„Linux“, plačiausiai pasaulyje naudojama atvirojo kodo operacinė sistema, per Velykų savaitgalį vos išvengė didžiulės kibernetinės atakos – visa tai dėka vieno savanorio.
Užpakalinės durys įtrauktos į naujausią „Linux“ glaudinimo formato versiją, vadinamą „XZ Utils“, įrankį, mažai žinomą už „Linux“ pasaulio ribų, bet naudojamą beveik kiekviename „Linux“ paskirstyme dideliems failams suspausti, kad juos būtų lengviau perkelti. Jei virusas būtų išplitęs plačiau, daugybė sistemų būtų buvę pažeidžiamos daugelį metų.
Ir kaip Ars Technica pastebėjo viduje Išsami santraukaKaltininkas su projektu dirbo viešai.
Pažeidžiamumas, kuris buvo įtrauktas į „Linux“ nuotolinį prisijungimą, paveikė tik vieną raktą, todėl galėjo pasislėpti nuo viešo kompiuterio nuskaitymo. Kaip Benas Thompsonas rašo adresu Strachry. „Dauguma pasaulio kompiuterių bus pažeidžiami ir niekas to nežinos.
XZ užpakalinių durų atradimo istorija prasideda ankstyvą kovo 29 d. rytą, kai San Franciske įsikūręs „Microsoft“ kūrėjas Andersas Freundas paskelbė „Mastodon“ ir Išsiunčiau el Į „OpenWall“ saugos adresų sąrašą, kurio pavadinimas: „xz/liblzma prieš srovę užpakalinės durys veda į ssh serverio kompromisą“.
Freundas, savanoriaujantis „Prižiūrėtoju“ „PostgreSQL“, „Linux“ pagrindu veikiančioje duomenų bazėje, per pastarąsias kelias savaites, vykdydamas testus, pastebėjo keletą keistų dalykų. Šifruoti prisijungimai prie liblzma, kuri yra XZ glaudinimo bibliotekos dalis, sunaudojo daug procesoriaus. Nė viena iš jo naudotų atlikimo įrankių nieko neatskleidė“, – žurnale „Mastodon“ rašė Freundas. Tai iškart sukėlė jam įtarimų ir jis prisiminė prieš kelias savaites „Keistą“ vieno „Postgres“ vartotojo skundą dėl „Valgrind“ – „Linux“ programos, kuri tikrina, ar nėra atminties klaidų.
Po tam tikro tyrimo Freundas galiausiai išsiaiškino, kas negerai. „XZ Warehouse ir XZ Tar Balls užsidarė“, – savo el. laiške pažymėjo Freundas. Kenkėjiškas kodas buvo xz įrankių ir bibliotekų 5.6.0 ir 5.6.1 versijose.
Netrukus po to atvirojo kodo programinės įrangos kompanija „Red Hat“ atsiuntė pranešimą Avarinis saugumo įspėjimas „Fedora Rawhide“ ir „Fedora Linux 40“ naudotojams. Galiausiai bendrovė padarė išvadą, kad „Fedora Linux 40“ beta versijoje yra dvi paveiktos xz bibliotekų versijos. Gali būti, kad Fedora Rawhide versijos taip pat gavo 5.6.0 arba 5.6.1 versijas.
Nedelsdami nustokite naudoti bet kokius FEDORA RAWHIDE produktus verslo ar asmeninei veiklai. „Fedora Rawhide“ netrukus bus grąžinta į xz-5.4.x, o kai tai bus padaryta, „Fedora Rawhide“ egzempliorius bus galima saugiai perskirstyti.
Nors „Debian“, nemokamo „Linux“ platinimo beta versijoje yra paketų, kuriems pakenkė jos saugos komanda Aš pasielgiau greitai Norėdami grįžti prie jų. „Šiuo metu jokios stabilios Debian versijos nėra paveiktos“, – penktadienio vakarą rašė Debiano atstovas Salvatore Bonaccorso saugumo įspėjime vartotojams.
Vėliau Freundas nustatė, kad asmuo, atsiuntęs kenkėjišką kodą, yra vienas iš dviejų pagrindinių xz Utils kūrėjų, žinomų kaip JiaT75 arba Jia Tan. „Atsižvelgiant į tai, kad veikla tęsiasi keletą savaičių, nusikaltėlis buvo tiesiogiai susijęs arba buvo rimtai pažeista jų sistema. Deja, pastarasis atrodo mažiausiai tikėtinas paaiškinimas, nes jie kalbėjo skirtinguose „pataisymų” sąrašuose “, – rašė Freundas savo knygoje. analizėsusiejus kelis JiaT75 sukurtus sprendimus.
