0.0
Cincocientos milisegundos.
1.84
Un segundo y medio.
3.379
El margen por el cual Internet no era
6.559
Se ha secuestrado.
6.919
Marzo, 2024.
10.039
San Francisco.
11.56
Un ingeniero de Microsoft de treinta y ocho años llamado Andres Freund es un
15.298
comparando el PostgreSQL en un sistema de desarrollo Debian.
18.306
Es una tarea de rutina.
20.454
Freund es un comisionado en el proyecto PostgreSQL.
23.893
Él prueba el rendimiento de la base de datos contra las distribuciones de Linux pre-lanzadas.
27.332
como parte regular de su trabajo.
30.339
Algo está mal con el entorno de prueba.
33.2
Los intentos de inicio de sesión SSH fallidos son del tipo que
36.863
Cada servidor público está constantemente envuelto, bots automatizados intentando golpear.
40.228
Las combinaciones de nombre de usuario y contraseña aleatorias están utilizando
43.591
Mucho más CPU de lo que deberían.
46.115
Un inicio de sesión fallido debe terminar rápidamente.
48.637
Estos no terminan rápidamente.
50.74
Freund notifica.
52.32
Él investiga más.
53.926
Login SSH exitosos, en su propia máquina local,
57.406
Las pruebas de detección de la luz toman cincocientos milisegundos más tiempo que las pruebas de detección de luz.
60.889
La línea de base de aproximadamente cien milisegundos.
63.5
Un segundo y medio.
64.92
Freund ejecuta la conexión bajo Valgrind, un error de memoria.
69.763
herramienta. herramienta.
70.17
Valgrind arroja errores apuntando a liblzma a
73.414
La biblioteca de compresión que el daemon SSH no tiene
76.658
Un motivo legítimo para invocarlo.
78.28
Es entonces cuando la investigación se vuelve urgente.
81.299
Durante los próximos días, Freund rastrea el
84.772
Erros. errores.
85.168
Él encuentra que el proceso sshd en su
88.34
La máquina de prueba está ejecutando código de liblzma durante.
91.512
autenticación.
91.908
Él disecta la fuente de xz-utils en el git
95.079
Repositorio.
95.475
La fuente está limpia.
97.061
Pero la tarbola de liberación la fuente comprimida
100.233
archivo que Debian descarga y construye desde
103.406
contiene un archivo llamado build-to-host.m4 que es
106.578
No en la fuente git.
108.56
Ese archivo contiene un guión obfuscado.
111.801
El guión decodifica un guión bash oculto dentro
115.722
Un archivo de prueba llamado bad-3-corrupt_lzma2.xz un archivo
119.644
que se disfraza de una entrada de prueba rota
123.566
para el manejo de errores de la biblioteca de compresión.
126.507
El script bash decodifica un segundo archivo, good-large_compressed.lzma,,
130.429
Usando la ofuscación personalizada combinada con la descifrado RC4.
133.86
Lo que sale al final de la historia
136.834
Una cadena de objetos compartidos es una cadena de objetos compartidos.
138.84
El objeto compartido es una puerta trasera.
141.979
En la noche del veintiún noveno de marzo de 2024
146.679
Mientras, por su cuenta, escuchaba a un
149.778
Podcast durante un descanso de cocina Andres seguridad
152.877
Freund publica sus hallazgos en el correo de seguridad oss-security
155.978
Lista en Openwall.
157.139
En 24 horas, Red Hat lo ha asignado.
160.9
Un número de CVE.
162.198
El puntaje de severidad es diez puntos cero.
165.224
Lo más alto posible.
166.522
La CISA emite un aviso de emergencia.
168.685
Debian, SUSE, Fedora, Arch y Kali todos se vuelven a la realidad.
172.145
Los paquetes afectados.
173.443
GitHub suspende la cuenta del mantenedor que
176.902
Comprometió la puerta trasera.
178.199
La puerta trasera, resulta, estaba programada para
181.644
El barco con distribuciones Linux estables dentro de aproximadamente dos años.
