midulive
Transcribed podcasts: 746
Time transcribed: 15d 5h 20m 39s
Time transcribed: 15d 5h 20m 39s
results.
This graph shows how many times the word ______ has been mentioned throughout the history of the program.
casi meten en el ecosistema de linux uno de los ataques más brutales e históricos que jamás
hubiéramos presenciado y han estado a esto han estado a esto de conseguirlo y cuando te cuente
la historia te va a aparecer en cualquier momento que va a aparecer tom cruz porque parece el
argumento de misión imposible que ha pasado investigadores de la open source security
foundation han encontrado una puerta trasera un backdoor en las utilidades xz que es xz pues es
una herramienta de compresión que se utiliza un montón en ecosistema linux en todas las distribuciones de
linux porque o sea incluso red hat debian ubuntu porque se utiliza para que pues para comprimir
tarballs porque es una compresión sin pérdida paquetes de software imágenes del kernel está
ampliamente distribuido por un montón de sitios si hablando de estadística pues no solo linux
también en macos es que está por todos los sitios está en cualquier lado ahora esta es la historia
de cómo metieron una puerta trasera en esta herramienta y la historia te sorprenderá porque
la historia empieza en 2021 en 2021 un usuario llamado ya te 75 creó su cuenta de hija al principio
podríamos ver pues que pues que esta persona iba creando cómics que bueno que no eran en el
proyecto de xz aunque sí que es verdad que eran un poco sospechosos que llama empezó un poquito
sospechoso por ejemplo aquí podemos ver una pr que ojo fue emergeada del 2000 o 2021 vale y fijaos
aquí en los cambios parece una pr sin ningún tipo de problema no o sea no parecía que no iba a haber
nada raro aquí pues al final no sé tiene buena pinta si no fuese si no fuese porque ojo veis aquí que
pone safe f print aquí lo ha quitado aquí ha quitado el safe ha quitado el safe bueno esto fue en 2021 y ya
veis aquí que ya estaba empezando como haciendo pr es un poco polémicas que al principio pues ya
veis esto está emergeado ya esto está parcheado desde hace tiempo vale alguien se dio cuenta y lo
arreglaron y tal pero parecía que no estaba haciendo ningún tipo de cosa mala sino que estaba aportando
iba aportando pero veis aquí pues ya había estaba parcheado y tal pasa el tiempo 2022 un parche irrelevante
irrelevante no hay parches ningún tipo de importancia también creado por jian tan jian tan que es nuestro
pedazo de protagonista pero ojo porque entonces ahora sí hace un parche a estas utilidades de xz vale
y ojo porque lo que inicia ahí ya empieza a cocerse qué es lo que empieza a ocurrir por lo que empieza a
ocurrir es una presión al creador de este paquete que es las y colin para que deje en manos de otra
persona su proyecto vale fijaos aquí que aquí está escribiendo una persona se llama llegar kumar que
alguien dirá pero quién es este llegar kumar pero no hemos hablado ningún llegar kumar pues es que
amigos no se sabe quién es esta persona ni algunas personas que están hablando aquí parece ser que son
personas inventadas porque el llegar kumar este empieza a presionar al creador de las utilidades de
xz le dice el progreso no pasa hasta que no haya un nuevo maintainer una nueva persona que esté
manteniendo el proyecto y entonces le dice es que está tardando mucho es mejor que haya un mantenedor
o que mejor que hagas un fork porque ya ves que hacer hacer parches pues no está arreglando y el
maintainer actual ha perdido el interés o ya no le importa más es muy triste ver un repositorio así y le
contesta el propio creador y ojo cuidado ojo cuidado porque es muy triste esta historia es muy triste y es
porque el propio creador le contesta y le dice no es que he perdido interés pero mi habilidad para que
me importe o para preocuparme ha sido muy limitada más que nada por problemas mentales que he tenido entre
otras cosas recientemente he estado trabajando un poquito ha estado como dejando mi trabajo a
giatan giatan que es nuestro protagonista vale porque ya empezó a ir poco a poco a ir creando
sus parches cómics sin importancia este proyecto de xz vale y quizás tenga un rol más grande en el
futuro ya veremos también hay que tener en cuenta que esto es un proyecto de hobby que no está pagado
en cualquier caso te puedo asegurar que que conozco muy bien el problema y que no hemos hecho mucho
progreso no sé qué que vamos a hablar los forks son una posibilidad pero esto bla bla bla vale se
pueden hablar y llegar llegar kumar esta persona que ya os digo yo que es un poquito inventada le
vuelve a presionar pero con esta velocidad dudo mucho que podamos ver un 5.4.0 este año el único
progreso desde abril han sido pequeños cambios para testear el código ignoras todos los parches que han
estado pudriéndose en esta lista de mailing ahora mismo tu repos está muriendo tenemos que esperar al
5.4.0 para cambiar el mantenedor porque estás tardando tanto en tomar esta decisión bueno o sea
ya veis que le está presionando un poquito en esa dirección en esa dirección y aquí pues también otra
persona también denisens que también parece persona que una persona inventada si os ponéis a leer si ponéis a
