Linus Torvalds: Speaks on XZ Hack in Linux and Trust in Open Source Dev
Summary
TLDREl guion de este video presenta una conversación entre Linus Torvalds y Dirk Hohndel, discutiendo la confianza en la comunidad de código abierto, especialmente después de la vulnerabilidad de seguridad conocida como 'XZ utilities backdoor'. Linus enfatiza la importancia de un modelo de confianza sólido y una comunidad interconectada para protegerse de amenazas. Se destaca la capacidad de la comunidad para detectar y abordar problemas, y se sugiere que las empresas deberían apoyar proyectos de código abierto a través de la participación activa y el apoyo moral a los mantenedores.
Takeaways
- 🔒 La confianza es fundamental en la comunidad de código abierto, donde se confía en que los desarrolladores y los mantenedores hacen lo correcto.
- 🕵️♂️ La violación de la confianza es un problema abierto y se ha visto en el pasado con estudios que intentaron subir parches de kernel maliciosos sin informar a terceros.
- 👥 La comunidad de Linux es grande y profundamente entrelazada, lo que proporciona una fortaleza en la detección de amenazas.
- 🤔 La detección aleatoria de problemas en el código abierto puede ser un indicador de la solidez y estabilidad del proyecto.
- 🔎 Existen modelos de confianza como PGP, que se usan en la comunidad Linux y que podrían ser expandidos para mejorar la seguridad.
- 🌐 La comunidad de código abierto debe ser consciente de las personas nuevas o que actúan de manera inusual, lo que podría señalar una amenaza.
- 👨💻 El ingeniero alemán que encontró la vulnerabilidad de XZ lo hizo de manera aleatoria, lo que demuestra la importancia de la vigilancia constante.
- 🆔 Los atacantes en el caso de XZ no tenían un perfil típico de persona real, lo que indica la complejidad de la detección de amenazas.
- 🔄 La comunidad de Linux es única en su tamaño y en la participación activa de cientos de personas en cada lanzamiento.
- 🤝 Se enfatiza la importancia de apoyar proyectos de código abierto más pequeños, no solo con dinero sino con participación activa y apoyo moral.
- 🚨 La seguridad de la infraestructura es un tema crítico que ha estado en discusión durante años y seguirá siendo un problema principal, más allá de los atacantes maliciosos.
Q & A
¿Qué es la vulnerabilidad de backdoor de XZ y cómo afectó a la comunidad de código abierto?
-La vulnerabilidad de backdoor de XZ fue un ataque malicioso planeado y ejecutado en el ecosistema de software de código abierto, lo que causó una preocupación significativa en la comunidad, especialmente en proyectos como Linux, donde la confianza en los desarrolladores y el mantenimiento es crucial.
¿Cómo se relaciona la confianza en el desarrollo de software con la seguridad en proyectos de código abierto?
-La confianza es fundamental en el desarrollo de software, tanto de código abierto como propietario. Se basa en la creencia de que los desarrolladores y los mantenedores hacen lo correcto. La violación de esa confianza puede ser un problema en términos de seguridad, como se vio en el caso de la vulnerabilidad de XZ.
¿Qué estudio realizó una universidad sobre la facilidad de inyectar parches maliciosos en el kernel de Linux?
-La universidad realizó un estudio sobre cómo inyectar parches maliciosos en el kernel de Linux sin notificar a un tercero. Enviaron parches maliciosos y los mantenedores los detectaron, lo que causó la molestia de los mantenedores, ya que se sintieron traicionados por una institución educativa en la que habían depositado su confianza.
¿Cómo se detectó el ataque malicioso en el proyecto de código abierto mencionado en el guion?
-El ataque malicioso fue detectado rápidamente, aunque de manera aleatoria, por la comunidad de código abierto. A pesar de que no había reglas explícitas para capturar actividades maliciosas, el ataque fue identificado en pocas semanas después de que el atacante se convirtiera en un mantenedor.
¿Qué papel juegan las reglas técnicas en la prevención de ataques maliciosos en proyectos de código abierto?
-Las reglas técnicas son importantes, pero los atacantes maliciosos a menudo tratan de eludirlas. La detección aleatoria de actividades maliciosas puede ser efectiva, ya que los atacantes no siguen las reglas establecidas.
¿Qué es el modelo de confianza PGP y cómo se utiliza en la comunidad de Linux?