184.787
Semanas.
185.18
Freund lo atrapó por accidente.
187.08
Este es el expediente de caso de lo ocurrido.
191.578
Sobre lo que casi pasó.
193.026
Y sobre cuál fue la operación.
195.199
El objetivo del ataque fue xz-utils.
199.06
xz-utils es un kit de herramientas de compresión.
201.688
Su principal herramienta, el comando xz, produce .xz.
205.414
el equivalente Unix de archivos .zip,
209.14
con mayores proporciones de compresión.
211.003
Bajo la herramienta de línea de comandos hay una biblioteca llamada.
214.73
liblzma, que proporciona el algoritmo de compresión a otros lib
218.456
programas que lo necesitan.
220.319
Liblzma es cargado, directa o indirectamente, por un lib.
223.984
Una enorme cantidad de software del sistema Linux.
226.507
Los gerentes de paquetes se enlazan contra ella.
228.609
Las utilidades del sistema se vinculan contra ella.
230.711
Y a través de una cadena que los atacantes
234.075
específicamente diseñado los enlaces de los daemones OpenSSH contra
237.439
lo hizo.
237.86
La cadena funciona así.
240.689
En la mayoría de las principales distribuciones Linux, sshd está parcheado.
244.736
Apoyar el mecanismo de notificación de servicio de systemd, llamado sd_notify.
248.784
Ese parche hace que sshd cargue una biblioteca
252.831
llamado libsystemd.
253.843
Y libsystemd, a su vez, carga liblzma.
256.879
El resultado: en la mayoría de los servidores de producción Linux, el
260.66
SSH daemon el proceso que acepta el remoto
264.139
Logins carga una biblioteca de compresión en el inicio,
267.62
Aunque SSH no comprime el tráfico de autenticación.
271.1
Comprometer la biblioteca de compresión, y usted comprometerá la biblioteca de compresión.
274.696
Daemon que controla el acceso remoto a todos los Linux
277.992
servidor en Internet.
279.639
En el momento en que la puerta trasera está a punto de ser implementada, Linux
283.206
corría aproximadamente el noventa y seis por ciento de la parte superior
286.471
Un millón de servidores web en el mundo.
289.329
Los cincocientos más poderosos del mundo
292.596
Las supercomputadoras.
293.004
Aproximadamente el noventa y dos por ciento de las máquinas virtuales en toda Amazon
296.269
Servicios Web, Google Cloud y Microsoft Azure.
299.127
Android, que alimenta alrededor del ochenta y cinco por ciento de los sistemas operativos.
302.394
Los teléfonos inteligentes del mundo, se construyen en el núcleo Linux.
305.66
La puerta trasera de xz-utils, si la hubieran enviado a estables
308.971
Las distribuciones, habrían estado presentes en una cantidad sustancial
311.982
fracción de todo lo anterior.
314.24
Alex Stamos, ex jefe de seguridad de la agencia de seguridad de la CIA
317.766
Facebook, describió el resultado previsto en una frase:
320.99
Una clave maestra de cualquier servidor SSH en
324.216
La Tierra.
324.62
Por eso el CVE obtuvo un puntaje de diez.
329.675
punto cero.
330.54
El diseño técnico de la puerta trasera vale la pena.
334.487
Comprensión con precisión.
335.399
El atacante aprovechó el hecho de que liberen tarballs
338.867
Contienen archivos generados automáticamente que no existen en.
342.033
La fuente git controlada por versiones.
343.617
Específicamente, el archivo build-to-host.m4 en el tarball contenía
346.783
Una sola línea que había sido modificada para
349.949
Inyectar un guión obfuscado en el paso de configuración
353.117
del proceso de construcción.
354.699
Esto significaba que cualquiera que leyera la fuente git
357.783
El código no podía ver la puerta trasera.
359.87
Cualquiera que construya desde git no podría activarlo.
362.653
Sólo las distribuciones Linux, que se basan en las distribuciones lanzadas.
