› Foros › PC › Software libre
xz backdoor
Hablamos estos días de seguridad en el sentido más amplio y de excepciones y esta es una de ellas: un problema que está sobresaliendo frente a los demás es el que ha afectado a las utilidades de XZ, un formato de compresión bastante extendido entre los sistemas tipo Unix en general y Linux en particular.
El problema de seguridad detectado por un ingeniero de Microsoft en las utilidades de la versión 5.6 de XZ no es la típica vulnerabilidad, sino que es una puerta trasera (backdoor) que ha sido introducida de manera intencionada por una persona que usa Jia Tan como nombre y JiaT75 como pseudónimo. El proceso de introducción de la puerta trasera parece que no fue sencillo, sino que requirió de bastante picardía por parte de esta persona malintencionada. Sin embargo, logró salirse con la suya y el único consuelo que queda es que la puerta trasera fue detectada antes de que la cosa fuera demasiado lejos.
Sobre las capacidades de la puerta trasera y según explica el blog de Red Hat, el binario resultante de la compilación del código fuente tiene la capacidad de interferir en la autenticación de SSH a través de systemd, abriendo así la puerta a que un actor malicioso pueda romper la autenticación de de sshd (el daemon de SSH) para obtener acceso en remoto a una computadora de manera no autorizada.
Tras destaparse el escándalo, GitHub decidió inhabilitar el repositorio de XZ por violar sus términos de servicio. Esta medida, que se espera sea temporal, se ha tomado con el propósito de prevenir y evitar la propagación de la puerta trasera a más sistemas aparte de los afectados, que al final han sido unos cuantos y no precisamente de la escena underground de Linux.
Imagen mostrando que el repositorio de código de XZ ha sido cerrado en GitHub
Imagen mostrando que el repositorio de código de XZ ha sido cerrado en GitHub.
El hecho de que la puerta trasera fuera introducida en la versión más reciente XZ, o al menos así consta de momento, ha minimizado el impacto a distribuciones de perfil bleeding edge. Dentro del ecosistema de Red Hat, en un principio fue detectada en Fedora 41 y la rama Rawhide de la distribución comunitaria, pero una investigación más exhaustiva detectó que los usuarios de la versión 40 también se vieron afectados si habían habilitado los repositorios de prueba.
En caso de no haber habilitado los repositorios de prueba en Fedora 40, el usuario se habría quedado en el repositorio estable y no habría recibido la versión maliciosa de XZ, la cual tampoco está presente en Fedora 39, RHEL 9 ni debería estar en derivadas como AlmaLinux, Rocky Linux y Oracle Linux.
En lo que respecta a openSUSE, los encargados de la distribución del camaleón han reconocido que introdujeron XZ 5.6.0 en Tumbleweed y MicroOS entre los días 7 y 28 de marzo. Como medida de mitigación se ha revertido la versión de XZ y se han publicado nuevas imágenes de los dos sistemas. Como es de esperar, SUSE Linux Enteprirse y Leap no se han visto afectadas debido a que son mantenidas aparte por su enfoque más empresarial y hacia el suministro de un software más estanco.
Arch Linux también ha distribuido la versión maliciosa de XZ. Los responsables han recomendado actualizar cuanto antes las instalaciones en máquina física y máquina virtual y la imagen de contenedor para Podman y Docker. Los medios que tienen implementada la puerta trasera son el medio de instalación 2024.03.01, las imágenes para máquinas virtuales 20240301.218094 y 20240315.221711 y las imágenes de contenedor de entre el 24 de febrero de 2024 y el 29 de marzo de 2024. La versión de XZ que contiene la mitigación es la 5.6.1-2. Si el usuario tiene instalada la 5.6.0-1 o la 5.6.1-1, debe actualizar cuanto antes a través de vía estándar: pacman -Syu
Versión XZ presente en Fedora Silverblue 39
Canonical ha publicado que es consciente del problema que ha afectado a las utilidades de XZ y ha eliminado la versión afectada de la biblioteca de las propuestas de compilación de Ubuntu 24.04 LTS. La compañía ha anunciado que está investigando el asunto, cosa normal viendo la gravedad y por lo tanto la prudencia que requiere, y ha mostrado su agradecimiento a los miembros de la comunidad que están contribuyendo al respecto. El hilo de Discourse donde se ha publicado esto ha sido cerrado, así que no hay más información presente en el mismo medio.