-PGP es un modelo de confianza clásico que utiliza una red de confianza. En la comunidad de Linux, los mantenedores utilizan PGP para verificar la identidad de los colaboradores y asegurar la integridad de las contribuciones.
¿Qué importancia tiene la comunidad en la defensa contra amenazas en proyectos de código abierto?
-La comunidad desempeña un papel crucial en la defensa contra amenazas. Una comunidad saludable y fuerte, como la de Linux, puede detectar y abordar problemas de seguridad de manera más efectiva debido a las relaciones profundas y entrelazadas entre sus miembros.
¿Por qué es importante apoyar proyectos de código abierto más pequeños que no reciben la atención que merecen?
-Apoyar proyectos de código abierto más pequeños es importante porque estos proyectos a menudo carecen de los recursos y la atención necesarias para mantenerse seguros y actualizados. La adopción y participación de las empresas y los usuarios en estos proyectos puede ayudar a fortalecer la seguridad y la sostenibilidad del software de código abierto en general.
¿Qué tipo de apoyo se puede brindar a los mantenedores de proyectos de código abierto más pequeños?
-El apoyo puede incluir la adopción de proyectos por parte de empresas, la participación en la revisión de código, la lectura de parches y el brindar apoyo moral a los mantenedores. Este tipo de apoyo no solo ayuda a mejorar la calidad y seguridad del software, sino que también fortalece la comunidad de código abierto.
¿Qué es la red de confianza de Linux y cómo ayuda a mantener la integridad del proyecto?
-La red de confianza de Linux es una práctica donde los mantenedores se reunen cara a cara y verifican mutuamente las identidades con documentos gubernamentales. Esto añade una capa de seguridad adicional, aunque es posible que los actores maliciosos intenten eludirla creando identificaciones falsas.
¿Cómo la comunidad de código abierto puede aprender de los ataques y vulnerabilidades para fortalecer su modelo de confianza?
-La comunidad de código abierto puede aprender de los ataques y vulnerabilidades al analizar cómo se detectaron y abordaron estos problemas, y por qué funcionó la detección aleatoria. Esto puede llevar a la implementación de mejores prácticas y modelos de confianza que refuercen la seguridad y la integridad del software.
Outlines
🔒 La confianza en la comunidad de código abierto
Este párrafo aborda la importancia de la confianza en la comunidad de código abierto, especialmente después de un grave incidente de seguridad como la vulnerabilidad de puerta trasera de XZ. Se discute cómo la confianza en los desarrolladores y los mantenedores es fundamental, y cómo este tipo de confianza también es aplicable en el ámbito de software propietario. Se menciona un estudio fallido sobre la facilidad de inyectar parches maliciosos en el núcleo, lo que causó una ruptura de confianza entre los mantenedores y un grupo universitario. Además, se destaca cómo los ataques maliciosos en proyectos de código abierto son capturados rápidamente, a pesar de la falta de reglas explícitas, lo que indica una cierta estabilidad en la comunidad.
🌐 La red de confianza y la importancia de la comunidad
En este párrafo, se profundiza en la idea de la red de confianza, donde se hace hincapié en la necesidad de conocer a las personas cara a cara y verificar su identidad oficial. Se discute cómo la comunidad de Linux es un ejemplo extraordinario de una comunidad interconectada y grande, con relaciones que duran años. Se señala la rareza de proyectos de código abierto tan grandes y activos como el kernel de Linux, y se sugiere que la industria debería apoyar proyectos más pequeños y posiblemente subutilizados. Se enfatiza la responsabilidad de los usuarios y la importancia de la participación en la mejora y el mantenimiento de la seguridad de la infraestructura de software de código abierto.
📢 Involucrarse y apoyar proyectos de código abierto
Este párrafo concluye la conversación con una llamada a la acción para que las empresas y los individuos se involucren en proyectos de código abierto, ofreciendo apoyo moral y técnico a los mantenedores. Se sugiere que, aunque no todos los proyectos pueden ser como el kernel de Linux, es fundamental el apoyo y la participación en la comunidad para mejorar la seguridad y la calidad del software. Se invita a la audiencia a compartir sus pensamientos sobre las vulnerabilidades recientes y la confianza en la comunidad de código abierto, y se ofrece un enlace para obtener más información sobre la conversación.