miraros un poco cómo son sus correos y todo esto y la forma de hablar parece que es exactamente la
misma bueno entonces ahí tenemos este caso un proyecto muy utilizado en ecosistema linux en macos en
diferentes sitios que sirve para comprimir paquetes distribuibles imágenes de kernels y tal xz que
están todos los sitios y un mantenedor o el creador que está cansado cansado porque no cobra porque mucho
trabajo porque tiene sus problemas propios y una persona que viene a salvarle porque porque empieza
a ayudarle esto fue en 2022 pero se está encontrando cada vez que en la lista de correo de este proyecto
mucha presión de que deje el proyecto a otra persona para que lo continúe 2022 amigos continuamos
continuamos ya veis llegar kumar nunca se la ha vuelto a ver la otra cuenta denisens la otra persona que
está presionándole que también pues le está presionando tampoco parece que vuelva a existir
bueno pues ahí veis no desaparecen de la nada 2023 por fin ya que es nuestro protagonista mergea sus
primeras prs ahora ya no se pueden ver por desgracia porque veis han desactivado el repositorio no se
pueden ver ya el repositorio y los cambios porque por el ataque entonces empieza ya a poner sus primeros
cómics en 2023 y a ir ganando más y más confianza con el creador del proyecto y aún así empieza a
verse ya algunos cómics que no tienen tan buena pinta y ojo ya en marzo el contacto primario se
actualizó para que fuese el de gia en lugar del creador original o sea ya se estaba haciendo para
marzo del 2023 ese traspaso directamente vale entonces se empezaba se estaban añadiendo más cómics ya tan
y va añadiendo más cómics más cómics podemos es una pena agua aquí sí que se pueden ver no cómics que
son un poco técnicos pero bueno luego os comentaré un poquito más técnicamente que lo que ha pasado
hasta que al final empieza ves hasta que al final empieza a publicar ya pequeños pequeños errores que
pueden comprometer las versiones no muy bestias no no el backdoor que conocemos pero pequeñas cositas
maliciosas vale en julio una pr fue abierta para desactivar una función y func vale porque introducía
algunos problemas y aparecía que esto fue deliberado para enmascarar cambios maliciosos que iban a ser
introducidos pronto se ya estaba preparando desde julio del 2023 iba poco a poco estaba preparando cambios en
el código para enmascarar cambios futuros o sea muy bestia 2024 2024 una pull request en el proyecto de
google para cambiar la home del proyecto y aquí tenemos ya te 75 que estoy alucinando que el al
usuario no le han quitado como podéis ver todavía el perfil ni nada lo podéis ver esta es la persona que
atacó y que hackeó este este servicio bueno pues ya aquí podéis ver que hizo un cambio para cambiar la
página del proyecto de cxz utils y bueno parece un cambio sin ninguna importancia ahora ya la han
tirado abajo pero veis que ya cambió la página bueno no parecía un cambio importante ni mucho menos
ahora bien cuando ocurrió este aquí ya teníamos los últimos cómics que no podemos ver porque le han
quitado le han quitado las posibilidades pero aquí aquí tenemos los últimos cómics estos son los últimos
cómics que hicieron para justamente tener el backdoor son cómics que parece que está hablando
aquí de testing que parecen de test pero resulta que aquí es donde tenemos toda la información todo es
para poder atacar y una vez que hizo estos cómics ya lanzó las nuevas versiones vale ahora bien cuando
teníamos estas versiones qué pasó bueno pues lo que pasó es que ocurre que empieza a haber una
presión una presión para que se utilicen estas versiones en diferentes distribuciones de linux aquí
podéis ver por ejemplo en debian en debian alguien que ya podéis imaginar que aunque no se sabe quién es
pues obviamente hans jansen dice queridos mentores estoy buscando sponsor para mi paquete z xz útiles no
sé qué y esto no sé qué no sé cuánto estos son los cambios tal esta nueva versión arregla un bug no
sé qué no sé cuánto esta release sólo arregla problemas hans jansen pero es que hans jansen no existe hans jansen lo
que está haciendo aquí básicamente es como presionar como decir oye que esta nueva versión arregla unos
problemas que no hay ningún tipo de que no hay ninguna cosa rara como podéis ver aquí que lo único
que hace es que te soluciona una falsa advertencia que podía fallar en algunos paquetes o sea lo que
está haciendo aquí es como invitar a que hagan la nueva versión vale fijaos que aquí lo que vais viendo
estoy viendo este problema parece ser si esta nueva versión o sea me gustaría utilizar esta versión
para ves aquí podéis ir viendo que la gente parece dice si yo también me di cuenta de este problema
que bien que lo hayan arreglado todo parecen además si vais viendo un poco las cuentas parece que es
como la misma persona o hay puede haber personas reales pero hay muchas personas aquí que lo que están
haciendo es como presionar e ir como creando la sensación que mucha gente está de acuerdo de que
este cambio vaya a buen puerto y esto además no lo vemos solo en debian sino que de hecho lo vemos
en un montón de sitios en sitios muy muy muy bestias de hecho fijaos aquí a mira aquí es que ya ha quitado
al usuario este una pull request en una librería de one password por ejemplo aquí lo tenemos hay que