Y como no, Debian también se ha visto afectada. Andres Freund, el ingeniero de Microsoft detrás del hallazgo, descubrió la puerta trasera después de detectar problemas de rendimiento en un sistema Debian que estaba usando SSH. Siendo más concretos, vio que el daemon consumía demasiados ciclos del procesador y que Valgrind, un marco con herramientas capaces de detectar automáticamente fallos en la gestión de la memoria y los procesos, le estaba arrojando errores. Las ramas afectadas, siguiendo lo visto en los casos anteriores, son Testing, Unstable y Experimental.
El fallo de seguridad introducido en SSH, que es seguido como CVE-2024-3094, parece atajado, pero ante una situación como esta es preferible mantener la prudencia mientras no se tenga claro que todo está solucionado. Si se quiere comprobar qué versión de XZ está instalada, el usuario puede ejecutar el siguiente comando:
xz --version
Debido a que la puerta trasera está dirigida a SSH, la inhabilitación total de su daemon o su desinstalación del sistema es otra medida de mitigación que debería poder contemplarse, pero aquí entramos en las circunstancias de cada uno. A estas alturas no hace falta decir que toda distribución que suministre XZ 5.6 está afectada si los responsables no han tomado medidas, algo que las grandes del sector ya han hecho.
Hablábamos el otro día de cómo la Snap Store se va a poner un poco más seria con la prevención del malware y toca ampliar un poco la perspectiva, porque el mal ware se puede dar donde menos te lo esperas. Esta vez le ha tocado a la KDE Store, la tienda de «complementos» de KDE Plasma y aunque no se trata de un suceso para nada común, puede pasar. Hablemos de seguridad, pues.
Lo cierto es que es que de tanto en cuando se lee por ahí de vulnerabilidades en Linux, de los métodos de explotación y tal, y si casi nunca nos hacemos eco de esas noticias es por algo: por lo general, es complicado que estas amenazas tengan un efecto considerable en los usuarios, por la serie de elementos y circunstancias que deben coincidir para ello; y la gran mayoría de las veces, cuando se da a conocer el problema, ya se están enviando los parches que lo solucionan.
Para entenderlo más fácilmente, sería como hacer una noticia por cada parche para agujeros de seguridad considerados como críticos de los que se incluyen en cada actualización de una aplicación -este es el pan de cada día en el desarrollo de los navegadores web- o sistema. En mi opinión, no merece la pena perder el tiempo con esas cosas: es preferible repetir de vez en cuando la tradicional lista de buenas prácticas (mantener el software actualizado, no instalar nada raro de fuentes no fiables, etc).
Las excepciones son estos casos. Casos como el mencionado de la Snap Store, en el que se les coló software de minado de criptomonedas en segundo plano, como el del malware en los repositorios de Arch Linux de hace unos años, también con el mismo perfil de software malicioso (sí, un minero oculto es malware). O como este que nos ocupa, mucho más serio en mi opinión, aun cuando no se puede categorizar de la misma manera.
Según cuenta un usuario en Reddit, procedió a instalar un tema global de Plasma (estos incluyen un montón de cosas: tema del escritorio, de las aplicaciones, colores, wallpapers, pantallas de bienvenida y más elementos) cuando le apareció un diálogo pidiendo su contraseña de administrador. Fue entonces cuando le olió mal el asunto y canceló la instalación, pero para ese entonces ya se había borrado todos sus datos de usuario: «Todas las unidades montadas bajo de mi usuario habían desaparecido, hasta 0 bytes, juegos, configuraciones, datos del navegador, carpeta de inicio, todo había desaparecido», explica.
seguridad
Por lo que cuenta, la instalación de este tema habría ejecutado un script con el comando «rm -rf» (un borrador recursivo) que le limpió el almacenamiento al que tenía acceso (por lo general, todo menos la raíz y sus directorios base) y se pregunta, obviamente, qué habría sucedido de poner su contraseña y darle vía libre al mismo. Si lo que le pasó a este usuario (ojo: casa 4.000 descargas tenia este tema, así que a saber cuántos se vieron afectados) hubiese sido premeditado, estaríamos hablando de malware de la vieja escuela, del que no quiere robarte nada, sino amargarte la existencia destruyendo tu sistema o, como ha sido el caso, tus datos.
Pero no fue así. Como es normal, el tema ha generado revuelo y varios desarrolladores de KDE han salido a dar explicaciones. Así, David Edmundson comenta en su blog que este tema, el cual fue eliminado de la KDE Store, no era software malicioso como tal: su autor cometió un error en el código. El error concreto no se detalla, pero es fácil imaginar que se lió con lo que debía ser el borrado del tema o algo similar. Ahora bien, no es excusa porque la faena que le hizo al tipo es tremenda.
