Linux, najpopularniejszy na świecie system operacyjny typu open source, cudem uniknął masowego cyberataku w weekend wielkanocny, a wszystko dzięki jednemu ochotnikowi.
Backdoor jest zawarty w najnowszej wersji formatu kompresji Linuksa o nazwie XZ Utils, narzędziu mało znanym poza światem Linuksa, ale używanym w prawie każdej dystrybucji Linuksa do kompresji dużych plików, co ułatwia ich przesyłanie. Gdyby wirus rozprzestrzenił się szerzej, niezliczone systemy mogłyby pozostać podatne na ataki przez lata.
I jako Ars Technica zauważył w Kompleksowe podsumowanieSprawca pracował nad projektem w miejscu publicznym.
Luka, która została wprowadzona do zdalnego logowania w systemie Linux, ujawniała się tylko w przypadku jednego klucza, dzięki czemu mogła ukryć się przed publicznymi skanami komputerów. tak jak Ben Thompson pisze pod adresem Strachry. „Większość komputerów na świecie będzie podatna na ataki i nikt się o tym nie dowie”.
Historia odkrycia backdoora XZ rozpoczyna się wczesnym rankiem 29 marca, jak Anders Freund, programista firmy Microsoft z San Francisco, opublikował na Mastodon i wysłałem email Do listy mailingowej poświęconej bezpieczeństwu OpenWall o tytule: „Backdoor xz/liblzma upstream prowadzi do naruszenia bezpieczeństwa serwera ssh”.
Freund, który jako wolontariusz jest „przełożonym” w PostgreSQL, bazie danych opartej na systemie Linux, zauważył podczas testów pewne dziwne rzeczy w ciągu ostatnich kilku tygodni. Szyfrowane logowania do liblzma, części biblioteki kompresji XZ, zużywały znaczną ilość procesora. Żadne z narzędzi wykonawczych, których używał, niczego nie ujawniło” – napisał Freund w Mastodon. To natychmiast wzbudziło jego podejrzenia i przypomniał sobie „dziwną skargę” użytkownika Postgres kilka tygodni wcześniej dotyczącą Valgrind, linuksowego programu sprawdzającego błędy pamięci.
Po pewnym dochodzeniu Freund w końcu odkrył, co jest nie tak. „XZ Warehouse i XZ Tar Balls zostały zamknięte” – zauważył Freund w swoim e-mailu. Szkodliwy kod był obecny w wersjach 5.6.0 i 5.6.1 narzędzi i bibliotek xz.
Wkrótce potem firma Red Hat zajmująca się oprogramowaniem open source wysłała wiadomość Awaryjny alert bezpieczeństwa Dla użytkowników Fedory Rawhide i Fedory Linux 40. Ostatecznie firma doszła do wniosku, że wersja beta Fedory Linux 40 zawiera dwie wersje bibliotek xz, których dotyczy problem. Możliwe, że wersje Fedory Rawhide otrzymały również wersje 5.6.0 lub 5.6.1.
Proszę natychmiast zaprzestać używania jakichkolwiek produktów FEDORA RAWHIDE do celów biznesowych lub osobistych. Fedora Rawhide zostanie wkrótce przywrócona do wersji xz-5.4.x, a kiedy to nastąpi, będzie można bezpiecznie ponownie wdrożyć instancje Fedory Rawhide.
Chociaż wersja beta Debiana, bezpłatnej dystrybucji Linuksa, zawiera pakiety przejęte przez zespół ds. bezpieczeństwa Działałem szybko Aby do nich wrócić. „W tej chwili nie ma to wpływu na żadną stabilną wersję Debiana” – napisał Salvatore Bonaccorso z Debiana w ostrzeżeniu bezpieczeństwa skierowanym do użytkowników w piątkowy wieczór.