actualizar a la versión 5.6.1 esto también actualiza no sé qué esta persona sí que existe sí que no es no es
un atacante pero lo quería actualizar por buenas intenciones fijaos aquí que hay gente que decía
pero porque nos quieres atacar no sé qué no sé cuánto y él luego se defiende diciendo no es que esto lo he
visto en otro sitio que decían que esto sí que tenía buena pinta porque arreglaba este bug no sé qué no
sé cuánto si os ponéis a mirar estuvo también en fedora también en ubuntu fijaos aquí el autor del
backdoor estuvo en comunicación para añadirlo en fedora 40 y 41 ha sido parte del proyecto durante dos años
también en ubuntu aquí lo podéis claro aquí ya han puesto una nota ves nota esto es un atento de incluir un
backdoor esto está puesto para razones históricas pero aquí podéis ver el anuncio oficial en el proyecto de ubuntu
para actualizar la herramienta hola soy el upstream maintainer de xz útil la versión 5.6.1 que acabo de hacer y ha sido
actualizada ya en debian como un buffix y este esto lo que hace es arreglar este bug no sé qué no sé cuánto fijaos aquí toda la
información como diciendo no os preocupéis confíate en mí que todo va bien que todo va bien que no sé qué no sé
cuánto bueno mira revertido en debian tal o sea ahí lo tenéis como intentó meterlo en un montón de sitios
estuvo haciendo presión en diferentes repositorios y tal para intentar meterlo hasta aquí el intento pero
por qué no lo logró metiendo este backdoor en un paquete que tenía toda la posibilidad de que nadie se
diera cuenta que estuvo cocinando este cambio durante años durante años que realmente nadie se
dio cuenta nadie se dio cuenta sólo una persona una persona se dio cuenta y es andrés freund andrés
freund se dio cuenta porque estaba haciendo micro benchmarking micro benchmarking necesitaba
asegurarse de que algo pues fuese rápido actualizó a la última versión y se dio cuenta que el proceso
sshd está utilizando un montón de información de la cpu y en ese momento inmediatamente pues empezó a
fallar se puso a hacer profiling vale y veía que había un montón de tiempo de cpu en la librería
lib l z ma que justamente esa es la que es parte de xz tuvo una sospecha se puso a mirar ahí
estuvo mirando como unos hubo un montón de quejas muy raras sobre valgrin sobre el tema del auto de
test automatizados y miró las actualizaciones del paquete y aquí se puso manos a la obra y lo comentó
por suerte andrés freund dijo hola he estado observando unos síntomas muy raros a través de
lib l cma que es parte del paquete xz en debian claro porque debian fue el que lo llegó a poner pero ya
os digo yo que no llegó a distribuirlo sino que estaba más de forma interna el upstream en el
repositorio de xz y los tarballs que como los distribuibles de este proyecto tienen un backdoor
y se pone aquí a explicar todo el ataque de cómo lo ha detectado qué es lo que está pasando y cómo
está inyectando toda esta información después de hacer una de ofuscación del código que fijaos aquí
que le está metiendo como un sh ahí para meter para ejecutar código y todo esto va explicando
todos los cómics donde ha estado viendo cómo ha podido lograr hacer esto dice por suerte esta
versión la 560 y 561 que son los que tenían el problema no han sido distribuidas pues en las
diferentes distribuciones de linux todavía sólo en versiones pre-release así que cómo se dio cuenta
esta esta es la razón por la que se dio cuenta se dio cuenta porque antes lo que le estaba
tardando 300 milisegundos ahora le tardaba 800 milisegundos se dio cuenta uno de los ataques más
trabajados más bestias más grandes que íbamos a tener en la historia de la programación en los últimos
años se ha ido al carajo simplemente por ser lento para que luego digáis que el rendimiento de la
performance no es importante la razón por la que ha fallado es por haber añadido 500 milisegundos de
latencia en un comando esa es la razón por la que no ha funcionado esa es la razón por la que no ha
funcionado porque se dio cuenta que tardaba a partir de ahí vio los consumos de la cpu y a partir de los
consumos de la cpu vio el proceso que lo estaba le estaba ocupando y al tirar del hilo pues se dio cuenta
que había un código inyectado en todo esto la explicación aquí es increíblemente técnica pero
por suerte hay gente que nos ha hecho hasta un croquis de hecho hay dos dos cositas que os recomiendo un
montón que me gusta muchísimo una bueno esto esto es el anuncio oficial del creador que ha vuelto a la
palestra el creador estaba desaparecido directamente pero claro después de enterarse de todo esto pues ha
vuelto a retomar el control del proyecto ha estado diciendo qué es lo que ha ocurrido ha estado hablando
del cv qué es lo que ha pasado que dos versiones del paquete tenían una puerta trasera que fueron
creados por giatan como los había afirmado y se hubiese salido con la suya de no ser por este
muchacho entrometido se hubiera salido es que ya estaba o sea ya ya estaban debian estaba en una
pre-release ya estaba solo ha sido porque una persona se ha dado cuenta pero no mirando el código sino
ejecutándolo es muy bestia es muy bestia entonces aquí el creador ya se ha puesto manos a las a la