Edmundson expone el problema específico y sus pormenores, apunta hacia la advertencia que aparece cada vez que alguien quiere instalar algo desde la KDE Store (se suele hacer directamente desde las aplicaciones del sistema, por ejemplo, a través de «Preferencias del sistema > Aspecto y estilo > Colores y temas > Tema global > Obtener novedades…»; y así con otras complementos, como los widgets del escritorio); habla de las expectativas de seguridad realistas al instalar cosas y, claro de qué pueden hacer mejor para evitar estos problema…
A todo esto, un apunte adicional: es normal que muchos temas globales pidan la contraseña de administrador porque pueden tener la opción de instalarse para todos los usuarios del sistema, o porque se meten tan adentro de la personalización que tocan elementos que precisan de permisos para ser modificados. La cuestión es que, como como he mencionado y menciona Edmundson, si bien hay que poner más medidas para que estas cosas no pasen, también lo tiene que hacer el usuario por su parte, con lo también mencionado: las buenas prácticas.
En este caso, aplicar unas buenas prácticas habría sido revisar los comentarios de este tema, probarlo en un entorno seguro (una máquina virtual, un usuario de pruebas…) y, de tener los conocimientos, revisar el paquete y sus contenidos, además de, por supuesto, tener implantado un buen sistema de copias de seguridad. Pero seamos honestos: ¿quien hace tanto rollo para probar un tema de Plasma que además se consigue a través del propio escritorio? Ya te lo digo yo: nadie.
Pero nadie. Ni siquiera el que hizo el tema se molestó en comprobarlo, antes de subirlo, que ya tiene delito. Por suerte, cabe repetir, no es algo que suela pasar habitualmente. Lo cual no le quita responsabilidad ni al autor de tamaño descalabro, ni a la KDE Store, ya que estamos, por más advertencias que se den. Es clamoroso que no se pongan medidas que prevengan estas situaciones, a pesar de que la seguridad total no exista. Un mensajito de alerta es poca cosa.
Por cierto, formatos como Snap y Flatpak (Edmundson pone de ejemplo a Flatpak) pueden ayudar en este terreno, aunque la supervisión del usuario seguirá siendo necesaria para optimizar la seguridad. Y es que de seguridad va la historia.
Este es un caso aislado, pero también es una buena muestra de que la seguridad tiene más de un cara. No todo es cibercrimen. A ver quién no prefiere que se le cuele un minero que lo único que hace es quitarle un poco de procesador, a que le borren los datos. En ambos casos, però, la seguridad ha fallado… y estamos a expensas de esos fallos en múltiples ámbitos: en el mismo sistema, las aplicaciones, nuestra actividad…
seguridad
Así que, he aquí una buena práctica elemental por definición: copias de seguridad, siempre. Claro que, visto lo visto, tendremos que repasar el resto un día de estos.
Para terminar, un apunte para los curiosos: lo más probable es que, de haber introducido el usuario siniestrado su contraseña de administrador, no hubiese pasado nada, porque las distribuciones modernas suelen tener seguros contra acciones de ese tipo. Si alguien quiere comprobarlo, eso sí, que lo haga con las debidas precauciones.
Duendeverde escribió: La gente pensaba que con ubuntu o fedora, iban a estar más seguros que con winbug. Pero la realidad es que también son sistemas vulnerables y peor, ya que todo va vía oficial repositorio.
Duendeverde escribió:Es como si en windows, tuvieras bicho en las aplicaciones de la windows store.
Duendeverde escribió:En windows, pues microsoft puede callar y como es software cerrado, con suerte no se entera nadie y no exprimen ciertas vulnerabilidades.
lovechii5 escribió:Duendeverde escribió: La gente pensaba que con ubuntu o fedora, iban a estar más seguros que con winbug. Pero la realidad es que también son sistemas vulnerables y peor, ya que todo va vía oficial repositorio.
Todo para decir la tonteria de turno.
La gracia es que en GNU/Linux tu y cualquiera puede auditar un código y ver que hace cada cosa. Como el primer bug, alguien de Microsoft lo puede detectar, de la misma manera que alguien de Samsung o de Google o de RedHat o un usuario Random.
Pidgey escribió:@mekkon Curioso lo que dices, y mas cuando mas del 70% de la gente usan windows, en fin yo solo puedo decir que he probado linux no me acaba de convencer, me parece mucho mas tedioso y bastante mas pesado de usar, ademas no se porque siempre va mas lento que windows 10 por mucho que nos pongamos algunos,
Hace nada que probe el linux mint por la similitud a windows y entre que va mas lento bastante que este y que las aplicaciones que suelo usar no las tiene y debes usar el wine o bottle (que por cierto no consegui que rualaran con estos) pues como que te echa para atras que no veas. quizas para un sistema de emulacion sea eficaz, pero no lo he probado aun y me juego a que iran peor que en windows.