365.437
tarballs que es efectivamente todos ellos
368.22
ejecutaría la inyección.
369.959
La cadena de inyección fue de tres etapas.
372.636
La primera etapa extrajo un guión de bash de un.
375.803
El archivo disfrazado como una entrada de prueba de compresión corrupta.
378.971
La segunda etapa usó ese script bash para decodificar
382.139
Un segundo archivo de prueba se convirtió en un archivo compartido compilado
385.307
Objeto. Objeto.
385.704
La tercera etapa vincula el objeto compartido con el .
388.872
Compilaron un liblzma binario.
390.06
El objeto compartido utilizó una característica de glibc legítima.
394.492
IFUNC funciones indirectas llamadas resolvers a
398.624
Se ha secuestrado una función OpenSSH específica llamada RSA_public_decrypt.
402.24
RSA_public_decrypt es la función OpenSSH que valida el RSA.
406.473
firmas durante la autenticación del certificado.
408.439
Cada vez que un cliente intenta conectarse usando
412.372
En un certificado RSA, sshd llama a esta función a.
416.305
verifique la firma.
417.779
Con la puerta trasera activa, sshd estaba llamando a la puerta trasera.
421.92
En su lugar, el código del atacante.
423.36
El código del atacante inspeccionó el módulo público RSA
427.163
el gran valor de un número entero pasado en el
430.668
El certificado del cliente.
431.543
Normalmente, este valor se utiliza en el estándar RSA
435.048
La verificación.
435.485
En la puerta trasera, en realidad era una carga útil
438.99
Contenedor.
439.427
El código descifró la carga útil utilizando un código duro
442.932
ChaCha20 es una llave simétrica.
444.245
Luego verificó la firma de la carga útil descifrada usando.
447.75
Una clave pública Ed448 codificada en código duro.
449.939
Si la firma se verificó, esto significa que la carga útil.
453.107
Fue firmado por la clave privada del atacante
455.973
El código ejecutó los comandos de shell incorporados como.
458.841
La raíz.
459.199
Esto es lo que los investigadores de seguridad llaman un remoto cerrado.
464.192
La ejecución del código.
465.04
La puerta trasera solo se activa cuando el atacante se presenta.
468.432
Una firma criptográfica válida.
470.127
Un atacante común que se topó con la puerta trasera.
473.519
No podía explotarlo.
475.216
Sólo el titular de la llave privada Ed448
478.608
Podría desencadenarlo.
479.879
Este detalle es importante.
481.367
Un actor criminal construyendo una vulnerabilidad a la venta
484.536
Lo hace utilizable por quienquiera que lo compre.
487.307
Un actor estatal que construye una capacidad de acceso persistente.
490.475
lo hace exclusivo.
491.663
Sólo ellos, y cualquiera que ellos autorizen explícitamente, pueden
494.831
Use la llave.
496.019
La puerta trasera xz-utils fue diseñada para uso exclusivo.
499.875
No fue una vulnerabilidad.
502.098
Era un activo estratégico.
504.319
La operación que produjo la puerta trasera comenzó el día de hoy.
508.721
El 26 de enero de 2021
510.259
En esa fecha, se creó una cuenta de GitHub
514.092
Bajo el nombre de usuario JiaT75.
515.859
El nombre de la pantalla era Jia Tan.
518.508
La cuenta no tenía huella digital previa.
521.599
Ninguna presencia en las redes sociales bajo ese nombre.
524.69
No hay charlas de conferencia.
526.014
No hay contribuciones anteriores de código abierto.
527.78
No aparecieron en violaciones de datos.
529.989
El nombre parece ser un seudónimo.
533.08
La primera contribución pública de JiaT75 a los xz-utils ocurrió el día 7 de enero.
537.379
El 29 de octubre de 2021 fue el día de los nueve meses posteriores a la muerte de la madre.
541.379
La creación de la cuenta.
542.379
Fue un parche menor para un editor
546.379
Ficha de configuración.