obra y por suerte tenemos dos recursos muy chulos que os recomiendo un montón vale uno este que está
muy muy muy bien explicado del cómo funciona cuando es que vas a tener problema de la vulnerabilidad
que necesitas estar en una distro que tenga la biblioteca jota jota g libc y necesitas esas dos
versiones que están infectadas vale y también aquí pues te comenta un poquito que que no no está en
ningún sitio como se ha diseñado que están diferentes componentes porque el código que
veías en github no es el mismo código que estaba en el distribuible o sea que lo que ha hecho ahí
básicamente que el código que tú veías en el repositorio de github sí que había código para
enmascarar esta funcionalidad pero no estaba la funcionalidad en sí sino que al crear el distribuible
inyectaba ahí el código vale y luego lo que hizo en los archivos de los test que hemos visto antes
los cómics teníamos ahí dentro de los test pues esos scripts maliciosos que lo que hacía es al
ejecutar ese script desempaquetaba una información maligna y lo que utilizaba era modificar el proceso
de build y una vez que tenías ahí pues ya lo que hacía era meterse en las rutinas de autentificación
de open ssh y claro esto lo que podía hacer era que podía tener acceso a tu máquina sin ningún tipo
de problema ejecutar cualquier tipo de script o lo que le diese la gana eso es básicamente cómo
funcionaba te podía meter vamos lo que quisiera te podía meter un bot sin que tú tienes cuenta ejecutar
comandos lo que lo que le diese la gana si os cuesta igualmente esta es una explicación muy de texto
pero una que está muy chula también que os puede servir también para ver todo sería esta no que fijaos que
os pone aquí como en cada una de las fases cómo funcionaba descomprimiendo el archivo luego lo que
hacía era quitar la información metía el base script y el base script entonces es donde hacía ese
mecanismo en la extensión y te guardaba esa información y los segmentos y tal está bastante
chulo así que si queréis os dejo este sobre todo el de la foto que está muy bien explicado por si
queréis escucharlo paso a paso vale y lo queréis estudiar pero es impresionante el cómo lo ha hecho
de hecho ahora ha habido un montón de polémica sobre el tema de qué paciencia sí sí qué paciencia
años años trabajando en esto para para que al final te pillen porque has hecho un código que iba lento
es impresionante de hecho era bastante bestia porque el código malicioso que estaba en el archivo
build2host m4 lo podías ver en el gitignore sabes que la habían puesto en el gitignore eso significa
que él cuando creaba el archivo distribuible sí que lo tenía pero en el gitignore lo podías ver que
era como dios dios dios es muy bestia lo tenía súper pensado no fue de una noche llevaba años sí sí
llevaba años lo que es más increíble de todo esto y lo que no se sabe realmente hay gente hay gente que
dice que la persona yo no lo creo no lo creo pero hay gente que dice que la persona es esta a mí me
parece un poco apresurado apresurado indicar que es esta persona porque se llama igual y porque sea
también de temas de vulnerabilidades porque veis que pone aquí security focus tech lead experiences no
sé qué esto es lo que dice en este artículo que podría ser esta persona yo la verdad no lo sé a mí no me
parece porque parece ser que ya te 75 tiene que todos los cómics lo estaba haciendo más en hora
china o sea que tiene más pinta que estaba trabajando desde china y en cambio esta persona
parece que estaría en california no me parece que sea el identificador o no hay suficiente información
para decir que es esa persona más allá no no no está confirmado yo estoy diciendo lo que dice el
artículo no estoy diciendo que es esa persona ni está confirmado ni nada vale entonces más cosas sobre
esto dos años cuidando esto tratando de colarlo lo que sí que tenemos es su correo que lo podéis
buscar lo tenéis por aquí aquí tiene su correo que lo podéis buscar en internet a ver qué cosas salen
de esta persona veis lo podéis ir buscando mira aquí en autores pues aparecía entre los autores podéis ir
buscando un montón de información gente que ya lo ha quitado de los contactos obviamente como te puedes
imaginar pero lo más interesante y la pregunta no que nos deja este caso que es un caso muy bestia de cómo
casi te cuelan un hack después de estar dos años dos años planeando esto planeando esto y es que el
resumen de todo es esta imagen toda la infraestructura digital moderna el proyecto de un tío random en
nebraska que lo está haciendo sin ningún tipo de gratitud desde el 2003 este es el proyecto de xz por si
alguien se lo estaba preguntando este es el proyecto de xz es un tema bastante interesante a muchos niveles no
sólo por este el que muchas veces no somos conscientes hasta qué punto tenemos esa dependencia
literal que se llama dependencia por algo no una dependencia de la que no tenemos una visibilidad muy
importante y que a veces hay un héroe héroe anónimo en este caso un villano pero había un héroe anónimo el
creador que durante muchos años lo ha estado manteniendo y haciendo su trabajo de forma fiel
y sin problemas hasta que ha llegado un villano de la historia y nos ha hecho recordar que realmente
esa herramienta había alguien que la estaba manteniendo y que ahora te la podía colar algo tan
