Cómo un ingeniero evitó un ciberataque global masivo debido a un error de medio segundo | Tecnología

«Accidentalmente encontré un problema de seguridad mientras intentaba realizar cambios», escribió el ingeniero Andrés Freund en Red Social Mastodon. En ocasiones, las operaciones más largas y sofisticadas para obtener acceso ilegal a millones de dispositivos de todos son imposibles de llevar a cabo.

El mensaje fue enviado a un enlace de Freund explicando cómo se había encontrado con «un fenómeno de síntoma raro» al actualizar un programa. Llamaré la atención sobre el hecho de que estás utilizando la mayor capacidad de tu procesador y que, sobre todo, tardarás en acceder a él más adelante. Fue entonces cuando surgió su investigación y descubrió el oscuro trabajo realizado durante más de dos años por lo que probablemente era una agencia de inteligencia estatal.

“Es muy probable que sea un asunto de aficionados. No tengo ninguna recompensa inmediata”, afirma Lukasz Olejnik, investigador y consultor independiente de ciberseguridad y autor del libro. Filosofía de ciberseguridad (sin traducción al español). “El tiempo dedicado a esta operación de transporte, la sofisticación del sistema de puerta trasera y su código, todo indica que existe una organización o agencia que puede autorizar un proyecto como este. Es mucho más probable que haya gente pagando”.

El ataque fue llamadas desde el canal de suministro, lo que afecta al software que soporta los programas más famosos y habituales. En este caso, el objetivo era una herramienta de compresión utilizada en Linux, un sistema operativo gratuito y de código abierto. Esta herramienta se utiliza en millones de máquinas. El objetivo del ataque es similar a crear una puerta trasera con una llave especial, que es sólo suya para acceder a cualquier edificio en el mundo que será su entrada.

Este sistema lo ejecutan de forma gratuita desarrolladores voluntarios que dedican horas a mantener y actualizar programas independientes. Esta es la llamada de XZ Utils. Durante los últimos dos años, el atacante ha trabajado junto con el programador responsable de actualizar este proyecto. software. La persona encargada de actualizar y responder por correo a las peticiones de respuesta de otros desarrolladores estaba sobrepasado. Y así, parte del ataque es pura ingeniería social: intentará dejar algunas de sus tareas a la persona a expensas de una cuenta de alguien que llamó a Jia Tan.

Si el atacante registra la confianza del código cargado, con el tiempo puede colocar su código de forma maliciosa. Si no ha sido detectado, es software Ya ha liberado millones de servidores y les ha dado acceso privilegiado. No está claro si la intención es utilizarlo para entrar en una máquina específica o en un ataque más masivo.

Debido a que el código y el método requieren capacidades informáticas extraordinarias, el control de estos programas depende del menú de desarrolladores experimentados y sus problemas. En un hilo de mensajes, el enviado admite no haber leído todo: «No, ha perdido el interés, pero mi capacidad para implicarme es limitada, en gran parte debido a problemas de salud mental en un lugar importante, pero también en otros». navajas de afeitar. Recientemente colaboró ​​en una lista con Jia Tan en XZ Utils y, aunque creemos que publicará un artículo más grande en el futuro. También es importante tener en cuenta que se trata de un proyecto por afición y sin remuneración”, escribe el responsable, que da nuevas explicaciones singulares que de momento no responderán a las revistas “porque primero debemos “comprender la situación suficientemente a fondo”.

“Hay un cerro de gente quemada en el software, tanto en código abierto como en comercio. En este caso puede ser útil, pero no decisivo”, afirma Olejnik. “Este es un cheque que incluye el software de nicho u oscuro, semihuérfano, tal vez un certificado de seguridad nacional e internacional. Es un costo oculto de software. Además, puedes ser culpable de mantener XZ, pero no hay muchos desarrolladores para elegir para este tipo de software», añadió.

Es probable que se carguen otros factores falsamente apresurados para que sea antes de su trabajo en Jia Tan. El caso demuestra ser tanto un éxito como un beneficio para la comunidad que preserva gran parte del código de toda nuestra infraestructura digital. La mejor parte es que encontrar trabajo es relativamente fácil. La cuestión es que el código esté disponible y accesible para que alguien como Andrés Freund pueda detectar la trampa y hacerse famoso.

El propio Freund llora que esta vez tuvo suerte: “No es que crea que no hice nada nuevo. Listo. Queremos decir que tenemos una cantidad irracional de poder y ahora sólo podemos confiar en algo como esto», escribió Mastodon. El ataque se caracteriza por la combinación de factores, pero los bloques de software libre basados ​​en Internet han sido atacados en En otras ocasiones, así como por agencias de inteligencia, es probable que haya otros casos similares en operación o plantación, también hay casos sumamente sonados.

Una famosa cuenta X (antes Twitter) dedicada a códigos maliciosos creó un meme de recompensa viral para Freund. “La puerta oculta de Xz será la pastilla de un ingeniero de software de Microsoft. Tiene una latencia de 500 armas y cree que tiene algo raro. Este tipo es la espalda plateada de los frikis gorilla. Al puto le encanta internet.

Hay más sentimientos por este otro que debería ser como, en este caso, el software La mayor parte del mundo era “mantenida de manera sospechosamente por un actor pagado por el Estado en horario de oficina”. El dibujo original que está basado en esta misma obra es obra del artista Randall Munroe y el pie de foto es algo que sucede en la realidad: «Un proyecto que una persona de Nebraska llevará a cabo desde 2003, sin que eso suceda. «.

Puedes seguir un EL PAÍS Tecnología fr. FacebookX o haga clic aquí para recibir el nuestro boletín semanal.