Linus Torvalds: Speaks on XZ Hack in Linux and Trust in Open Source Dev

SavvyNik
24 Jul 202410:26

Summary

TLDREl guion de este video presenta una conversación entre Linus Torvalds y Dirk Hohndel, discutiendo la confianza en la comunidad de código abierto, especialmente después de la vulnerabilidad de seguridad conocida como 'XZ utilities backdoor'. Linus enfatiza la importancia de un modelo de confianza sólido y una comunidad interconectada para protegerse de amenazas. Se destaca la capacidad de la comunidad para detectar y abordar problemas, y se sugiere que las empresas deberían apoyar proyectos de código abierto a través de la participación activa y el apoyo moral a los mantenedores.

Takeaways

  • 🔒 La confianza es fundamental en la comunidad de código abierto, donde se confía en que los desarrolladores y los mantenedores hacen lo correcto.
  • 🕵️‍♂️ La violación de la confianza es un problema abierto y se ha visto en el pasado con estudios que intentaron subir parches de kernel maliciosos sin informar a terceros.
  • 👥 La comunidad de Linux es grande y profundamente entrelazada, lo que proporciona una fortaleza en la detección de amenazas.
  • 🤔 La detección aleatoria de problemas en el código abierto puede ser un indicador de la solidez y estabilidad del proyecto.
  • 🔎 Existen modelos de confianza como PGP, que se usan en la comunidad Linux y que podrían ser expandidos para mejorar la seguridad.
  • 🌐 La comunidad de código abierto debe ser consciente de las personas nuevas o que actúan de manera inusual, lo que podría señalar una amenaza.
  • 👨‍💻 El ingeniero alemán que encontró la vulnerabilidad de XZ lo hizo de manera aleatoria, lo que demuestra la importancia de la vigilancia constante.
  • 🆔 Los atacantes en el caso de XZ no tenían un perfil típico de persona real, lo que indica la complejidad de la detección de amenazas.
  • 🔄 La comunidad de Linux es única en su tamaño y en la participación activa de cientos de personas en cada lanzamiento.
  • 🤝 Se enfatiza la importancia de apoyar proyectos de código abierto más pequeños, no solo con dinero sino con participación activa y apoyo moral.
  • 🚨 La seguridad de la infraestructura es un tema crítico que ha estado en discusión durante años y seguirá siendo un problema principal, más allá de los atacantes maliciosos.

Q & A

  • ¿Qué es la vulnerabilidad de backdoor de XZ y cómo afectó a la comunidad de código abierto?

    -La vulnerabilidad de backdoor de XZ fue un ataque malicioso planeado y ejecutado en el ecosistema de software de código abierto, lo que causó una preocupación significativa en la comunidad, especialmente en proyectos como Linux, donde la confianza en los desarrolladores y el mantenimiento es crucial.

  • ¿Cómo se relaciona la confianza en el desarrollo de software con la seguridad en proyectos de código abierto?

    -La confianza es fundamental en el desarrollo de software, tanto de código abierto como propietario. Se basa en la creencia de que los desarrolladores y los mantenedores hacen lo correcto. La violación de esa confianza puede ser un problema en términos de seguridad, como se vio en el caso de la vulnerabilidad de XZ.

  • ¿Qué estudio realizó una universidad sobre la facilidad de inyectar parches maliciosos en el kernel de Linux?

    -La universidad realizó un estudio sobre cómo inyectar parches maliciosos en el kernel de Linux sin notificar a un tercero. Enviaron parches maliciosos y los mantenedores los detectaron, lo que causó la molestia de los mantenedores, ya que se sintieron traicionados por una institución educativa en la que habían depositado su confianza.

  • ¿Cómo se detectó el ataque malicioso en el proyecto de código abierto mencionado en el guion?

    -El ataque malicioso fue detectado rápidamente, aunque de manera aleatoria, por la comunidad de código abierto. A pesar de que no había reglas explícitas para capturar actividades maliciosas, el ataque fue identificado en pocas semanas después de que el atacante se convirtiera en un mantenedor.