547.379
Inocuo.
547.879
No es importante.
548.379
El tipo de contribución que establece la presencia sin
552.379
dibujo de escrutinio.
553.379
Durante los próximos dos años y cinco meses,
557.476
JiaT75 ha escrito más de quinientos compromisos con
561.274
Proyectos de código abierto.
562.222
La gran mayoría eran mejoras legítimas código
566.019
Las revisiones, las traducciones, el mantenimiento continuo de la integración, las correcciones de errores.
569.341
Trabajo útil.
570.291
Genuinamente útil.
571.24
Aproximadamente ocho de esos compromisos fueron maliciosos.
574.34
La relación importa.
575.889
Sexty a uno.
577.138
Por cada compromiso malicioso, el operador produjo sesenta.
580.47
piezas de trabajo real y útil.
582.551
Esto es lo que hizo imposible el patrón de
585.883
Detectar a través del análisis de anomalías estadísticas.
587.965
El atacante pasó dos años y medio en el ataque.
591.296
de esfuerzo dedicado produciendo contribuciones verdaderamente valiosas, puramente
594.626
Para acumular la confianza necesaria para comprometerse con el compromiso de la
597.957
Ocho cambios que en última instancia importaron.
600.039
La operación no funcionó sola.
603.919
A partir de abril de 2022, un usuario que se llama a sí mismo
607.337
Jigar Kumar apareció en la lista de correo de xz-devel.
610.456
Kumar no tenía antecedentes en la lista antes
613.575
Abril de 2022.
614.355
Toda su presencia consistió en correos electrónicos de presión dirigidos a
617.472
El principal responsable del proyecto, que se queja de la lenta respuesta
620.591
Tiempo y exigir que un nuevo mantenedor sea
623.71
añadido.
624.1
En mayo de 2022, una segunda cuenta Dennis
627.798
Aparecieron los miembros de la compañía, preguntando sobre el estado de mantenimiento.
631.197
La versión Java de xz-utils, y la siguiente, se aplican.
634.596
con mensajes adicionales de presión.
636.72
Ambas cuentas tenían el mismo perfil.
639.62
No habrá presencia digital antes de 2022.
641.787
No hay actividad fuera de la lista de correo xz-devel.
644.82
Ninguna participación en ningún otro proyecto antes o después.
648.287
Después de la campaña de presión.
650.019
En febrero de 2024 semanas antes de la puerta trasera
653.788
se cometió una tercera cuenta apareció.
656.823
Hans Jansen.
657.691
El papel de Jansen era presionar a los mantenedores de Debian para que se pusieran en contacto con ellos.
661.159
Adoptar la versión comprometida de xz-utils tan pronto como sea posible
664.629
lo más posible.
665.495
El 25 de marzo de 2024, Hans Jansen presentó una demanda.
668.965
El informe de error de Debian solicita explícitamente la actualización.
672.0
Cuatro días después, Andres Freund publicó sus hallazgos.
676.043
a la seguridad de los sistemas.
676.98
Dos cuentas de apoyo adicionales krygorin4545 y misoeater91
682.991
proporcionó presión de fondo en varios hilos, siguiendo
687.403
El mismo patrón.
689.058
No hay presencia pre-operatoria.
690.712
Participación sólo durante ventanas de presión específicas.
694.022
Desaparecer después de que se alcanzaron los objetivos.
696.779
El análisis postincidente de Kaspersky señaló que el estilo geográfico
701.02
Los nombres de las marionetas de calcetines eran inconsistentes Singapur,
704.962
Europeo, indio sugiriendo que el operador tenía
708.903
Dispersó deliberadamente las identidades de cobertura para evitar la
712.845
apariencia de coordinación. Aparición de coordinación.
714.322
Pero el patrón de comportamiento el momento de las apariciones,
718.264
Puntos de presión sincronizados, desaparición colectiva después de cada objetivo
722.206
sugerido un solo operador o estrechamente coordinado
726.147
equipo.
726.639
La presión funcionó.