Później Freund zidentyfikował osobę, która wysłała szkodliwy kod, jako jednego z dwóch głównych programistów xz Utils, znanych jako JiaT75 lub Jia Tan. „Biorąc pod uwagę, że akcja trwała kilka tygodni, sprawca był albo bezpośrednio zaangażowany, albo doszło do poważnego naruszenia jego systemu. Niestety to drugie wydaje się najmniej prawdopodobnym wyjaśnieniem, biorąc pod uwagę, że omawiali różne listy „poprawek” wspomniane powyżej” – napisał Freund w swojej książce. analizapo połączeniu kilku rozwiązań autorstwa JiaT75.
JiaT75 była znaną nazwą: przez jakiś czas pracowali z oryginalnym twórcą formatu pliku .xz, Lasse Collinem. Jak zauważył w swojej książce programista Ross Cox plan lekcjiJiaT75 zaczął wysyłać pozornie uzasadnione poprawki na listę mailingową XZ w październiku 2021 r.
Inne ramiona planu ujawniono kilka miesięcy później, gdy dwie inne tożsamości, Jigar Kumar i Dennis Ince, Zaczęto składać skargi drogą elektroniczną Colinowi o błędach i powolnym rozwoju projektu. Jednak, jak zauważono w raportach Evana Buhsa Innych, „Kumara” i „Insa”, nigdy nie widziano poza społecznością XZ, co prowadzi śledczych do przekonania, że obaj to podróbki, które istnieją tylko po to, aby pomóc Jia Tanowi uzyskać dostęp do jego lokalizacji i dostarczyć kod backdoora.
„Przykro mi z powodu problemów ze zdrowiem psychicznym, ale ważne jest, aby być świadomym swoich ograniczeń. „Zdaję sobie sprawę, że jest to projekt hobbystyczny dla wszystkich współpracowników, ale społeczność chce więcej” – napisał Ince w jednej wiadomości, a Kumar w inny: „Postęp nie nastąpi.” Dopóki nie będzie nowego przełożonego.
W kółko Collins napisała: „Nie straciłam zainteresowania, ale moja zdolność do opieki została nieco ograniczona z powodu długotrwałych problemów ze zdrowiem psychicznym, ale także innych rzeczy” i zasugerowała, aby Jia Tan przyjęła większą rolę. „Warto też pamiętać, że jest to nieodpłatny projekt hobbystyczny” – podsumował. E-maile od Kumara i Ensa były wysyłane dalej, aż pod koniec tego roku Tan został dodany jako moderator, aby móc wprowadzać modyfikacje i próbować wprowadzić pakiet backdoora do dystrybucji Linuksa z większymi uprawnieniami.
Incydent z backdoorem xz i jego następstwa są przykładem piękna open source i niesamowitej wrażliwości w infrastrukturze internetowej.
Problem uwydatnił twórca FFmpeg, popularnego pakietu multimediów typu open source W tweecie„Fiasko xz pokazało, jak poleganie na bezpłatnych wolontariuszach może powodować poważne problemy. Firmy warte biliony dolarów oczekują bezpłatnego, pilnego wsparcia od wolontariuszy. Przynieśli rachunki wskazujące, jak poradzili sobie z błędem o „wysokim priorytecie” wpływającym na Microsoft Teams.
Pomimo tego, że Microsoft polegał na swoim oprogramowaniu, programista napisał: „Po grzecznym zwróceniu się do firmy Microsoft o umowę wsparcia na długoterminową konserwację, zaoferowano w zamian jednorazową płatność w wysokości kilku tysięcy dolarów… Inwestycje w konserwację i zrównoważony rozwój są nieatrakcyjne i menedżer średniego szczebla prawdopodobnie tego nie dostanie.” Za swój awans zapłaci mu nawet tysiąc razy w ciągu wielu lat.
Szczegóły na temat tego, kto stoi za JiaT75, w jaki sposób jego plan zostanie zrealizowany oraz zakres szkód zostały ujawnione przez armię programistów i specjalistów ds. cyberbezpieczeństwa, zarówno w mediach społecznościowych, jak i na forach internetowych. Dzieje się to jednak bez bezpośredniego wsparcia finansowego ze strony wielu firm i organizacji, które korzystają z możliwości korzystania z bezpiecznego oprogramowania.