xz

La semana pasada se descubrió una puerta trasera en un proyecto que se usa casi todas las distribuciones modernas, xz. Esta puerta trasera ataca openssh inyectando código a través de la dependencia de libsystemd sobre lzma.

Parece un ataque deliberado, perpetrado a lo largo de varios años. El atacante se infiltró en el proyecto y se ganó la confianza de la comunidad, convirtiéndose en el mantenedor, así que pudo incluir el código malicioso en la release oficial.

El código malicioso estaba escondido en el repositorio en archivos comprimidos para los tests, supuestamente corruptos, y con un script bash escondido en los scripts de compilación se extraía el código y se instalaba la puerta trasera.

Es sorprendente lo elaborado de este ataque, pero aún más sorprendente lo rápido que se ha descubierto y lo “accidental” del descubrimiento.

El software libre se desarrolla en comunidad, y cualquiera puede participar, incluso desarrolladores con malas intenciones. Pero hay muchos ojos observando, aunque no se revise cada línea de código, si el comportamiento no es el esperado, alguien lo va a descubrir más pronto que tarde y lo mejor del software libre es la respuesta. Se ha revertido xz rápidamente en todas las distribuciones a las que llegó y no ha afectado a ninguna versión estable.