Monthly Archives: January 2022

Un desarrollador open source saboteo sus propias bibliotecas afectando a miles de aplicaciones

Posted on by

Hace poco se dio a conocer la noticia de que un desarrollador saboteó dos de sus propias bibliotecas open source, causando interrupciones en miles de aplicaciones que las usaban.

Marak Squires, el autor de dos bibliotecas de JavaScript con más de 21 000 aplicaciones dependientes y más de 22 millones de descargas semanales, actualizó sus planes a fines de la semana pasada después de haber permanecido sin cambios durante más de un año. Las actualizaciones contenían código para producir un bucle infinito que hacía que aparecieran galimatías de las aplicaciones dependientes, precedido por las palabras «Libertad Libertad Libertad».

Squires no proporcionó ninguna razón para hacerlo, pero un archivo «faker.js» se cambió a «¿Qué pasó realmente con Aaron Swartz?».

Swartz fue un desarrollador líder que ayudó a establecer Creative Commons, RSS y Reddit. En 2011, Swartz fue acusado de robar documentos de la base de datos académica JSTOR en un intento de hacerlos de libre acceso.

El activista involucrado en grandes causas como la Neutralidad de la Red, se opuso a las leyes SOPA y PIPA (equivalentes a Hadopi en Estados Unidos). Aaron Swartz se suicidó en enero de 2013. Sujeto a episodios depresivos, se encontraba bajo fuertes procesos judiciales. Enfrentó nada menos que 4 millones de dólares en multas y 30 años de prisión por haber descifrado y robado 4 millones de documentos académicos del MIT y del sitio Jstor. Un acto realizado en nombre del libre acceso al conocimiento. Un acto que también le valió la acusación de «crimen» («felony») por parte de la justicia estadounidense.

Aaron Swartz se negó obstinadamente a aceptar el término, según su colega Lawrence Lessig. Una negativa que, tras 18 meses de negociaciones, daría lugar a un juicio con penas potencialmente muy severas.

En reacción a su muerte, varios profesores del MIT han decidido honrar su lucha, que apoyan, subiendo archivos PDF de su trabajo para luchar contra los derechos de autor de artículos académicos. Además de estos profesores, el MIT también oficialmente y como institución decidió realizar una investigación interna para determinar cómo había actuado, en detalle, la escuela de Boston desde el inicio del asunto de los “robos” de documentos. ¿Y si sus decisiones no hubieran sido desproporcionadas?

Al mismo tiempo, ya que incluía la referencia Swartz en el archivo «Readme», Squires también tuiteó esas mismas palabras e incluyó un enlace a un hilo que afirma que Swartz fue asesinado después de descubrir pornografía infantil en los servidores del MIT. Esta publicación ahora eliminada (pero disponible en Web Archive), incluida en el hilo, decía:

“No, no es Aaron Swartz quien debe ser juzgado, sino esta alta institución de aprendizaje asalariado, el MIT, que es responsable de los crímenes atroces que lo llevaron a la muerte. Los riesgos asumidos por Swartz, que así amenazó al MIT, solo pueden entenderse a través del tema de la pornografía infantil orquestada y producida por sus aclamados profesores y distribuida a sus ricos y poderosos patrocinadores. Los ciberpókeres del MIT atienden a una clientela que incluye el escalón más alto del Departamento de Estado, grandes corporaciones, agencias de inteligencia, el ejército y la Casa Blanca.

Cada elemento del Caso Swartz indica que murió en un heroico intento de exponer la perversión que ha corrompido los corazones y las mentes de la élite mundial, un vicio atroz y a menudo mortal que traumatiza a niños inocentes y amenaza a todas las familias de este planeta.

Esta exhibición de hechos es un camino sinuoso que conduce desde los Sagrados Salones de Ivy en Boston hasta las afueras de Phnom Penh, donde un profesor de renombre mundial ha organizado servicios de sexo juvenil para dignatarios visitantes y ha enviado pornografía infantil cifrada vía satélite a bases de datos ilícitas. en el campus del MIT.

Nicholas Negroponte, ya no tienes dónde esconderte en el sudeste asiático o África. Estás bajo vigilancia y serás perseguido sin descanso, no solo por pornografía infantil y proxenetismo, sino ahora como cómplice de asesinato. Tu única salida es devolver los archivos de video con la lista completa de nombres, y será mejor que lo hagas lo antes posible, porque los poderosos pedófilos de esta lista te silenciarán para cubrir sus propios rastros”.

El sabotaje de las bibliotecas plantea preocupaciones sobre la seguridad de la cadena de suministro de software, que es crucial para muchas organizaciones, incluidas las empresas Fortune 500. Las dos bibliotecas saboteadas, Faker.js y Colors.js, han creado problemas para las personas que utilizan el SDK en la nube de Amazon.

Los críticos han dicho durante mucho tiempo que las grandes corporaciones se aprovechan de los ecosistemas de código abierto sin pagar adecuadamente a los desarrolladores por su tiempo. A su vez, los desarrolladores responsables del software son puestos a prueba injustamente.

De hecho, Squires dijo en 2020 que ya no apoyará a las grandes empresas con el trabajo que realiza de forma gratuita.