pequeñito y tan ínfimo que no se le daba tanta importancia y la peligrosidad que tiene y la importancia
que tiene o sea bastante tremendo
hubiéramos presenciado y han estado a esto han estado a esto de conseguirlo y cuando te cuente
la historia te va a aparecer en cualquier momento que va a aparecer tom cruz porque parece el
argumento de misión imposible que ha pasado investigadores de la open source security
foundation han encontrado una puerta trasera un backdoor en las utilidades xz que es xz pues es
una herramienta de compresión que se utiliza un montón en ecosistema linux en todas las distribuciones de
linux porque o sea incluso red hat debian ubuntu porque se utiliza para que pues para comprimir
tarballs porque es una compresión sin pérdida paquetes de software imágenes del kernel está
ampliamente distribuido por un montón de sitios si hablando de estadística pues no solo linux
también en macos es que está por todos los sitios está en cualquier lado ahora esta es la historia
de cómo metieron una puerta trasera en esta herramienta y la historia te sorprenderá porque
la historia empieza en 2021 en 2021 un usuario llamado ya te 75 creó su cuenta de hija al principio
podríamos ver pues que pues que esta persona iba creando cómics que bueno que no eran en el
proyecto de xz aunque sí que es verdad que eran un poco sospechosos que llama empezó un poquito
sospechoso por ejemplo aquí podemos ver una pr que ojo fue emergeada del 2000 o 2021 vale y fijaos
aquí en los cambios parece una pr sin ningún tipo de problema no o sea no parecía que no iba a haber
nada raro aquí pues al final no sé tiene buena pinta si no fuese si no fuese porque ojo veis aquí que
pone safe f print aquí lo ha quitado aquí ha quitado el safe ha quitado el safe bueno esto fue en 2021 y ya
veis aquí que ya estaba empezando como haciendo pr es un poco polémicas que al principio pues ya
veis esto está emergeado ya esto está parcheado desde hace tiempo vale alguien se dio cuenta y lo
arreglaron y tal pero parecía que no estaba haciendo ningún tipo de cosa mala sino que estaba aportando
iba aportando pero veis aquí pues ya había estaba parcheado y tal pasa el tiempo 2022 un parche irrelevante
irrelevante no hay parches ningún tipo de importancia también creado por jian tan jian tan que es nuestro
pedazo de protagonista pero ojo porque entonces ahora sí hace un parche a estas utilidades de xz vale
y ojo porque lo que inicia ahí ya empieza a cocerse qué es lo que empieza a ocurrir por lo que empieza a
ocurrir es una presión al creador de este paquete que es las y colin para que deje en manos de otra
persona su proyecto vale fijaos aquí que aquí está escribiendo una persona se llama llegar kumar que
alguien dirá pero quién es este llegar kumar pero no hemos hablado ningún llegar kumar pues es que
amigos no se sabe quién es esta persona ni algunas personas que están hablando aquí parece ser que son
personas inventadas porque el llegar kumar este empieza a presionar al creador de las utilidades de
xz le dice el progreso no pasa hasta que no haya un nuevo maintainer una nueva persona que esté
manteniendo el proyecto y entonces le dice es que está tardando mucho es mejor que haya un mantenedor
o que mejor que hagas un fork porque ya ves que hacer hacer parches pues no está arreglando y el
maintainer actual ha perdido el interés o ya no le importa más es muy triste ver un repositorio así y le
contesta el propio creador y ojo cuidado ojo cuidado porque es muy triste esta historia es muy triste y es
porque el propio creador le contesta y le dice no es que he perdido interés pero mi habilidad para que
me importe o para preocuparme ha sido muy limitada más que nada por problemas mentales que he tenido entre
otras cosas recientemente he estado trabajando un poquito ha estado como dejando mi trabajo a
giatan giatan que es nuestro protagonista vale porque ya empezó a ir poco a poco a ir creando
sus parches cómics sin importancia este proyecto de xz vale y quizás tenga un rol más grande en el
futuro ya veremos también hay que tener en cuenta que esto es un proyecto de hobby que no está pagado
en cualquier caso te puedo asegurar que que conozco muy bien el problema y que no hemos hecho mucho
progreso no sé qué que vamos a hablar los forks son una posibilidad pero esto bla bla bla vale se
pueden hablar y llegar llegar kumar esta persona que ya os digo yo que es un poquito inventada le
vuelve a presionar pero con esta velocidad dudo mucho que podamos ver un 5.4.0 este año el único
progreso desde abril han sido pequeños cambios para testear el código ignoras todos los parches que han
estado pudriéndose en esta lista de mailing ahora mismo tu repos está muriendo tenemos que esperar al
5.4.0 para cambiar el mantenedor porque estás tardando tanto en tomar esta decisión bueno o sea
ya veis que le está presionando un poquito en esa dirección en esa dirección y aquí pues también otra
persona también denisens que también parece persona que una persona inventada si os ponéis a leer si ponéis a
miraros un poco cómo son sus correos y todo esto y la forma de hablar parece que es exactamente la
misma bueno entonces ahí tenemos este caso un proyecto muy utilizado en ecosistema linux en macos en
