Freak Spot - gestor de paquetes

Snaps en Ubuntu: menos seguridad y actualizaciones automáticas

Con su nueva versión 22.04, que será publicada el 21 de abril, Ubuntu hará que más programas usen paquetes Snap en vez de los .deb. Estos paquetes se actualizan de forma automática sin pasar por una fase de prueba como sucede con los paquetes de Debian y otras distribuciones. En el caso del paquete de Firefox, es el equipo de Mozilla (no Ubuntu) quien decide cómo y cuándo se actualiza el navegador.

Firefox es software libre, pero incluye componentes privativos como Pocket. Mozilla puede mediante Snap añadir otros componentes parecidos y funcionalidades desagradables.

Los Snaps tienen algunas ventajas: permiten empaquetar un programa con todas sus dependencias, funcionan en cualquier distribución, etc. Sin embargo, ralentizan el proceso de arranque, son mucho más lentos cuando se ejecutan por primera vez, ocupan más espacio (pues contienen en ellos bibliotecas que podrían usarse por varios programas), su repositorio predeterminado («tienda») es privativo, requiere el uso de systemd, etc.

Si el uso de los Snaps fuera opcional en Ubuntu, no habría tanta controversia, pero Ubuntu los ha impuesto para varios paquetes, para los que ya no existe una alternativa .deb.

Otro ataque a la cadena de suministro en npm: EventSource polyfill

Por si npm no había demostrado ser un gestor de paquetes inseguro —recientemente con el malware de node-ipc—, otra biblioteca muy utilizada, descargada más de 600 000 veces por semana con npm, llamada EventSource polyfill ha añadido mensajes propagandísticos escritos en ruso a favor del régimen de Ucrania dirigidos a quienes tienen su zona horaria configurada como una región de Rusia, llegando a abrir una ventana en el navegador con la URL de una recogida de firmas contra la guerra.

Muestra mensajes falsos como «El 91 % de los ucranianos apoya plenamente a su presidente Volodímir Zelenski», cuando la participación política en las elecciones de 2019 fue del 49,84 % y el partido de este político consiguió en total 6 307 793 votos (un 43,16 %). También recomienda acceder al periódico de la BBC (un periódico estatal británico) mediante Tor (pues está censurado en Rusia) como fuente de información fiable.

Víctimas inocentes de una ciberguerra: sobre el malware inyectado en node-ipc:

El ataque a la cadena de suministro usado por el programa node-ipc, dependencia de muchos otros programas, ha hecho saltar las alarmas en la comunidad del software libre. El malware creaba un archivo con un mensaje de protesta en el escritorio y borraba todos los archivos de los ordenadores que tuvieran una IP rusa o bielorrusa.

Obviamente, al ser este programa libre, se podía comprobar lo que hacía antes de descargarlo, pero mucha gente no suele hacerlo en la práctica. El ataque ha demostrado que las actualizaciones automáticas de programas no son seguras en gestores de paquetes de lenguajes de programación, en particular de npm, que ya ha protagonizado incidentes similares en el pasado.

Este ataque ha supuesto una pérdida de confianza por parte de la comunidad del software libre en el programador Brandon Nozaki Miller. El ataque con el mensaje de paz es realmente un acto de sabotaje, no contra las autoridades militares de Rusia y Bielorrusia, sino contra la gente que vive en esos países, o que usa una red privada virtual con una IP de esos países, y desarrolla programas informáticos. ¿Demonizar y atacar a toda la población de un país conducirá a la paz?