Mindmap
Keywords
💡Confianza
💡Vulnerabilidad de XZ
💡Comunidad de código abierto
💡Ataque malicioso
💡Robustez del modelo de confianza
💡PGP
💡Mantenedores
💡Ecosistema
💡Infraestructura de seguridad
💡Linux
💡Participación comunitaria
Highlights
Linus Torvalds discusses the importance of trust in the open source community, especially after the significant security breach known as the XZ utilities backdoor vulnerability.
Torvalds emphasizes that trust is a crucial element not only in open source but also in proprietary software, where internal company trust is essential.
He mentions that trust can be violated and detecting such violations is an ongoing challenge.
A study conducted by a university on how easy it is to upstream bad kernel patches is referenced, highlighting the importance of trust in the community.
Torvalds discusses the personal impact of trust violations, as seen in the reactions of maintainers to the university's actions.
Despite the lack of explicit rules, malicious activities in open source projects are often caught quickly, suggesting a robust community.
The XZ attack, which had a history of several years, was discovered within weeks when the bad actor became a maintainer.
Torvalds points out the role of randomness in catching security breaches, as bad actors often work around set rules.
He highlights the need for a robust trust model within the community to defend against threats.
PGP is mentioned as an existing project that uses a network of trust, which is also utilized among maintainers in the Linux community.
Torvalds suggests that the Linux community's large and interconnected network is a significant defense against security threats.
The uniqueness of the Linux kernel as an open source project is noted, with a large number of maintainers and contributors.
Torvalds calls for industry support for smaller and less supported open source projects, emphasizing the need for community engagement.
He suggests that companies should adopt and participate in open source projects to provide support beyond financial means.
Torvalds acknowledges the ongoing conversation about infrastructure security and the importance of addressing both bad actors and bugs.
The video concludes with a call to action for the community to engage more deeply with open source projects and to support maintainers.
Transcripts
let's get lenus Tal's thoughts on trust
in the open source Community especially
in the light of the significant security
breach and Hack That was known as the XZ
utilities backdoor vulnerability lenus
talks about this and more including the
importance of a robust trust model with
a strong interconnected open- Source
Community to defend against threats like
this there's definitely a unique and
complex level of concern in the Linux
open source project here's a recent
conversation that lenus had with Dirk
who is the head of the open source
program office at Verizon let's get into
what lenus thinks about this now it
certainly is today yeah but let's let's
switch gears a little bit um we talked
about security we talked about the the
challenges that come from the hardware
up towards us let's go the other way let
look at user space and of course the
last few weeks a lot of people who care
about security have learned a lot about
XZ and about the the um pretty amazing
and amazing in a bad way uh long very
long planned and well executed attack on
the ecosystem and I'm curious what your
thoughts are about this well so I'm
hoping people know the background I'm
not going to go very much into that uh
where open source in many ways relies in
a certain amount of trust MH where you
trust the developers you trust your
co-maintainer you trust the people
around you to to do the right thing and
uh honestly it's not true just in open
source I mean it's true even in in
proprietary Source the you you depend on
the trust in the company but also within
the company you depend on trusting your
employees and that trust can be violated
and
uh how
to figure out when it's being violated
is an open problem and we've we've seen
this before um in the colel space we
actually saw a a
university a few several years ago that
try to do a study on how easy it is to
Upstream bad kernel patches and and
that's that's actually an interesting
study they just didn't do it very well
and they didn't they didn't tell a third
party about this and they they just send
us bad patches uh and uh
understandably maintainers a caught the
bad patches and B were really upset
about this and were going hey you're a
university group and we were kind of
trusting you and you broke that trust
and that really ends up being a a very
personal matter we had maintainers who
were very pissed off well you were being
experimented on you were the the objects
of an experiment and that is in
violation of a ton of Ethics rules yes
you can't do that yes but I mean so
we've both seen that kind of experiments
and now not in the kernel space but in
in another open source project we've
seen an actual malicious attack and
nobody really had any explicit gates in
place to try to catch this but what I
actually see as a huge positive is that
despite they're not being any like
explicit rules in place let's try to
catch malicious activity both in both
cases they were actually really caught
fairly quickly so the XC attack had a
history going back several years but
when the
actual bad actor took advantage of
becoming a
maintainer uh it was found within weeks
it was pretty quickly but it was found
randomly it was found randomly but but
my point is random ends up being good I