728.299
El 29 de junio de 2022, el principal mantenedor de la
731.697
xz-utils un desarrollador de software finlandés llamado Lasse
734.796
Collin respondió a la lista de correo y se le dio una respuesta.
737.894
Declaró que Jia Tan tendría un mayor número
740.99
papel en el proyecto en el futuro, y fue,
744.089
En la práctica, ya funcionando como co-mantener.
746.799
Esta fue la entrega.
748.82
Para entender lo que acababa de suceder, es
752.299
Es necesario para entender cuál era la posición de Lasse Collin.
755.48
Collin había mantenido xz-utils, solo, desde 2009.
758.51
El proyecto no fue pagado.
760.072
Trabajaba en ella en su tiempo libre.
763.192
Más temprano ese mismo mes, en junio de 2022
766.315
En respuesta a la lista de correo, Collin había reconocido públicamente que
769.436
Estaba lidiando con problemas de salud mental a largo plazo.
772.557
Se refirió al proyecto, en su propio libro.
775.678
palabras, como un proyecto de pasatiempo no remunerado.
778.019
Lasse Collin no es responsable de lo que sucedió.
782.432
La comunidad de seguridad ha sido unánime en esto
785.245
Un punto.
785.596
Collin estaba haciendo un trabajo de pasatiempo no remunerado.
787.706
Estaba lidiando con desafíos de salud documentados.
790.168
Estaba bajo presión constante y coordinada de lo que le ocurría.
792.98
Resultó ser una operación de inteligencia a nivel estatal.
795.793
El sistema que lo colocó en esa posición
798.606
Lo fracasó.
799.309
No falló en el sistema.
801.419
Lo que la operación explotó no fue la competencia de Collin.
805.279
Era su posición estructural, solo, sin pago, sin ayuda.
808.84
lidiando con factores de estrés reales, responsables del mantenimiento de la infraestructura
812.399
Son usados por miles de millones de personas, sin apoyo institucional.
815.96
El atacante profesional identificó esa estructura y la apuntó.
819.993
lo hizo.
820.46
Una vez que la entrega se completó, la preparación de la infraestructura se completó.
824.635
comenzó.
825.12
En octubre de 2022, Jia Tan fue agregada a.
828.985
La organización Tukaani en GitHub.
831.214
En diciembre de 2022, creó el repositorio de organización de la organización.
834.779
estructura y hizo su primer lanzamiento.
837.453
En marzo de 2023, cambió la seguridad primaria.
841.019
El correo electrónico de contacto en Google OSS-Fuzz el automático
844.586
Plataforma de escaneo de vulnerabilidad desde la dirección de Lasse Collin a
848.15
Su propio.
849.043
A partir de ese momento, cualquier informe de error relevante para la seguridad se publicará.
852.609
Llegaría a Jia Tan antes de que llegue a nadie
856.173
otra cosa.
856.62
En junio de 2023, Jia Tan introdujo el resolver IFUNC.
860.393
La infraestructura se ha convertido en liblzma.
861.695
Los compromisos parecían ser la optimización de rendimiento legítima.
865.168
trabajo.
865.601
En retrospectiva, eran los ganchos a través de los cuales
869.075
La puerta trasera sería finalmente inyectada.
871.679
En julio de 2023, Jia Tan abrió una puesta en marcha.
875.525
En la solicitud de OSS-Fuzz para deshabilitar el fuzzing de IFUNC para
879.072
xz.
879.514
El cambio tenía la intención de evitar las pruebas de fuzz
883.061
La tubería de detección de anomalías en la puerta trasera basada en IFUNC
886.606
Cuando finalmente se envió.
888.379
En febrero de 2024, un compromiso separado rompió el compromiso.
891.836
Detección de sistemas de construcción de un núcleo de Linux
894.99
Una característica de seguridad que restringe los privilegios de proceso.
897.357
El comit ha desactivado la propia caja de arena de xz en sistemas
900.513
De otro modo, eso lo habría aplicado.
