Otro ataque a la cadena de suministro en npm: EventSource polyfill

Por si npm no había demostrado ser un gestor de paquetes inseguro —recientemente con el malware de node-ipc—, otra biblioteca muy utilizada, descargada más de 600 000 veces por semana con npm, llamada EventSource polyfill ha añadido mensajes propagandísticos escritos en ruso a favor del régimen de Ucrania dirigidos a quienes tienen su zona horaria configurada como una región de Rusia, llegando a abrir una ventana en el navegador con la URL de una recogida de firmas contra la guerra.

Muestra mensajes falsos como «El 91 % de los ucranianos apoya plenamente a su presidente Volodímir Zelenski», cuando la participación política en las elecciones de 2019 fue del 49,84 % y el partido de este político consiguió en total 6 307 793 votos (un 43,16 %). También recomienda acceder al periódico de la BBC (un periódico estatal británico) mediante Tor (pues está censurado en Rusia) como fuente de información fiable.

¡Cuidado con los directos! No descuides tu privacidad

Con el aumento de las comunicaciones en directo probablemente tu escritorio ya no es tan privado como antes —tanto el físico como el digital—. Un riesgo que demasiada gente subestima.

Si nos ponemos en la piel de un superior, a este quizá no le haga mucha gracia ver que el ordenador del trabajo se usa para videojuegos, pornografía o cualquier otra cosa que considere inapropiada; o ver en las sugerencias de la barra de direcciones del navegador sitios web que contienen ideas políticas contrarias a las suyas, por ejemplo.

Lo ideal sería utilizar el ordenador de la empresa únicamente para cosas de la empresa. Si este ordenador es el mismo que el de uso personal o se comparte con alguien, se debe utilizar una cuenta de usuario específica para la empresa, de forma que al compartir el escritorio no se vean nuestros archivos, los programas que usamos en nuestro tiempo libre, nuestro historial de navegación, etc.

Porque aunque solo pensábamos mostrar la presentación de diapositivas, acabamos exponiendo información sin darnos cuenta cuando algo falla y salimos de la presentación. Hombre precavido vale por dos: aunque algo falle, no comprometo mi privacidad cuando uso una cuenta de usuario específica para el trabajo.

Ni que decir tiene que el escritorio físico y lo que nos rodea mientras nos encontramos en una videoconferencia es otro factor de riesgo. Además, las personas con las que convivimos pueden comprometer nuestra privacidad. Habrá que encontrar, pues, los horarios con menos gente en casa, elegir con cuidado el lugar teniendo en cuenta lo que la cámara puede ver y mantener la comunicación digital en el lugar menos ruidoso.

En resumen, las comunicaciones digitales por videoconferencia suponen numerosos riesgos para la privacidad que deben ser tenidos en cuenta. Es primordial conocer los peligros que entrañan para poder evitarlos, incluso cuando surjan imprevistos.

El Gobierno de España promete liberar el programa Autoevaluación COVID-19

Ha lanzado recientemente el Gobierno de España una página web y una aplicación para el autodiagnóstico del COVID-19, software privativo, al menos por ahora. Dicen:

Nuestra intención es liberar el código fuente para que otros organismos oficiales puedan implementar sus propias versiones de la aplicación, cada uno adaptando la herramienta a su protocolo sanitario de autoevaluación y triaje, asegurando la accesibilidad y la igualdad de oportunidades poniendo tecnología al servicio de la lucha contra la pandemia.

Según he visto, parte del código de la página enlaza a librerías externas que se encuentran en servidores de Google. El código que se carga, aunque pertenece a una librería libre llamada Web Font Loader, está ofuscado.

Ya que tienen un correo de contacto, les he hecho llegar el siguiente mensaje con el asunto «Sugerencia de seguridad y cuestiones»:

Le he echado un vistazo al código de la página principal. No se debería ejecutar código de servidores externos, sino alojarlo todo en el propio servidor. Hablo de recursos externos como https://ajax.googleapis.com/ajax/libs/webfont/1.6.26/webfont.js, que debería ser alojado en un servidor bajo el control del Gobierno de España, no en el de una empresa de EE. UU., si es que se toman la seguridad en serio. Si no, desde el servidor de Google pueden cambiar el código en cualquier momento.

A propósito, ¿cuánto dinero público se ha invertido para el desarrollo, de esta aplicación y página web? ¿Y en los otros proyectos redundantes de las demás Comunidades Autónomas? ¿Dónde se publicará el código fuente? ¿Por qué no se ha hecho aún?

Como mencioné en un artículo anterior, esta aplicación no ofrece nada nuevo: toda la información sobre el COVID-19 se encuentra fácilmente en Internet.

Las palabras en relación a la privacidad en este caso son más bonitas que las de la aplicación de la Comunidad de Madrid, que daba a empresas privadas datos públicos de salud:

el único responsable de los datos es el Ministerio de Sanidad

El Gobierno de España ya puede intervenir telecomunicaciones sin autorización judicial

Según el Real Decreto-ley 14/2019 de 31 de octubre aprobado el miércoles 27 de noviembre, el Gobierno podrá intervenir sin intervención judicial telecomunicaciones a partir de ahora:

El Gobierno, con carácter excepcional y transitorio, podrá acordar la asunción por la Administración General del Estado de la gestión directa o la intervención de las redes y servicios de comunicaciones electrónicas en determinados supuestos excepcionales que puedan afectar al orden público, la seguridad pública y la seguridad nacional. En concreto, esta facultad excepcional y transitoria de gestión directa o intervención podrá afectar a cualquier infraestructura, recurso asociado o elemento o nivel de la red o del servicio que resulte necesario para preservar o restablecer el orden público, la seguridad pública y la seguridad nacional.

Los conceptos orden público, seguridad pública y seguridad nacional son tan ambiguos que dan pie a que haya una censura indiscriminada de minorías y movimientos disidentes.

gksu está obsoleto

gksu ha sido eliminado de los repositorios de Debian Buster. Es decir, Debian y sus distribuciones derivadas no podrán usar la instrucción gksu como antes (en Trisquel 9 no será posible ejecutar gksu).

gksu ha estado obsoleto durante algunos años. El modo recomendado de ejecutar aplicaciones gráficas con permisos elevados es usando PolicyKit.

En resumen, si antes ejecutábamos gksu gedit /etc/hosts, ahora tenemos que ejecutar gedit admin:///etc/hosts. gksu llevaba sin mantenimiento desde 2014, lo cual Debian consideró una vulnerabilidad de seguridad.