diferentes sitios que sirve para comprimir paquetes distribuibles imágenes de kernels y tal xz que
están todos los sitios y un mantenedor o el creador que está cansado cansado porque no cobra porque mucho
trabajo porque tiene sus problemas propios y una persona que viene a salvarle porque porque empieza
a ayudarle esto fue en 2022 pero se está encontrando cada vez que en la lista de correo de este proyecto
mucha presión de que deje el proyecto a otra persona para que lo continúe 2022 amigos continuamos
continuamos ya veis llegar kumar nunca se la ha vuelto a ver la otra cuenta denisens la otra persona que
está presionándole que también pues le está presionando tampoco parece que vuelva a existir
bueno pues ahí veis no desaparecen de la nada 2023 por fin ya que es nuestro protagonista mergea sus
primeras prs ahora ya no se pueden ver por desgracia porque veis han desactivado el repositorio no se
pueden ver ya el repositorio y los cambios porque por el ataque entonces empieza ya a poner sus primeros
cómics en 2023 y a ir ganando más y más confianza con el creador del proyecto y aún así empieza a
verse ya algunos cómics que no tienen tan buena pinta y ojo ya en marzo el contacto primario se
actualizó para que fuese el de gia en lugar del creador original o sea ya se estaba haciendo para
marzo del 2023 ese traspaso directamente vale entonces se empezaba se estaban añadiendo más cómics ya tan
y va añadiendo más cómics más cómics podemos es una pena agua aquí sí que se pueden ver no cómics que
son un poco técnicos pero bueno luego os comentaré un poquito más técnicamente que lo que ha pasado
hasta que al final empieza ves hasta que al final empieza a publicar ya pequeños pequeños errores que
pueden comprometer las versiones no muy bestias no no el backdoor que conocemos pero pequeñas cositas
maliciosas vale en julio una pr fue abierta para desactivar una función y func vale porque introducía
algunos problemas y aparecía que esto fue deliberado para enmascarar cambios maliciosos que iban a ser
introducidos pronto se ya estaba preparando desde julio del 2023 iba poco a poco estaba preparando cambios en
el código para enmascarar cambios futuros o sea muy bestia 2024 2024 una pull request en el proyecto de
google para cambiar la home del proyecto y aquí tenemos ya te 75 que estoy alucinando que el al
usuario no le han quitado como podéis ver todavía el perfil ni nada lo podéis ver esta es la persona que
atacó y que hackeó este este servicio bueno pues ya aquí podéis ver que hizo un cambio para cambiar la
página del proyecto de cxz utils y bueno parece un cambio sin ninguna importancia ahora ya la han
tirado abajo pero veis que ya cambió la página bueno no parecía un cambio importante ni mucho menos
ahora bien cuando ocurrió este aquí ya teníamos los últimos cómics que no podemos ver porque le han
quitado le han quitado las posibilidades pero aquí aquí tenemos los últimos cómics estos son los últimos
cómics que hicieron para justamente tener el backdoor son cómics que parece que está hablando
aquí de testing que parecen de test pero resulta que aquí es donde tenemos toda la información todo es
para poder atacar y una vez que hizo estos cómics ya lanzó las nuevas versiones vale ahora bien cuando
teníamos estas versiones qué pasó bueno pues lo que pasó es que ocurre que empieza a haber una
presión una presión para que se utilicen estas versiones en diferentes distribuciones de linux aquí
podéis ver por ejemplo en debian en debian alguien que ya podéis imaginar que aunque no se sabe quién es
pues obviamente hans jansen dice queridos mentores estoy buscando sponsor para mi paquete z xz útiles no
sé qué y esto no sé qué no sé cuánto estos son los cambios tal esta nueva versión arregla un bug no
sé qué no sé cuánto esta release sólo arregla problemas hans jansen pero es que hans jansen no existe hans jansen lo
que está haciendo aquí básicamente es como presionar como decir oye que esta nueva versión arregla unos
problemas que no hay ningún tipo de que no hay ninguna cosa rara como podéis ver aquí que lo único
que hace es que te soluciona una falsa advertencia que podía fallar en algunos paquetes o sea lo que
está haciendo aquí es como invitar a que hagan la nueva versión vale fijaos que aquí lo que vais viendo
estoy viendo este problema parece ser si esta nueva versión o sea me gustaría utilizar esta versión
para ves aquí podéis ir viendo que la gente parece dice si yo también me di cuenta de este problema
que bien que lo hayan arreglado todo parecen además si vais viendo un poco las cuentas parece que es
como la misma persona o hay puede haber personas reales pero hay muchas personas aquí que lo que están
haciendo es como presionar e ir como creando la sensación que mucha gente está de acuerdo de que
este cambio vaya a buen puerto y esto además no lo vemos solo en debian sino que de hecho lo vemos
en un montón de sitios en sitios muy muy muy bestias de hecho fijaos aquí a mira aquí es que ya ha quitado
al usuario este una pull request en una librería de one password por ejemplo aquí lo tenemos hay que
actualizar a la versión 5.6.1 esto también actualiza no sé qué esta persona sí que existe sí que no es no es