902.879
El 23 de febrero y el 9 de marzo de 2024, el evento se celebrará en el Palacio de Dios.
906.546
La propia puerta trasera se realizó en dos etapas, empaquetada
909.913
como parte de los xz-utils 5.6.0 y 5.6.1
913.278
lanzamientos.
913.7
Diecinueve días después, Andres Freund notó un millisecondario de 500 milisegundos.
918.703
El retraso de SSH.
919.879
Los investigadores que analizan los metadatos de comit que dejó atrás el comit
924.019
La operación notó un patrón.
926.419
Los horarios de compromiso de Jia Tan se agruparon principalmente en el
930.125
Son zonas horarias de Europa Central o del Este.
933.106
Las horas de trabajo correspondieron a aproximadamente nueve en el período de la
936.513
Entre las cinco de la tarde y las cinco de la mañana de Europa Central
939.918
El tiempo.
940.345
La actividad continuó durante los principales días festivos chinos y durante las fiestas públicas.
943.75
Se pausa durante varias europeas.
945.879
El nombre, y la geografía operativa reclamada, fue .
949.679
Asia oriental.
950.554
El patrón de trabajo real era europeo.
953.179
Esto es lo que los analistas de inteligencia de comercio llaman firma
956.735
Las filtraciones.
957.14
Un operador pasó más de treinta meses manteniendo un
960.395
La identidad.
961.21
Pero los selos de tiempo automáticos incrustados en cada git
964.464
El commit reveló periódicamente la ubicación real del cometido.
967.719
La máquina que estaba haciendo el comit.
970.159
Tres atribuciones de candidatos han aparecido en el análisis público
975.53
de investigadores de seguridad con experiencia relevante.
978.36
El investigador de seguridad estadounidense Dave Aitel, un ex-NSA
982.128
Científico informático, evaluó públicamente que la operación encajaba.
985.596
El patrón atribuible a APT29 el avanzado
989.065
Grupo de amenazas persistentes atribuido por los Estados Unidos
992.533
Los gobiernos de Reino Unido y Rusia han entregado información a la inteligencia extranjera rusa.
996.0
Servicio.
996.434
APT29 es conocido por sus campañas de espionaje de larga duración, incluyendo
999.903
El compromiso de la cadena de suministro de SolarWinds se reveló en 2020.
1003.37
El horario de trabajo alineado con el partido de la zona horaria de Moscú
1006.839
El patrón de Jia Tan.
1008.139
Costin Raiu, el ex director de Kaspersky, es el único responsable de la investigación.
1012.192
Equipo de Investigación y Análisis Global, con tres décadas de experiencia
1015.945
La experiencia de atribuir operaciones sofisticadas identificó tres.
1019.697
candidatos plausibles en una entrevista de podcast de febrero de 2026.
1023.448
APT29 de Rusia fue uno de ellos.
1025.325
China APT41, asociado con el Ministerio de Estado
1029.076
Seguridad, fue un segundo.
1030.953
El grupo Lazarus de Corea del Norte, ya presentado en anteriores versiones
1034.705
Fragment Zero, fue una tercera cobertura.
1037.519
A partir de abril de 2026, ningún servicio de inteligencia ha tenido
1041.03
publicamente atribuido a la operación.
1042.635
No se han presentado acusaciones.
1044.643
No se han hecho arrestos.
1046.648
La verdadera identidad de Jia Tan sigue siendo desconocida.
1049.859
Lo que no está en disputa, entre los investigadores con
1053.861
La experiencia de la industria relevante, es que la paciencia de la operación,
1057.561
La seguridad operativa, la sofisticación criptográfica y el compromiso con los recursos son
1061.262
Consistente con un servicio de inteligencia de un estado o nación o
1064.962
un equivalente funcional cercano y son inconsistentes
1068.663
individuales con actividad criminal o hacktivista.
1071.44
Esto no fue obra de un solitario.
1074.336
Hacker. Hacker.