mean you don't always you don't always
you can't always have specific rules in
place because it's kind of when you have
rules in place the Bad actors they don't
follow the rules uh so they can try to
work around whatever technical rules you
have in place and the fact that open
source projects have found these kinds
of attacks does seem to imply a fairly
strong amount of stability and and that
these things do get caught um so clearly
it's a wakeup call there's no question
about that and uh there are a lot of
people who are looking into
various measures of trust um in the
colonel I mean we we had there are
existing projects pgp being one of the
really classic one which has this notion
of a network of trust and in the colel
we actually use that amongst maintainers
uh but but I think uh we're going to see
a lot of work being put into some kind
of uh trust model where where people see
oh this is a new person or this is a
person that is acting differently from
from before yeah for no particular
reason I want to point out the engineer
who found this was a German engineer but
it's just random um uh thank you there's
there's another German in the audience
um but I I think what's so interesting
about this this whole notion of trust is
in the after Thea analysis of these
personas that were the Bad actors of
course they had none of the typical
footprint that a real person would have
so uh um BR KPS had this interesting
piece that he said the email address
used for these attacks never showed up
in any of the data breaches any of the
many aquax United Health you know name
any company T-Mobile anybody who has
their data stolen and and all these
email addresses are online you can find
them in databases and the emails of
these Bad actors weren't in that data
which is an interesting way to define
whether you're a real person or not
but right but so the the the Linux
network of trust one of the requirements
for the signature is that you meet the
person face to face and you are supposed
to look at their government idea of
course a a nation state aggressor can
create a false government IDE but still
there is there is an additional level of
difficulty but to me I think the the
biggest defense against all that is a
healthy Community yes and the Linux
curdle has this incredibly big but also
incredibly deeply intwined and connected
Community where there are multi-year
multi- deade relation ships at the core
of all well it is that is true at the
same time it is worth really pointing
out how unusual the colel is as an open
source project a lot of open- source
projects even very Central ones are
basically run by one or two or three
people and they may
have many more people who occasionally
contribute but most open- Source
projects are are really fairly small and
and uh the colonel
having
like just the number of main maintainers
depending on how you count is between 50
and maybe
150 uh but we have a thousand people
that basically participate in every
single release every couple of
months what we do is not NE necessarily
something that can translate to 99% of
all the open- source projects but one of
the things I I believe we and this is
the larger we all of us here in the room
the industry should be doing is we
should be looking at the projects that
are under underutilized that are not
underutilized that are under supported
by their own community and by all of us
who are using this software I think
there is this this discrepancy of being
a user of Open Source and depending on
it deeply and a certain responsibility
to then to help solve the problems and
supporting a lot of these smaller
projects not with money money is
is really hard in this case what people
are looking for is help so engaging you
know each of you works for a company
have your company adopt a couple of such
projects and just participate read the
code be part of the of the reviews of
the
patches provide just moral support to
the maintainers is as simple as that so
I think there's a lot more that we can
do not everything can be Linux that
would be uh hard no I mean this is uh I
I think this has been a wakeup call for
I mean people have been talking about
the infrastructure security for the
several last years because of not
necessarily Bad actors but just bad bugs
yeah and and I think that will actually
continue to be a main the main problem
the the Bad
actors may
be interesting but they are at the same
time not going to be the common case we
are we're very good at creating code but
part of that is also we're very good at
then sometimes getting it wrong and so
it happens even in the colel community
when we try to be very careful because
of the area we're working in yeah and no
one is perfect thanks to the Linux
foundation for hosting this event and
conversation if you want more of this
video or you found this conversation
interesting between lenus and Dirk check
out the link in the description below
let me know what you think about the
recent vulnerabilities in Linux which
subject the entire open source Community
to more scrutiny and I'd also love to
hear what you think about Len's thoughts
from this conversation catch me in a
great community on Discord and I'll
catch you in another video thanks for
watching
Voir Plus de Vidéos Connexes
Caso xz, caso moq... El Open Source es Insostenible
What to Look for in a Secure Privacy Focused Messaging App
Documental Código Linux / The Code - Story of Linux (Español)
La rara historia de LINUX y sus miles de distribuciones
How Linux killed Unix: the UNIX Wars
Regarding The Hyprland & Vaxry Situation
5.0 / 5 (0 votes)