  • ¿Qué papel juegan las reglas técnicas en la prevención de ataques maliciosos en proyectos de código abierto?

    -Las reglas técnicas son importantes, pero los atacantes maliciosos a menudo tratan de eludirlas. La detección aleatoria de actividades maliciosas puede ser efectiva, ya que los atacantes no siguen las reglas establecidas.

  • ¿Qué es el modelo de confianza PGP y cómo se utiliza en la comunidad de Linux?

    -PGP es un modelo de confianza clásico que utiliza una red de confianza. En la comunidad de Linux, los mantenedores utilizan PGP para verificar la identidad de los colaboradores y asegurar la integridad de las contribuciones.

  • ¿Qué importancia tiene la comunidad en la defensa contra amenazas en proyectos de código abierto?

    -La comunidad desempeña un papel crucial en la defensa contra amenazas. Una comunidad saludable y fuerte, como la de Linux, puede detectar y abordar problemas de seguridad de manera más efectiva debido a las relaciones profundas y entrelazadas entre sus miembros.

  • ¿Por qué es importante apoyar proyectos de código abierto más pequeños que no reciben la atención que merecen?

    -Apoyar proyectos de código abierto más pequeños es importante porque estos proyectos a menudo carecen de los recursos y la atención necesarias para mantenerse seguros y actualizados. La adopción y participación de las empresas y los usuarios en estos proyectos puede ayudar a fortalecer la seguridad y la sostenibilidad del software de código abierto en general.

  • ¿Qué tipo de apoyo se puede brindar a los mantenedores de proyectos de código abierto más pequeños?

    -El apoyo puede incluir la adopción de proyectos por parte de empresas, la participación en la revisión de código, la lectura de parches y el brindar apoyo moral a los mantenedores. Este tipo de apoyo no solo ayuda a mejorar la calidad y seguridad del software, sino que también fortalece la comunidad de código abierto.

  • ¿Qué es la red de confianza de Linux y cómo ayuda a mantener la integridad del proyecto?

    -La red de confianza de Linux es una práctica donde los mantenedores se reunen cara a cara y verifican mutuamente las identidades con documentos gubernamentales. Esto añade una capa de seguridad adicional, aunque es posible que los actores maliciosos intenten eludirla creando identificaciones falsas.

  • ¿Cómo la comunidad de código abierto puede aprender de los ataques y vulnerabilidades para fortalecer su modelo de confianza?

    -La comunidad de código abierto puede aprender de los ataques y vulnerabilidades al analizar cómo se detectaron y abordaron estos problemas, y por qué funcionó la detección aleatoria. Esto puede llevar a la implementación de mejores prácticas y modelos de confianza que refuercen la seguridad y la integridad del software.

Outlines

00:00

🔒 La confianza en la comunidad de código abierto

Este párrafo aborda la importancia de la confianza en la comunidad de código abierto, especialmente después de un grave incidente de seguridad como la vulnerabilidad de puerta trasera de XZ. Se discute cómo la confianza en los desarrolladores y los mantenedores es fundamental, y cómo este tipo de confianza también es aplicable en el ámbito de software propietario. Se menciona un estudio fallido sobre la facilidad de inyectar parches maliciosos en el núcleo, lo que causó una ruptura de confianza entre los mantenedores y un grupo universitario. Además, se destaca cómo los ataques maliciosos en proyectos de código abierto son capturados rápidamente, a pesar de la falta de reglas explícitas, lo que indica una cierta estabilidad en la comunidad.

