Un ingeniero de Microsoft descubre por casualidad una puerta trasera escondida en una librería usada por la inmensa mayoría de sistemas basados en Linux dando lugar a la revelación de una campaña perfectamente orquestada para conseguir acceso remoto a miles de millones de sistemas en todo el mundo.
Notas y referencias
- Timeline de lo sucedido con XZ
- Lista de descubrimientos una vez se dio a conocer la existe ncia d ela puerta trasera
- Reflexiones sobre el incidente de un experto
- Gráfico explicativo de lo sucedido
- Explicación técnica de la puerta trasera
- Mail de Andrés alertando de la puerta trasera en XZ
Gracias a Monad por su apoyo.
https://www.facebook.com/manuel.smithmuller
Ha sido un episodio muy interesante. El desarrollo del timeline explicado en el episodio ha sido apasionante. La verdad que el «caso» ha tenido un poco de todo, ingeniería social, ingeniería pura (a saber que código ha generado para comprometer ssh) un poco de suerte en que un «artista» esté realizando microbenchmark y le piquen las orejas porque un proceso se ralentiza medio segundo…
Me pregunto si, ha día de hoy, podría haber mas puertas traseras del estilo que no han sido detectadas y todos nuestros datos están siendo capturados por terceros.