un atacante pero lo quería actualizar por buenas intenciones fijaos aquí que hay gente que decía
pero porque nos quieres atacar no sé qué no sé cuánto y él luego se defiende diciendo no es que esto lo he
visto en otro sitio que decían que esto sí que tenía buena pinta porque arreglaba este bug no sé qué no
sé cuánto si os ponéis a mirar estuvo también en fedora también en ubuntu fijaos aquí el autor del
backdoor estuvo en comunicación para añadirlo en fedora 40 y 41 ha sido parte del proyecto durante dos años
también en ubuntu aquí lo podéis claro aquí ya han puesto una nota ves nota esto es un atento de incluir un
backdoor esto está puesto para razones históricas pero aquí podéis ver el anuncio oficial en el proyecto de ubuntu
para actualizar la herramienta hola soy el upstream maintainer de xz útil la versión 5.6.1 que acabo de hacer y ha sido
actualizada ya en debian como un buffix y este esto lo que hace es arreglar este bug no sé qué no sé cuánto fijaos aquí toda la
información como diciendo no os preocupéis confíate en mí que todo va bien que todo va bien que no sé qué no sé
cuánto bueno mira revertido en debian tal o sea ahí lo tenéis como intentó meterlo en un montón de sitios
estuvo haciendo presión en diferentes repositorios y tal para intentar meterlo hasta aquí el intento pero
por qué no lo logró metiendo este backdoor en un paquete que tenía toda la posibilidad de que nadie se
diera cuenta que estuvo cocinando este cambio durante años durante años que realmente nadie se
dio cuenta nadie se dio cuenta sólo una persona una persona se dio cuenta y es andrés freund andrés
freund se dio cuenta porque estaba haciendo micro benchmarking micro benchmarking necesitaba
asegurarse de que algo pues fuese rápido actualizó a la última versión y se dio cuenta que el proceso
sshd está utilizando un montón de información de la cpu y en ese momento inmediatamente pues empezó a
fallar se puso a hacer profiling vale y veía que había un montón de tiempo de cpu en la librería
lib l z ma que justamente esa es la que es parte de xz tuvo una sospecha se puso a mirar ahí
estuvo mirando como unos hubo un montón de quejas muy raras sobre valgrin sobre el tema del auto de
test automatizados y miró las actualizaciones del paquete y aquí se puso manos a la obra y lo comentó
por suerte andrés freund dijo hola he estado observando unos síntomas muy raros a través de
lib l cma que es parte del paquete xz en debian claro porque debian fue el que lo llegó a poner pero ya
os digo yo que no llegó a distribuirlo sino que estaba más de forma interna el upstream en el
repositorio de xz y los tarballs que como los distribuibles de este proyecto tienen un backdoor
y se pone aquí a explicar todo el ataque de cómo lo ha detectado qué es lo que está pasando y cómo
está inyectando toda esta información después de hacer una de ofuscación del código que fijaos aquí
que le está metiendo como un sh ahí para meter para ejecutar código y todo esto va explicando
todos los cómics donde ha estado viendo cómo ha podido lograr hacer esto dice por suerte esta
versión la 560 y 561 que son los que tenían el problema no han sido distribuidas pues en las
diferentes distribuciones de linux todavía sólo en versiones pre-release así que cómo se dio cuenta
esta esta es la razón por la que se dio cuenta se dio cuenta porque antes lo que le estaba
tardando 300 milisegundos ahora le tardaba 800 milisegundos se dio cuenta uno de los ataques más
trabajados más bestias más grandes que íbamos a tener en la historia de la programación en los últimos
años se ha ido al carajo simplemente por ser lento para que luego digáis que el rendimiento de la
performance no es importante la razón por la que ha fallado es por haber añadido 500 milisegundos de
latencia en un comando esa es la razón por la que no ha funcionado esa es la razón por la que no ha
funcionado porque se dio cuenta que tardaba a partir de ahí vio los consumos de la cpu y a partir de los
consumos de la cpu vio el proceso que lo estaba le estaba ocupando y al tirar del hilo pues se dio cuenta
que había un código inyectado en todo esto la explicación aquí es increíblemente técnica pero
por suerte hay gente que nos ha hecho hasta un croquis de hecho hay dos dos cositas que os recomiendo un
montón que me gusta muchísimo una bueno esto esto es el anuncio oficial del creador que ha vuelto a la
palestra el creador estaba desaparecido directamente pero claro después de enterarse de todo esto pues ha
vuelto a retomar el control del proyecto ha estado diciendo qué es lo que ha ocurrido ha estado hablando
del cv qué es lo que ha pasado que dos versiones del paquete tenían una puerta trasera que fueron
creados por giatan como los había afirmado y se hubiese salido con la suya de no ser por este
muchacho entrometido se hubiera salido es que ya estaba o sea ya ya estaban debian estaba en una
pre-release ya estaba solo ha sido porque una persona se ha dado cuenta pero no mirando el código sino
ejecutándolo es muy bestia es muy bestia entonces aquí el creador ya se ha puesto manos a las a la
obra y por suerte tenemos dos recursos muy chulos que os recomiendo un montón vale uno este que está
muy muy muy bien explicado del cómo funciona cuando es que vas a tener problema de la vulnerabilidad