05:01

🌐 La red de confianza y la importancia de la comunidad

En este párrafo, se profundiza en la idea de la red de confianza, donde se hace hincapié en la necesidad de conocer a las personas cara a cara y verificar su identidad oficial. Se discute cómo la comunidad de Linux es un ejemplo extraordinario de una comunidad interconectada y grande, con relaciones que duran años. Se señala la rareza de proyectos de código abierto tan grandes y activos como el kernel de Linux, y se sugiere que la industria debería apoyar proyectos más pequeños y posiblemente subutilizados. Se enfatiza la responsabilidad de los usuarios y la importancia de la participación en la mejora y el mantenimiento de la seguridad de la infraestructura de software de código abierto.

10:01

📢 Involucrarse y apoyar proyectos de código abierto

Este párrafo concluye la conversación con una llamada a la acción para que las empresas y los individuos se involucren en proyectos de código abierto, ofreciendo apoyo moral y técnico a los mantenedores. Se sugiere que, aunque no todos los proyectos pueden ser como el kernel de Linux, es fundamental el apoyo y la participación en la comunidad para mejorar la seguridad y la calidad del software. Se invita a la audiencia a compartir sus pensamientos sobre las vulnerabilidades recientes y la confianza en la comunidad de código abierto, y se ofrece un enlace para obtener más información sobre la conversación.

Mindmap

Keywords

💡Confianza

La confianza es un concepto central en cualquier comunidad, especialmente en proyectos de código abierto donde se basa en la integridad y el comportamiento adecuado de los desarrolladores y mantenedores. En el video, se discute cómo la confianza se ve afectada por incidentes de seguridad, como la vulnerabilidad de backdoor de XZ, y cómo es fundamental para la salud de la comunidad de Linux.

💡Vulnerabilidad de XZ

La vulnerabilidad de XZ es un ejemplo específico de un ataque a un ecosistema de software, que causó preocupación en la comunidad de seguridad. En el script, se menciona cómo este tipo de ataques pone de manifiesto la importancia de un modelo de confianza sólido para proteger contra amenazas similares.

💡Comunidad de código abierto

La comunidad de código abierto es un grupo de individuos que colaboran en proyectos de software de forma voluntaria y descentralizada. En el video, se enfatiza la importancia de una comunidad fuerte y conectada para detectar y abordar problemas de seguridad, como el incidente de XZ.

💡Ataque malicioso

Un ataque malicioso se refiere a una serie de acciones intencionales para dañar, acceder o explotar un sistema de información. En el contexto del video, se discute cómo, a pesar de la falta de reglas explícitas, los ataques maliciosos en proyectos de código abierto son detectados rápidamente.

💡Robustez del modelo de confianza

La robustez del modelo de confianza implica la fortaleza y la solidez de las medidas que se toman para garantizar la integridad y la seguridad en un proyecto de código abierto. El video destaca cómo la detección temprana de ataques maliciosos indica una confianza sólida y un modelo de confianza efectivo.

💡PGP

PGP, o Pretty Good Privacy, es un sistema de cifrado de clave pública que se utiliza para garantizar la autenticidad y la integridad de los datos. En el video, se menciona PGP como un ejemplo de un modelo de confianza clásico utilizado en la comunidad de desarrolladores.

💡Mantenedores

Los mantenedores son los individuos responsables del control y la gestión de un proyecto de software. En el script, se describe cómo los mantenedores detectaron y respondieron a las vulnerabilidades maliciosas, lo que demuestra la importancia de su papel en la seguridad del proyecto.

💡Ecosistema

El ecosistema hace referencia a la red interconectada de componentes y actores en un proyecto de software. El video destaca cómo un ataque bien planeado puede afectar a todo el ecosistema, subrayando la importancia de la vigilancia y la confianza en todas las partes.

💡Infraestructura de seguridad

La infraestructura de seguridad incluye todos los sistemas, procesos y controles diseñados para proteger la información y los activos de una organización. El video sugiere que la atención a la infraestructura de seguridad es crucial, no solo debido a los actores malintencionados, sino también debido a errores en el código.

💡Linux

Linux es un sistema operativo de código abierto que es ampliamente utilizado y es el núcleo de muchos dispositivos y servidores. En el video, se discute cómo los incidentes de seguridad, como la vulnerabilidad de XZ, afectan directamente a la confianza y la estabilidad de Linux y su comunidad.