Un saludo.
Pidgey escribió:@mekkon Curioso lo que dices, y mas cuando mas del 70% de la gente usan windows, en fin yo solo puedo decir que he probado linux no me acaba de convencer, me parece mucho mas tedioso y bastante mas pesado de usar, ademas no se porque siempre va mas lento que windows 10 por mucho que nos pongamos algunos,
Hace nada que probe el linux mint por la similitud a windows y entre que va mas lento bastante que este y que las aplicaciones que suelo usar no las tiene y debes usar el wine o bottle (que por cierto no consegui que rualaran con estos) pues como que te echa para atras que no veas. quizas para un sistema de emulacion sea eficaz, pero no lo he probado aun y me juego a que iran peor que en windows.
Un saludo.
darksch escribió:lovechii5 escribió:Duendeverde escribió: La gente pensaba que con ubuntu o fedora, iban a estar más seguros que con winbug. Pero la realidad es que también son sistemas vulnerables y peor, ya que todo va vía oficial repositorio.
Todo para decir la tonteria de turno.
La gracia es que en GNU/Linux tu y cualquiera puede auditar un código y ver que hace cada cosa. Como el primer bug, alguien de Microsoft lo puede detectar, de la misma manera que alguien de Samsung o de Google o de RedHat o un usuario Random.
Eso es muy cierto, el problema es que no se hace. Mi opinión es que se ha generado un ansia innecesario y se sufre ya de “actualicitis”. Si algo funciona, para qué “mejorarlo”, que en el 99% de los casos, en mi experiencia, no veo tal “mejora”, simplemente un aumento en el número de versión.
Entonces con tantas y tantas actualizaciones, llega un momento en que se deja de auditar lo que se le mete, por mero cansancio, sumado a confiarse por la rutina de una versión tras otra.
Preferiría menos actualizaciones y que éstas fueran revisadas a conciencia. Tanto para notar un cambio real entre versiones como tener mayor seguridad.
Pidgey escribió:@mekkon Oks muchas gracias , voy a ir probando a ver que tal, mis equipos mas antiguos son de gama entre media a baja, un i5 4570 y un i7 3300, con una gt 1030 y una gt 710, me van bien los programas como la suite de adobe ect.. que las uso principalmente para trabajar, y en emulacion el de la gt 1030 hasta ps3 me van varios titulos de esta, o incluso muchos de switch. por cierto, ¿el batocera tiene emulacion de ps3, xbox 360,cemu y switch?, de los demas se que hay emuladores pero no se si se añadieron estos ams modernos, ah si tb me gustaria saber si has probado wine y que tal funciona para los programas que te dije antes (photoshop ect..) para poder usarlos en linux.
Un saludo,
Pidgey escribió:@DJ Deu y @mekkon Gracias por las respuestas, como bien has dicho DJ Deu yo uso photoshop e illustrator de forma profesional por eso lo necesito tener en linux para poder hacer los trabajos como en windows, he probado el gimp y esta muy bien para ser un software libre la verdad, pero hay varias funciones que suelo usar en photoshop o algunos plugins que me son necesarios para mi trabajo. por cierto probe de nuevo linux mint en un nuevo disco duro que tenia mas rapido, y ahora si va muy bien y me gusta bastante su interfaz y la store que trae, al final creo que era problema del disco duro que use para probarlo que no era el mas idoneo ya que era muy antiguo. por cierto, intente intalar el photoshop con wine pero la verdad que incluso despues de ver varios tutoriales no consigoi hacerlo funcionar, ¿podriais ayudarme con ello? ¿ conoceis algunos tutoriales buenos que expliquen mejor como instalarlo?, no tiene por que ser el ultimo photoshop y illustrator con versiones de 2021 o posteriores hasta 2018 estaria mas que perfecto para poder usarlos, vamos la mas compatible que ejecute wine dentro de ese rango , ¿para aplicaciones diferentes como por ejemplo paint tool sai 2 y otras tb podriais ayudarme a ponerlos?, la verdad que asi tendria mas que suficiente para poder seguir haciendo mis trabajos ):.
Uy casi lo olvido, gracias por la info sobre batocera DJ Deus, lo pondre en el pc que tengo para jugar emuladores, por cierto ¿puedo jugar a juegos de steam tb aqui?, he leido que hay una aplicacion en linux parecia a la de steam os de la steamdeck, no se si funcionaran todos los juegos o tengo que hacer algo en algunos, uno de los que me interesaria poner por ejemplo de los que tengo es el the vagrant que es un juego estilo odin sphere y no se si tiene version de linux.
Un saludo y gracias de antemano.