que necesitas estar en una distro que tenga la biblioteca jota jota g libc y necesitas esas dos
versiones que están infectadas vale y también aquí pues te comenta un poquito que que no no está en
ningún sitio como se ha diseñado que están diferentes componentes porque el código que
veías en github no es el mismo código que estaba en el distribuible o sea que lo que ha hecho ahí
básicamente que el código que tú veías en el repositorio de github sí que había código para
enmascarar esta funcionalidad pero no estaba la funcionalidad en sí sino que al crear el distribuible
inyectaba ahí el código vale y luego lo que hizo en los archivos de los test que hemos visto antes
los cómics teníamos ahí dentro de los test pues esos scripts maliciosos que lo que hacía es al
ejecutar ese script desempaquetaba una información maligna y lo que utilizaba era modificar el proceso
de build y una vez que tenías ahí pues ya lo que hacía era meterse en las rutinas de autentificación
de open ssh y claro esto lo que podía hacer era que podía tener acceso a tu máquina sin ningún tipo
de problema ejecutar cualquier tipo de script o lo que le diese la gana eso es básicamente cómo
funcionaba te podía meter vamos lo que quisiera te podía meter un bot sin que tú tienes cuenta ejecutar
comandos lo que lo que le diese la gana si os cuesta igualmente esta es una explicación muy de texto
pero una que está muy chula también que os puede servir también para ver todo sería esta no que fijaos que
os pone aquí como en cada una de las fases cómo funcionaba descomprimiendo el archivo luego lo que
hacía era quitar la información metía el base script y el base script entonces es donde hacía ese
mecanismo en la extensión y te guardaba esa información y los segmentos y tal está bastante
chulo así que si queréis os dejo este sobre todo el de la foto que está muy bien explicado por si
queréis escucharlo paso a paso vale y lo queréis estudiar pero es impresionante el cómo lo ha hecho
de hecho ahora ha habido un montón de polémica sobre el tema de qué paciencia sí sí qué paciencia
años años trabajando en esto para para que al final te pillen porque has hecho un código que iba lento
es impresionante de hecho era bastante bestia porque el código malicioso que estaba en el archivo
build2host m4 lo podías ver en el gitignore sabes que la habían puesto en el gitignore eso significa
que él cuando creaba el archivo distribuible sí que lo tenía pero en el gitignore lo podías ver que
era como dios dios dios es muy bestia lo tenía súper pensado no fue de una noche llevaba años sí sí
llevaba años lo que es más increíble de todo esto y lo que no se sabe realmente hay gente hay gente que
dice que la persona yo no lo creo no lo creo pero hay gente que dice que la persona es esta a mí me
parece un poco apresurado apresurado indicar que es esta persona porque se llama igual y porque sea
también de temas de vulnerabilidades porque veis que pone aquí security focus tech lead experiences no
sé qué esto es lo que dice en este artículo que podría ser esta persona yo la verdad no lo sé a mí no me
parece porque parece ser que ya te 75 tiene que todos los cómics lo estaba haciendo más en hora
china o sea que tiene más pinta que estaba trabajando desde china y en cambio esta persona
parece que estaría en california no me parece que sea el identificador o no hay suficiente información
para decir que es esa persona más allá no no no está confirmado yo estoy diciendo lo que dice el
artículo no estoy diciendo que es esa persona ni está confirmado ni nada vale entonces más cosas sobre
esto dos años cuidando esto tratando de colarlo lo que sí que tenemos es su correo que lo podéis
buscar lo tenéis por aquí aquí tiene su correo que lo podéis buscar en internet a ver qué cosas salen
de esta persona veis lo podéis ir buscando mira aquí en autores pues aparecía entre los autores podéis ir
buscando un montón de información gente que ya lo ha quitado de los contactos obviamente como te puedes
imaginar pero lo más interesante y la pregunta no que nos deja este caso que es un caso muy bestia de cómo
casi te cuelan un hack después de estar dos años dos años planeando esto planeando esto y es que el
resumen de todo es esta imagen toda la infraestructura digital moderna el proyecto de un tío random en
nebraska que lo está haciendo sin ningún tipo de gratitud desde el 2003 este es el proyecto de xz por si
alguien se lo estaba preguntando este es el proyecto de xz es un tema bastante interesante a muchos niveles no
sólo por este el que muchas veces no somos conscientes hasta qué punto tenemos esa dependencia
literal que se llama dependencia por algo no una dependencia de la que no tenemos una visibilidad muy
importante y que a veces hay un héroe héroe anónimo en este caso un villano pero había un héroe anónimo el
creador que durante muchos años lo ha estado manteniendo y haciendo su trabajo de forma fiel
y sin problemas hasta que ha llegado un villano de la historia y nos ha hecho recordar que realmente
esa herramienta había alguien que la estaba manteniendo y que ahora te la podía colar algo tan
pequeñito y tan ínfimo que no se le daba tanta importancia y la peligrosidad que tiene y la importancia
que tiene o sea bastante tremendo