💡Participación comunitaria

La participación comunitaria se refiere a la contribución activa de los miembros de una comunidad en sus proyectos y actividades. El video enfatiza la necesidad de que las empresas y los individuos participen en proyectos de código abierto, ofreciendo apoyo y recursos para fortalecer la confianza y la seguridad.

Highlights

Linus Torvalds discusses the importance of trust in the open source community, especially after the significant security breach known as the XZ utilities backdoor vulnerability.

Torvalds emphasizes that trust is a crucial element not only in open source but also in proprietary software, where internal company trust is essential.

He mentions that trust can be violated and detecting such violations is an ongoing challenge.

A study conducted by a university on how easy it is to upstream bad kernel patches is referenced, highlighting the importance of trust in the community.

Torvalds discusses the personal impact of trust violations, as seen in the reactions of maintainers to the university's actions.

Despite the lack of explicit rules, malicious activities in open source projects are often caught quickly, suggesting a robust community.

The XZ attack, which had a history of several years, was discovered within weeks when the bad actor became a maintainer.

Torvalds points out the role of randomness in catching security breaches, as bad actors often work around set rules.

He highlights the need for a robust trust model within the community to defend against threats.

PGP is mentioned as an existing project that uses a network of trust, which is also utilized among maintainers in the Linux community.

Torvalds suggests that the Linux community's large and interconnected network is a significant defense against security threats.

The uniqueness of the Linux kernel as an open source project is noted, with a large number of maintainers and contributors.

Torvalds calls for industry support for smaller and less supported open source projects, emphasizing the need for community engagement.

He suggests that companies should adopt and participate in open source projects to provide support beyond financial means.

Torvalds acknowledges the ongoing conversation about infrastructure security and the importance of addressing both bad actors and bugs.

The video concludes with a call to action for the community to engage more deeply with open source projects and to support maintainers.

