Me tiene loco que la backdoor en la DLL #liblzma de #xzutils la descubriera un pavo porque al conectarse por SSH la conexión tardaba un cuarto de segundo más de lo habitual. I mean, quién se fija y se da cuenta de algo así, y cómo lo relaciona con una vulnerabilidad en #xz. Es de locos, me sigue dejando perplejo.

Parece bastante claro que el autor es alguna agencia de inteligencia por la planificación, el nivel y los recursos. Cuentas falsas contribuyendo con código en Github durante años y ganándose reputación como contributors y la confianza del creador de XZ, y con un grado de conocimiento técnico a bajo nivel al alcance de pocos. Una verdadera operación encubierta sostenida en el tiempo, con una duración de años, para instalar una puerta trasera en equipos a nivel planetario.

Viendo las características poco creíbles de la cuenta falsa principal, aparentemente china, yo me decanto por los servicios secretos rusos o estadounidenses, pero es mera especulación.

#ciberseguridad

Unpopular opinion: If your hobby is responsible for running the modern world, you deserve to be paid a living wage for running it.

#xz #expat #libexpat

Alt...

Heather Adkins, VP of Security @ Google: "Unpopular opinion: If your hobby is now responsible for running the modern world, it's no longer just a hobby."