“Aproveche esta oportunidad para enviarme un contrato anual de seis cifras o bifurcar el proyecto y hacer que alguien más trabaje en él”, escribió.

La capacidad de un solo desarrollador para frenar una base de aplicaciones tan grande destaca una debilidad fundamental en la estructura actual del software libre y de código abierto. Agregue a eso los estragos causados ​​por las vulnerabilidades de seguridad pasadas por alto en aplicaciones de código abierto ampliamente utilizadas y tendrá una receta para un desastre potencial.

Fuente: https://web.archive.org

https://github.com

from Linux Adictos https://ift.tt/3fcFhpI
via IFTTT

‘Wormable’ Flaw Leads January 2022 Patch Tuesday

Posted on by

Microsoft today released updates to plug nearly 120 security holes in Windows and supported software. Six of the vulnerabilities were publicly detailed already, potentially giving attackers a head start in figuring out how to exploit them in unpatched systems. More concerning, Microsoft warns that one of the flaws fixed this month is “wormable,” meaning no human interaction would be required for an attack to spread from one vulnerable Windows box to another.

Nine of the vulnerabilities fixed in this month’s Patch Tuesday received Microsoft’s “critical” rating, meaning malware or miscreants can exploit them to gain remote access to vulnerable Windows systems through no help from the user.

By all accounts, the most severe flaw addressed today is CVE-2022-21907, a critical, remote code execution flaw in the “HTTP Protocol Stack.” Microsoft says the flaw affects Windows 10 and Windows 11, as well as Server 2019 and Server 2022.

“While this is definitely more server-centric, remember that Windows clients can also run http.sys, so all affected versions are affected by this bug,” said Dustin Childs from Trend Micro’s Zero Day Initiative. “Test and deploy this patch quickly.”

Quickly indeed. In May 2021, Microsoft patched a similarly critical and wormable vulnerability in the HTTP Protocol Stack; less than a week later, computer code made to exploit the flaw was posted online.

Microsoft also fixed three more remote code execution flaws in Exchange Server, a technology that hundreds of thousands of organizations worldwide use to manage their email. Exchange flaws are a major target of malicious hackers. Almost a year ago, hundreds of thousands of Exchange servers worldwide were compromised by malware after attackers started mass-exploiting four zero-day flaws in Exchange.

Microsoft says the limiting factor with these three newly found Exchange flaws is that an attacker would need to be tied to the target’s network somehow to exploit them. But Satnam Narang at Tenable notes Microsoft has labeled all three Exchange flaws as “exploitation more likely.”

“One of the flaws, CVE-2022-21846, was disclosed to Microsoft by the National Security Agency,” Narang said. “Despite the rating, Microsoft notes the attack vector is adjacent, meaning exploitation will require more legwork for an attacker, unlike the ProxyLogon and ProxyShell vulnerabilities which were remotely exploitable.”

Security firm Rapid7 points out that roughly a quarter of the security updates this month address vulnerabilities in Microsoft’s Edge browser via Chromium.

“None of these have yet been seen exploited in the wild, though six were publicly disclosed prior to today,” Rapid7’s Greg Wiseman said. “This includes two Remote Code Execution vulnerabilities affecting open source libraries that are bundled with more recent versions of Windows: CVE-2021-22947, which affects the curl library, and CVE-2021-36976 which affects libarchive.”

Wiseman said slightly less scary than the HTTP Protocol Stack vulnerability is CVE-2022-21840, which affects all supported versions of Office, as well as Sharepoint Server.

“Exploitation would require social engineering to entice a victim to open an attachment or visit a malicious website,” he said. “Thankfully the Windows preview pane is not a vector for this attack.”

Other patches include fixes for .NET Framework, Microsoft Dynamics, Windows Hyper-V, Windows Defender, and the Windows Remote Desktop Protocol (RDP). As usual, the SANS Internet Storm Center has a per-patch breakdown by severity and impact.

Standard disclaimer: Before you update Windows, please make sure you have backed up your system and/or important files. It’s not uncommon for a Windows update package to hose one’s system or prevent it from booting properly, and some updates have been known to erase or corrupt files.

So do yourself a favor and backup before installing any patches. Windows 10 even has some built-in tools to help you do that, either on a per-file/folder basis or by making a complete and bootable copy of your hard drive all at once.

And if you wish to ensure Windows has been set to pause updating so you can back up your files and/or system before the operating system decides to reboot and install patches on its own schedule, see this guide.

If you experience glitches or problems installing any of these patches this month, please consider leaving a comment about it below; there’s a decent chance other readers have experienced the same and may chime in here with useful tips.

from Krebs on Security https://ift.tt/33sHOt6
via IFTTT

Why the Insider Threat Will Motivate Cyber and Physical Teams to Collaborate More Than Ever in 2022

Posted on by

It’s hard to have a crystal ball in the world of security, but if one were to make a safe prediction, it’s this: Organizations will need to further integrate their cybersecurity and physical security functions throughout 2022 and beyond. So argues former chief psychologist for the US Secret Service, Dr. Marisa Randazzo, who now heads up Ontic’s Center of Excellence.

from Dark Reading https://ift.tt/33oaQue
via IFTTT