Transcripts

play00:00

let's get lenus Tal's thoughts on trust

play00:02

in the open source Community especially

play00:05

in the light of the significant security

play00:08

breach and Hack That was known as the XZ

play00:10

utilities backdoor vulnerability lenus

play00:12

talks about this and more including the

play00:14

importance of a robust trust model with

play00:16

a strong interconnected open- Source

play00:18

Community to defend against threats like

play00:21

this there's definitely a unique and

play00:23

complex level of concern in the Linux

play00:26

open source project here's a recent

play00:28

conversation that lenus had with Dirk

play00:30

who is the head of the open source

play00:31

program office at Verizon let's get into

play00:34

what lenus thinks about this now it

play00:36

certainly is today yeah but let's let's

play00:38

switch gears a little bit um we talked

play00:40

about security we talked about the the

play00:42

challenges that come from the hardware

play00:45

up towards us let's go the other way let

play00:47

look at user space and of course the

play00:50

last few weeks a lot of people who care

play00:52

about security have learned a lot about

play00:54

XZ and about the the um pretty amazing

play00:59

and amazing in a bad way uh long very

play01:03

long planned and well executed attack on

play01:06

the ecosystem and I'm curious what your

play01:08

thoughts are about this well so I'm

play01:12

hoping people know the background I'm

play01:14

not going to go very much into that uh

play01:18

where open source in many ways relies in

play01:22

a certain amount of trust MH where you

play01:25

trust the developers you trust your

play01:27

co-maintainer you trust the people

play01:29

around you to to do the right thing and

play01:32

uh honestly it's not true just in open

play01:34

source I mean it's true even in in

play01:37

proprietary Source the you you depend on

play01:41

the trust in the company but also within

play01:43

the company you depend on trusting your

play01:46

employees and that trust can be violated

play01:49

and

play01:50

uh how

play01:52

to figure out when it's being violated

play01:55

is an open problem and we've we've seen

play01:58

this before um in the colel space we

play02:01

actually saw a a

play02:03

university a few several years ago that

play02:08

try to do a study on how easy it is to

play02:12

Upstream bad kernel patches and and

play02:16

that's that's actually an interesting

play02:18

study they just didn't do it very well

play02:20

and they didn't they didn't tell a third

play02:23

party about this and they they just send

play02:26

us bad patches uh and uh

play02:31

understandably maintainers a caught the

play02:34

bad patches and B were really upset

play02:37

about this and were going hey you're a

play02:40

university group and we were kind of

play02:43

trusting you and you broke that trust

play02:45

and that really ends up being a a very

play02:49

personal matter we had maintainers who

play02:51

were very pissed off well you were being

play02:53

experimented on you were the the objects

play02:56

of an experiment and that is in

play02:57

violation of a ton of Ethics rules yes

play03:00

you can't do that yes but I mean so

play03:02

we've both seen that kind of experiments

play03:04

and now not in the kernel space but in

play03:07

in another open source project we've

play03:09

seen an actual malicious attack and

play03:13

nobody really had any explicit gates in

play03:16

place to try to catch this but what I

play03:19

actually see as a huge positive is that

play03:22

despite they're not being any like

play03:25

explicit rules in place let's try to

play03:27

catch malicious activity both in both

play03:30

cases they were actually really caught

play03:32

fairly quickly so the XC attack had a

play03:35

history going back several years but

play03:39

when the

play03:40

actual bad actor took advantage of

play03:45

becoming a

play03:46

maintainer uh it was found within weeks

play03:49

it was pretty quickly but it was found

play03:52

randomly it was found randomly but but

play03:54

my point is random ends up being good I

play03:58

mean you don't always you don't always

play04:01

you can't always have specific rules in

play04:04

place because it's kind of when you have

play04:08

rules in place the Bad actors they don't

play04:11

follow the rules uh so they can try to

play04:15

work around whatever technical rules you

play04:17

have in place and the fact that open

play04:20

source projects have found these kinds

play04:23

of attacks does seem to imply a fairly

play04:26

strong amount of stability and and that

play04:29

these things do get caught um so clearly

play04:34

it's a wakeup call there's no question

play04:36

about that and uh there are a lot of

play04:39

people who are looking into

play04:42

various measures of trust um in the

play04:46

colonel I mean we we had there are

play04:49

existing projects pgp being one of the

play04:52

really classic one which has this notion

play04:54

of a network of trust and in the colel

play04:56

we actually use that amongst maintainers

play05:00

uh but but I think uh we're going to see

play05:03

a lot of work being put into some kind

play05:06

of uh trust model where where people see

play05:10

oh this is a new person or this is a

play05:13

person that is acting differently from

play05:15

from before yeah for no particular

play05:17

reason I want to point out the engineer

play05:18

who found this was a German engineer but

play05:21

it's just random um uh thank you there's

play05:24

there's another German in the audience

play05:26

um but I I think what's so interesting

play05:30