1074.66
La operación xz-utils fue posible debido a una
1079.203
Características estructurales de cómo la civilización tecnológica moderna construye
1083.448
su infraestructura crítica.
1085.039
El software que dirige Internet fue construido,
1088.229
En un grado sustancial, por voluntarios que trabajan en la
1091.117
Su propio tiempo.
1092.201
Las empresas que se benefician de este software tienen
1095.089
contribuyó a devolver una pequeña fracción de su economía
1097.979
El valor.
1098.339
xz-utils fue incluido en todos los principales distribuciones de Linux
1102.17
y se ejecutó en una enorme fracción de la población mundial
1105.7
Los servidores.
1106.141
Su mantenedor no fue pagado.
1107.905
OpenSSL, la biblioteca que proporciona criptografía a la mayoría de los usuarios.
1111.435
La mayoría de las empresas de Internet, que se encontraban en la actualidad en el mundo, tenían una escasez de personal antes de que el sistema de Internet se convirtiera en un sistema de control de datos.
1114.965
Heartbleed vulnerabilidad en el 2014.
1116.73
Log4j, la biblioteca de registro de Java detrás de Log4Shell
1120.26
La vulnerabilidad en 2021, fue mantenida por un puñado de personas.
1123.79
de voluntarios detrás de la infraestructura empresarial a nivel mundial.
1126.88
En cada caso, una biblioteca se trataba como crítica
1131.227
La infraestructura de las empresas multimillonarias fue mantenida con proyectos de pasatiempos.
1135.273
Los recursos.
1135.779
La operación xz-utils no inventó esta estructura
1140.532
vulnerabilidad.
1141.089
Lo explotó.
1142.759
El 11 de abril de 2024 dos semanas después
1148.166
La revelación de Freund el EEUU
1150.547
La Agencia de Seguridad de la Ciberseguridad e Infraestructura publicó un informe formal.
1154.355
Declaración que reconoce el problema estructural.
1156.733
La posición de la CISA: la carga de asegurar la infraestructura de código abierto
1160.541
No puede caer en los mantenedores no pagados individuales, y las empresas
1164.348
El software de código abierto debe contribuir, ya sea económicamente, o consumirlo.
1168.156
o a través del tiempo del desarrollador, para producir un desarrollo sostenible
1171.963
ecosistema.
1172.44
Las recomendaciones no eran vinculantes.
1174.653
Fueron las mejores prácticas.
1176.567
Dependeban de la adopción voluntaria por parte de empresas cuyos empleadores eran de los Estados Unidos.
1180.393
La estructura de incentivos históricamente no había recompensado la inversión.
1184.22
En un mes, la Fundación Linux y la Fundación Linux se pusieron a trabajar.
1187.789
La Open Source Security Foundation publicó una alerta conjunta
1191.058
Advirtiendo que se hicieron intentos similares de toma de posesión de la ingeniería social.
1194.328
Ya está en curso contra varios otros proyectos de código abierto.
1197.598
La Fundación OpenJS que mantiene Node.js, jQuery,
1200.868
JavaScript y la infraestructura relacionada publicaron públicamente que
1204.137
Había recibido una campaña de presión coordinada después de
1207.407
El mismo patrón que xz-utils, y había rechazado
1210.678
Sólo porque la divulgación de xz-utils lo había enseñado
1213.948
La comunidad lo que debe buscar.
1216.4
Un informe de la Fundación Linux 2026 documentó el mayor alcance de la información.
1220.178
patrón en todo el ecosistema.
1221.916
El hallazgo principal del informe: lo que pasó con los xz-utils
1225.394
no fue un incidente singular.
1227.567
Era un método.
1229.307
El método se está intentando a escala.
1232.349
La mayoría de las detecciones exitosas están ocurriendo porque
1235.827
El caso xz-utils proporcionó una firma para coincidir
1239.305
contra. contra.
1239.74
¿Cuántas detecciones fallidas hay operaciones?
1242.836
En progreso que aún no han sido ya
1245.634
es por construcción imposible de contar
1248.431
de fuentes públicas.
