Aquest any rebem un ensurt en matèria de seguretat que afectava la biblioteca ZX-Utils. És per això que saber que els desenvolupadors neguen vulnerabilitat a 7-Zip és una bona notícia, encara que cal prendre-la amb precaució.
A molts els preocupa que projectes crítics depenguin de biblioteques de codi obert mantingudes amb pocs recursos i encara menys desenvolupadors. Són el blanc perfecte per a errors per negligència o maldat.
Què és i per a què serveix la biblioteca 7-Zip
7-Zip és un programari de compressió de fitxers de codi obert. Va començar a ser desenvolupat per Igor Pavlov l'any 1999. Amb el temps es va anar convertint en l'alternativa lliure i gratuïta a solucions privatives com WinZip o WinRar per a la compressió i la descompressió d'arxius. És usada tant per usuaris individuals com per empreses desenvolupadores de programari.
A més del seu propi format que ofereix una millor taxa de compressió que les alternatives comercials, és compatible entre altres amb els següents formats:
- XZ
- bzip2
- GZIP
- Tar
- Codi postal
- WI
- ARJ
- CAB
- Chm
- CPI
Entre els avantatges de fer-lo servir estan:
- Alta Taxa de Compressió: El format nadiu 7z compta amb algorismes de compressió que brinden ràtios de compressió molt millors que resulten útils per treballar amb grans quantitats de dades.
- Integració amb el Shell de Windows: El programa s'integra amb el menú contextual de Windows, facilitant als usuaris accedir a les funcions prement amb el botó dret sobre l'arxiu.
- seguretat: 7-Zip permet el xifratge de fitxers mitjançant AES-256. Només és possible desxifrar-lo usant la contrasenya.
- Disponible per a Linux als repositoris. També en altres sistemes basats a Unix.
El (supòsit) problema de seguretat
Comencem dient que quan parlem d'un exploit de dia zero ens referim a una falla al programari que és desconeguda pels desenvolupadors i usuaris.. Estem referint-nos a vulnerabilitats que poden ser explotades per delinqüents informàtics que les utilitzar per obtenir accés no autoritzat a sistemes i aconseguir informació o causar danys.
Resulta que a la xarxa social d'Elon Musk, un usuari que s'identifica a si mateix com a «NSA_Employee39» va afirmar que la darrera versió de 7-ZIP té un exploit de dia zero que quan l'usuari comprimeix o descomprimeix un fitxer, permet als lligadors executar codi arbitrari. El problema és el descodificador LZMA. I, aquí anem amb una altra explicació.
LZMA és una sigla d'alguna cosa que en espanyol podem traduir com a «Algoritme de cadena de Markov de Lempel-Ziv». un descodificador LZMA reverteix el procés reconstruint el fitxer original
Neguen vulnerabilitat a 7-Zip
A la secció d'errors del fòrum de discussió del projecte, Igor Pavlov va desmentir el post:
«Aquest informe a Twitter és fals. No entenc per què aquest usuari de Twitter va fer aquesta afirmació..»
No pretenc aprofundir en la discussió tècnica posterior entre l'usuari de X i Pavlov. Bàsicament el desacord rau en el fet que el denuciant afirma que la vulnerabilitat està en una funció que el desenvolupador insisteix que el programa no utilitza.
De moment, no hi ha confirmacions independents de l'existència de la vulnerabilitat.
Què podem fer?
En el cas de 7-Zip caldrà esperar a veure què fan les distribucions Linux que fem servir. Aquestes solen ser força ràpides a publicar pegats si són necessaris. Pel que fa als exploits en general. Podem seguir aquests consells:
- Mantenir el programari actualitzat: En general, la majoria de les vulnerabilitats que es descobreixen ho són per investigadors, per la qual cosa les actualitzacions estan disponibles abans que puguin ser aprofitades per delinqüents. El millor és activar les actualitzacions automàtiques.
- Usar paquets autocontinguts: Els paquets en formats Snap, Flatpak i Appimage no es connecten amb parts crítiques del sistema operatiu. A més, solen actualitzar-se de forma més freqüent que els programes dels repositoris.
- Realitzar còpies de seguretat: Encara que val més prevenir. En cas que es produeixin atacs, és bo tenir un pla de seguretat.