo por un solo autor, Lasse. Collin.LOS ATAQUES CIBERNÉTICOS CHINOS TIENEN LA INTENCIÓN ‘INDUCIR EL PÁNICO SOCIAL’ EN TODO ESTADOS UNIDOS, DICEN LOS DIRECTORES DE SEGURIDAD AL CONGRESO En los últimos años, parecía estar bajo presión. En un mensaje publicado en una lista de correo pública en junio de 2022, Collin dijo que estaba lidiando con » problemas de salud mental a largo plazo» e insinuó que estaba trabajando en privado con un nuevo desarrollador llamado Jia Tan y que «tal vez tenga un papel más importante en el futuro». Los registros de actualización disponibles a través del sitio de software de código abierto Github muestran que el papel de Tan se expandió rápidamente. Para 2023, los registros muestran que Tan estaba fusionando su código en XZ, una señal de que había ganado un papel confiable en el proyecto. Pero los expertos en ciberseguridad que revisaron los registros dicen que Tan se hacía pasar por un voluntario servicial. Dicen que durante los siguientes meses, Tan introdujo una puerta trasera casi invisible en XZ. Collin no respondió mensajes en busca de comentarios y dijo en su sitio web que no respondería a los periodistas hasta que entendiera la situación lo suficientemente bien como para hacerlo. no devolvió los mensajes enviados a su cuenta de Gmail. Reuters no ha podido determinar quién es Tan, dónde está o para quién trabajaba, pero muchos de los que han examinado sus actualizaciones creen que Tan es un seudónimo de un hacker experto o de un grupo de hackers, probablemente uno que esté trabajando en en nombre de un poderoso servicio de inteligencia. «Esto no es cosa de niños», dijo Omkhar Arasaratnam, director general de la Open Source Security Foundation, que trabaja para defender proyectos como XZ. «Esto es increíblemente sofisticado». Tan fácilmente podría haberse salido con la suya si no hubiera sido por Freund, el desarrollador de Microsoft, cuya curiosidad se despertó cuando notó que la última versión de XZ usaba intermitentemente una cantidad inesperada de potencia de procesamiento en el sistema que estaba probando. Microsoft se negó a permitir que Freund estuviera disponible para una entrevista, pero en correos electrónicos y publicaciones en las redes sociales disponibles públicamente, Freund dijo que una serie de pistas fáciles de pasar por alto lo llevaron a descubrir la puerta trasera. El hallazgo «realmente requirió mucho de coincidencias», dijo Freund en la red social Mastodon. El CEO de Microsoft, Satya Nadella, felicitó a Freund durante el fin de semana y dijo en una publicación en la red social X que le encantó ver cómo el desarrollador, «con su curiosidad y habilidad, pudo ayudar todos nosotros.»En la comunidad de código abierto, el descubrimiento ha sido aleccionador. Los voluntarios que mantienen el software que sustenta Internet no son ajenos a la idea de poco salario o reconocimiento, pero darse cuenta de que ahora estaban siendo perseguidos por espías con buenos recursos que pretendían ser buenos samaritanos fue «increíblemente intimidante», dijo Arasaratnam. , de la Open Source Security Foundation. Los funcionarios gubernamentales también están sopesando las implicaciones del casi accidente, que ha subrayado las preocupaciones sobre cómo proteger el software de código abierto. La subdirectora nacional de ciberseguridad, Anajana Rajan, dijo a Politico que «hay muchas conversaciones que debemos tener sobre lo que hacemos a continuación» para proteger el código fuente abierto. HAGA CLIC AQUÍ PARA OBTENER LA APLICACIÓN FOX NEWS La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dice «Se ha apoyado en empresas estadounidenses que utilizan software de código abierto para reinvertir recursos en las comunidades que lo construyen y mantienen. El asesor de CISA, Jack Cable, dijo a Reuters que la carga recaía en las empresas de tecnología no sólo para examinar el software abierto sino para «contribuir y ayudar». construir el ecosistema sostenible de código abierto del que obtenemos tanto valor». No está claro que las empresas de software estén debidamente incentivadas para hacerlo. Las listas de correo en línea de código abierto están repletas de quejas sobre los gigantes tecnológicos que exigen que los voluntarios solucionen problemas con el software de código abierto que Las empresas utilizan para ganar miles de millones de dólares. Cualquiera que sea la solución, casi todo el mundo está de acuerdo en que el episodio XZ muestra que algo tiene que cambiar. «Tuvimos una suerte irracional aquí», dijo Freund en otra publicación de Mastodon. «No podemos simplemente confiar en eso en el futuro».

Source link