1249.48
Hace dos episodios en Fragment Zero, el caso
1253.299
El archivo sobre la hipótesis del Bosque Oscuro se cerró con
1256.819
Una observación.
1257.7
La doctrina Liu Cixin formalizó en 2008
1261.22
El silencio como supervivencia, el oculto como necesidad estratégica, la revelación
1264.74
Como peligro existencial es el más antiguo operativo
1268.259
Principio de seguridad en la historia de los conflictos humanos.
1271.779
Todas las fuerzas que hayan operado en condiciones
1275.584
La amenaza incierta y la capacidad asimétrica han convergido
1279.087
en la misma conclusión.
1280.839
Esté callado.
1282.553
Mueve con cuidado.
1283.967
Asumimos que es observación.
1285.38
La operación xz-utils es el Bosque Oscuro ejecutado
1291.164
dentro de una relación de confianza humana.
1293.779
El atacante no ha violado un firewall.
1296.971
El atacante no explotó un día cero.
1299.862
El atacante no omitió ninguna protección criptográfica.
1303.164
El atacante hizo algo mucho más simple.
1305.643
El atacante se escondió a la vista de todos durante tres años.
1308.946
Durante años, produciendo trabajo útil, construyendo una verdadera credibilidad, comportándose bien.
1312.25
Como cualquier otro colaborador útil, mientras se prepara
1315.555
silenciosamente, pacientemente, con paciencia estratégica inimaginable para
1318.857
La mayoría de las organizaciones técnicas el momento en que
1322.162
Se utilizaría la infraestructura preparada.
1324.64
El ataque tuvo éxito casi en su totalidad porque fue un ataque de
1328.385
silencio.
1328.817
No fue detectado por ninguna herramienta de seguridad,
1332.262
No es una auditoría, no es una auditoría institucional.
1335.709
La defensa, pero por la observación accidental de un ingeniero de la defensa.
1339.154
Cincocientos milisegundos de latencia inexplicable.
1341.74
La declaración de Andres Freund sobre su propio descubrimiento, publicada en WEB
1345.057
a Mastodon en las semanas posteriores a la divulgación,
1348.074
Debería cerrar el expediente del caso.
1349.96
Confiar en la suerte en el futuro es una buena idea.
1353.172
Es una mala estrategia.
1353.9
La puerta trasera de xz-utils fue capturada.
1358.22
La versión del Bosque Oscuro de la operación
1361.625
La que se dirige a las relaciones de confianza en lugar de a
1364.731
Los sistemas informáticos están siendo intentados en este momento,
1367.838
En este momento, contra algún número indeterminado de
1370.944
Otros proyectos críticos de código abierto.
1372.498
El patrón funciona.
1373.663
Los incentivos económicos que hacen que funcione tienen
1376.769
No cambió significativamente.
1377.933
Las respuestas institucionales han sido reales pero insuficientes.
1381.039
El ingeniero que encuentre el siguiente lo hará.
1383.832
También necesitan suerte.
1384.766
Tendrán que estar mirando el
1387.258
El punto de referencia correcto en el momento adecuado en el mercado
1389.75
Sistema derecho.
1390.373
Tendrán que tener suficiente cuidado para rastrear.
1392.865
Una anomalía en su fuente.
1394.422
Tendrán que publicar sus hallazgos antes de que se acaben.
1396.913
El principal de la operación ya ha enviado la carga útil
1399.405
a las liberaciones estables.
1400.339
Necesitarán, específicamente, los cincocientos milisegundos.
1404.4
Ese intervalo es lo que se encontraba entre Internet
1409.019
En marzo de 2024 y con una sola clave criptográfica
1412.039
En manos de un actor desconocido que habría sido
1415.059
Desbloqueó todos los servidores Linux que ejecutan SSH en la Tierra.
1418.079
Fragment Zero rastreará el archivo del caso.
1422.24
El archivo del caso no se cierra.
1424.579
Es esperar.