JiaT75 buvo pažįstamas pavadinimas: jie kurį laiką dirbo kartu su pirminiu .xz failo formato kūrėju Lasse Collinu. Kaip savo knygoje nurodė programuotojas Rossas Coxas tvarkaraštįJiaT75 pradėjo siųsti iš pažiūros teisėtus pataisymus į XZ adresų sąrašą 2021 m. spalio mėn.
Kitos schemos dalys buvo atskleistos po kelių mėnesių kaip dvi kitos tapatybės, Jigar Kumar ir Dennis Ince, Skundai pradėti siųsti el Colinui apie klaidas ir lėtą projekto vystymąsi. Tačiau, kaip pažymima ataskaitose Evanas Buhas Kiti „Kumar“ ir „Ins“ niekada nebuvo matyti už XZ bendruomenės ribų, todėl tyrėjai mano, kad jie abu yra padirbiniai, kurie egzistuoja tik tam, kad padėtų Jia Tan pasiekti savo vietą ir pristatyti užpakalinių durų kodą.
„Apgailestauju dėl jūsų psichikos sveikatos problemų, bet svarbu suvokti savo ribas. „Suprantu, kad tai yra pomėgių projektas visiems dalyviams, bet bendruomenė nori daugiau“, – vienoje žinutėje rašė Ince, o Kumaras kitas: „Pažangos nebus.“ Kol neatsiras naujas vadovas.
Kalbėdamas pirmyn ir atgal, Collinsas rašė: „Aš nepraradau susidomėjimo, bet mano gebėjimas rūpintis buvo šiek tiek apribotas dėl ilgalaikių psichikos sveikatos problemų, bet ir dėl kai kurių kitų dalykų“, ir pasiūlė Jia Tan imtis didesnio vaidmens. „Taip pat gerai nepamiršti, kad tai nemokamas hobio projektas“, – apibendrino jis. El. laiškai iš Kumaro ir Enso tęsėsi tol, kol vėliau tais pačiais metais Tanas buvo įtrauktas kaip moderatorius, kad galėtų atlikti pakeitimus ir bandyti įdiegti užpakalinių durų paketą į „Linux“ paskirstymus su didesniu įgaliojimu.
„Xz Backdoor“ incidentas ir jo pasekmės yra atvirojo kodo grožio ir neįtikėtino interneto infrastruktūros pažeidžiamumo pavyzdys.
FFmpeg, populiaraus atvirojo kodo medijos paketo, kūrėjas pabrėžė problemą Tviteryje„Xz fiasko parodė, kaip pasitikėjimas neapmokamais savanoriais gali sukelti didelių problemų. Trilijonus dolerių kainuojančios įmonės tikisi iš savanorių nemokamos skubios paramos. Jos atnešė kvitus, nurodančius, kaip tvarkė „aukšto prioriteto” klaidą, turinčią įtakos Microsoft Teams.
Nepaisant to, kad „Microsoft“ pasikliauja savo programine įranga, kūrėjas rašė: „Mandagiai paprašę „Microsoft“ palaikymo sutarties dėl ilgalaikės priežiūros, jie vietoj to pasiūlė vienkartinį kelių tūkstančių dolerių įmoką… Investicijos į priežiūrą ir tvarumą yra nepatrauklios. vidurinės grandies vadovas tikriausiai negaus.“ Už paaukštinimą jis per daugelį metų jam sumokės net tūkstantį kartų.
Išsamią informaciją apie tai, kas yra už JiaT75, kaip bus vykdomas jų planas ir žalos mastą, tiek socialinėje žiniasklaidoje, tiek internetiniuose forumuose atskleidė kūrėjų ir kibernetinio saugumo profesionalų armija. Tačiau tai atsitinka be tiesioginės finansinės paramos iš daugelio įmonių ir organizacijų, kurios gauna naudos iš galimybės naudoti saugią programinę įrangą.
„Organizatorius. Rašytojas. Blogio kavos vėpla. Bendras maisto evangelistas. Visą gyvenimą alaus gerbėjas. Verslininkas.”