about this this whole notion of trust is

play05:33

in the after Thea analysis of these

play05:36

personas that were the Bad actors of

play05:39

course they had none of the typical

play05:42

footprint that a real person would have

play05:45

so uh um BR KPS had this interesting

play05:49

piece that he said the email address

play05:51

used for these attacks never showed up

play05:54

in any of the data breaches any of the

play05:57

many aquax United Health you know name

play06:00

any company T-Mobile anybody who has

play06:03

their data stolen and and all these

play06:05

email addresses are online you can find

play06:07

them in databases and the emails of

play06:10

these Bad actors weren't in that data

play06:12

which is an interesting way to define

play06:15

whether you're a real person or not

play06:18

but right but so the the the Linux

play06:23

network of trust one of the requirements

play06:25

for the signature is that you meet the

play06:27

person face to face and you are supposed

play06:29

to look at their government idea of

play06:32

course a a nation state aggressor can

play06:35

create a false government IDE but still

play06:38

there is there is an additional level of

play06:40

difficulty but to me I think the the

play06:42

biggest defense against all that is a

play06:44

healthy Community yes and the Linux

play06:47

curdle has this incredibly big but also

play06:51

incredibly deeply intwined and connected

play06:55

Community where there are multi-year

play06:58

multi- deade relation ships at the core

play07:00

of all well it is that is true at the

play07:03

same time it is worth really pointing

play07:05

out how unusual the colel is as an open

play07:08

source project a lot of open- source

play07:11

projects even very Central ones are

play07:14

basically run by one or two or three

play07:17

people and they may

play07:19

have many more people who occasionally

play07:24

contribute but most open- Source

play07:27

projects are are really fairly small and

play07:32

and uh the colonel

play07:34

having

play07:36

like just the number of main maintainers

play07:39

depending on how you count is between 50

play07:43

and maybe

play07:45

150 uh but we have a thousand people

play07:49

that basically participate in every

play07:52

single release every couple of

play07:55

months what we do is not NE necessarily

play07:59

something that can translate to 99% of

play08:03

all the open- source projects but one of

play08:06

the things I I believe we and this is

play08:08

the larger we all of us here in the room

play08:11

the industry should be doing is we

play08:13

should be looking at the projects that

play08:16

are under underutilized that are not

play08:20

underutilized that are under supported

play08:22

by their own community and by all of us

play08:25

who are using this software I think

play08:27

there is this this discrepancy of being

play08:30

a user of Open Source and depending on

play08:33

it deeply and a certain responsibility

play08:36

to then to help solve the problems and

play08:40

supporting a lot of these smaller

play08:42

projects not with money money is

play08:45

is really hard in this case what people

play08:48

are looking for is help so engaging you

play08:52

know each of you works for a company

play08:54

have your company adopt a couple of such

play08:57

projects and just participate read the

play09:01

code be part of the of the reviews of

play09:04

the

play09:05

patches provide just moral support to

play09:08

the maintainers is as simple as that so

play09:10

I think there's a lot more that we can

play09:12

do not everything can be Linux that

play09:14

would be uh hard no I mean this is uh I

play09:17

I think this has been a wakeup call for

play09:20

I mean people have been talking about

play09:22

the infrastructure security for the

play09:23

several last years because of not

play09:27

necessarily Bad actors but just bad bugs

play09:29

yeah and and I think that will actually

play09:32

continue to be a main the main problem

play09:35

the the Bad

play09:36

actors may

play09:38

be interesting but they are at the same

play09:42

time not going to be the common case we

play09:44

are we're very good at creating code but

play09:47

part of that is also we're very good at

play09:49

then sometimes getting it wrong and so

play09:53

it happens even in the colel community

play09:55

when we try to be very careful because

play09:57

of the area we're working in yeah and no

play09:59

one is perfect thanks to the Linux

play10:01

foundation for hosting this event and

play10:03

conversation if you want more of this

play10:05

video or you found this conversation

play10:06

interesting between lenus and Dirk check

play10:08

out the link in the description below

play10:10

let me know what you think about the

play10:12

recent vulnerabilities in Linux which

play10:14

subject the entire open source Community

play10:16

to more scrutiny and I'd also love to

play10:18

hear what you think about Len's thoughts

play10:20

from this conversation catch me in a

play10:22

great community on Discord and I'll

play10:23

catch you in another video thanks for

play10:25

watching

Browse More Related Video

Caso xz, caso moq... El Open Source es Insostenible

What to Look for in a Secure Privacy Focused Messaging App

Documental Código Linux / The Code - Story of Linux (Español)

La rara historia de LINUX y sus miles de distribuciones

How Linux killed Unix: the UNIX Wars

Regarding The Hyprland & Vaxry Situation

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
Related Tags
ConfianzaSeguridadLinuxAtaque XZComunidadCódigo AbiertoMantenedoresEticaInfraestructuraVulnerabilidades
Do you need a summary in English?