Puerta trasera en XZ: el tiempo, maldito tiempo y los fraudes

 (rheaeve.substack.com)
2 puntos por GN⁺ 2024-04-01 | 1 comentarios | Compartir por WhatsApp

Puerta trasera en XZ: el tiempo, maldito tiempo y los fraudes

  • Recientemente se descubrió una puerta trasera oculta en los tarballs de xz/liblzma.
  • Esto podría ser una de las mayores violaciones de confianza en el ecosistema del software libre.
  • Se estima que la puerta trasera fue insertada por Jia Tan, mantenedor de xz desde hace mucho tiempo.
  • Durante su actividad como mantenedor, Jia siguió siendo una figura relativamente enigmática y se sabe muy poco sobre su verdadera identidad.
  • En el ámbito del software libre, el anonimato suele considerarse algo positivo, pero en este caso resulta interesante averiguar quién fue la persona que acumuló la confianza de la comunidad durante mucho tiempo y luego abusó de ella.
  • A través de los metadatos que pueden extraerse de la actividad de Jia, es posible averiguar más sobre él.

¿Qué se puede aprender del tiempo?

  • Vale la pena pensar en las condiciones en las que se crea el software.
  • El rango de cosas que los patrones temporales pueden decirnos es muy amplio.
  • Entre quienes escriben código, algunos lo hacen como profesión y otros como pasatiempo.
  • También hay personas que escriben código en horarios distintos según la región.
  • Los feriados, los horarios de sueño y el equilibrio entre trabajo y vida personal también influyen en la escritura de código.
  • Entender cuándo alguien escribe código ayuda a entender por qué y desde dónde lo hace.

Análisis de los commits de Jia

  • Se realizó un análisis de los commits y las marcas de tiempo de JiaT75 en el repositorio de XZ.
  • Las marcas de tiempo de Git pueden modificarse a voluntad, pero en la práctica es difícil manipular los datos temporales de forma convincente.
  • Cambiar solo la zona horaria es más fácil que alterar la hora real.
  • Jia Tan probablemente quería que la gente pensara que era asiático, en particular chino, y la mayoría de sus commits (440) tienen marcas de tiempo UTC+08.
  • Sin embargo, se estima que en realidad provenía de algún lugar en la zona horaria UTC+02 (invierno) / UTC+03 (horario de verano).
  • A veces olvidó cambiar la zona horaria, y eso coincide con la transición al horario de verano en Europa del Este.
  • Su horario de trabajo y sus feriados parecen encajar mejor con los de Europa del Este que con los de China.

Opinión de GN⁺

  • Este artículo ofrece un caso interesante sobre la importancia de la confianza y el anonimato en la comunidad de desarrollo de software.
  • Amenazas de seguridad como una puerta trasera pueden golpear fuertemente la confiabilidad de los proyectos de código abierto, lo que implica que los desarrolladores deben prestar más atención a la revisión de código y a las auditorías de seguridad.
  • Este tipo de incidentes recuerda a los desarrolladores la importancia de los registros de commits y los metadatos. Verificar la identidad de contribuyentes de confianza puede ser esencial para la seguridad del proyecto.
  • Otros proyectos de código abierto con funciones similares incluyen GitLab y GitHub, que están reforzando los protocolos de seguridad y la autenticación de usuarios para mantener la confianza de la comunidad.
  • Este artículo muestra cuán importante es encontrar un equilibrio entre anonimato y confianza dentro de la comunidad tecnológica. Los administradores de proyectos y los contribuyentes deben aprender de estos incidentes y tomar medidas para reforzar la transparencia y la seguridad del código.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-04-01
Comentarios de Hacker News

  • Resumen del primer comentario:

    • Quien comenta no cree que el hacker sea de Europa del Este, y menciona países europeos dentro de la zona horaria UTC+0200/+0300 y la región de Medio Oriente.
    • Señala que, si se tratara de un ciberataque patrocinado por un Estado, el departamento que escribe el código y el que lo conecta a internet podrían estar separados, y que este último podría ajustar los horarios para que la información de origen coincida con cierta narrativa.

  • Resumen del segundo comentario:

    • Quien comenta menciona que la zona horaria GMT+8, un nombre mezclado con chino y conexiones a través de servidores de Singapur podrían indicar una identidad singapurense.
    • También señala que puede haber dudas sobre la idea de que el nombre suene falso, ya que la gente de China continental podría no conocer bien a las comunidades chinas en el extranjero.
    • Sugiere que analizar otros escritos de Jia Tan podría ayudar a distinguir entre una persona de Singapur, de China continental o usuaria de lenguas eslavas.

  • Resumen del tercer comentario:

    • Quien comenta dice que viaja mucho, así que para no exponer su itinerario en repositorios públicos usa el comando gc mapeado a TZ=UTC0 git commit.

  • Resumen del cuarto comentario:

    • Quien comenta dice que, más allá de la gravedad del incidente, le resulta muy fascinante el proceso de resolver misterios que ocurren en internet.

  • Resumen del quinto comentario:

    • Quien comenta le envía palabras de ánimo a Jia y dice que, si no lo intentas, ni siquiera tienes la oportunidad de lograrlo.

  • Resumen del sexto comentario:

    • Quien comenta señala que la diferencia entre las horas de dos commits no es de unas 9 horas, sino de alrededor de 1 hora.

  • Resumen del séptimo comentario:

    • Quien comenta menciona que también es una persona que trabaja muy temprano, y dice que sería más creíble que un hacker o una persona joven trabajara por la tarde o entrada la noche.

  • Resumen del octavo comentario:

    • Quien comenta propone incluir también las marcas de tiempo de las respuestas en la lista de correo.

  • Resumen del noveno comentario:

    • Quien comenta plantea la posibilidad de que una persona estadounidense (o de otro lugar) esté fingiendo ser de Europa del Este mientras también finge ser china.