Како је волонтер зауставио бацкдоор да разоткрије Линук системе широм света

Линук, најраспрострањенији оперативни систем отвореног кода на свету, за длаку је избегао масовни сајбер напад током ускршњег викенда, све захваљујући једном волонтеру.

Бацкдоор је укључен у најновију верзију формата за компресију Линука под називом КСЗ Утилс, алат који је мало познат ван света Линука, али се користи у скоро свакој Линукс дистрибуцији за компримовање великих датотека, што их чини лакшим за пренос. Да се ​​вирус ширио шире, безбројни системи би годинама могли остати рањиви.

И као Арс Тецхница приметио у Свеобухватан резимеПочинилац је јавно радио на пројекту.

Рањивост, која је уведена у Линук удаљену пријаву, била је изложена само једном кључу, тако да се могла сакрити од јавних скенирања рачунара. као Бен Томпсон пише на Страцхри. „Већина светских рачунара ће бити рањива и нико неће знати.“

Прича о открићу КСЗ бацкдоор-а почиње у рано јутро 29. марта, како је Мицрософт програмер Андерс Фреунд из Сан Франциска објавио на Мастодон и Послао сам е-маил На ОпенВалл безбедносну маилинг листу са насловом: „кз/либлзма упстреам бацкдоор води до компромитовања ссх сервера“.

Фројнд, који волонтира као „супервизор“ у ПостгреСКЛ-у, бази података базираној на Линук-у, приметио је неке чудне ствари током последњих неколико недеља док је изводио тестове. Шифроване пријаве на либлзма, део КСЗ библиотеке компресије, су трошиле значајну количину ЦПУ-а. Ниједан од алата за перформансе које је користио није открио ништа“, написао је Фројнд у Мастодонту. То је одмах изазвало његове сумње и он се присетио „чудне жалбе“ корисника Постгреса неколико недеља раније у вези са Валгриндом, Линук програмом који проверава грешке у меморији.

Након неке истраге, Фројнд је на крају открио шта није у реду. „КСЗ Варехоусе и КСЗ Тар Баллс су затворене“, навео је Фројнд у својој е-пошти. Злонамерни код је био присутан у верзијама 5.6.0 и 5.6.1 кз алата и библиотека.

Убрзо након тога, компанија за софтвер отвореног кода Ред Хат послала је поруку Хитно безбедносно упозорење За кориснике Федора Равхиде и Федора Линук 40. На крају, компанија је закључила да Федора Линук 40 бета садржи две захваћене верзије кз библиотека. Могуће је да су Федора Равхиде верзије такође добиле верзије 5.6.0 или 5.6.1.

Одмах престаните да користите било које ФЕДОРА РАВХИДЕ производе за пословне или личне активности. Федора Равхиде ће ускоро бити враћен на кз-5.4.к, а када се то уради, Федора Равхиде инстанце могу безбедно да се поново распореде.

Иако бета верзија Дебиан-а, бесплатне Линук дистрибуције, садржи пакете које је компромитовао његов безбедносни тим Реаговао сам брзо Да им се вратим. „У овом тренутку, ниједна стабилна верзија Дебиана није погођена“, написао је Дебианов Салваторе Бонаццорсо у безбедносном упозорењу корисницима у петак увече.

Фројнд је касније идентификовао особу која је послала злонамерни код као једног од два главна кз Утилс програмера, познатог као ЈиаТ75 или Јиа Тан. „С обзиром да активност траје већ неколико недеља, починилац је био или директно умешан или је дошло до озбиљног компромитовања њиховог система. Нажалост, ово последње је најмање вероватно објашњење, с обзиром да су говорили на различитим листама 'поправки ' горе поменуто“, написао је Фројнд у својој књизи. анализанакон повезивања неколико решења које је направио ЈиаТ75.

ЈиаТ75 је било познато име: неко време су радили заједно са оригиналним програмером .кз формата датотеке, Ласеом Колином. Као што је програмер Рос Кокс истакао у својој књизи распоредЈиаТ75 је почео да шаље наизглед легитимне закрпе на КСЗ маилинг листу у октобру 2021.

Други кракови шеме су откривени неколико месеци касније, пошто су два друга идентитета, Јигар Кумар и Деннис Инце, Притужбе су почеле да се шаљу путем мејла Колину о грешкама и спором развоју пројекта. Међутим, како се наводи у извештајима Еван Бухс Други, „Кумар“ и „Инс“ никада нису виђени ван заједнице КСЗ, што је навело истражитеље да верују да су обојица лажни који постоје само да би помогли Јиа Тану да приступи његовој локацији како би испоручио бацкдоор код.

„Жао ми је због ваших проблема са менталним здрављем, али важно је да будете свесни својих граница. „Схватам да је ово хоби пројекат за све сараднике, али заједница жели више“, написао је Инце у једној поруци, док је Кумар рекао у друго: „Напредак се неће догодити.“ Док не буде новог надзорника.

У међувремену, Колинс је написао: „Нисам изгубио интересовање, али моја способност да бринем је донекле ограничена због дуготрајних проблема са менталним здрављем, али и неких других ствари“, и предложио да Јиа Тан преузме већу улогу. Такође је добро имати на уму да је ово неплаћени хоби пројекат“, закључио је он. Е-поруке од Кумара и Енса су настављене све док Тан није додат као модератор касније те године, да би могао да изврши модификације и покуша да уведе бацкдоор пакет у Линук дистрибуције са више овлашћења.

Инцидент кз бацкдоор и његове последице су пример лепоте отвореног кода и невероватне рањивости интернетске инфраструктуре.

Програмер ФФмпег, популарног медијског пакета отвореног кода, истакао је проблем У твиту„Фијаско кз показао је како ослањање на неплаћене волонтере може да изазове велике проблеме. Компаније од трилиона долара очекују бесплатну, хитну подршку од волонтера. Донели су признанице које показују како су се избориле са 'високо приоритетном' грешком која утиче на Мицрософт тимове.

Упркос томе што се Мајкрософт ослања на свој софтвер, програмер је написао: „Након што су љубазно затражили уговор о подршци од Мајкрософта за дугорочно одржавање, уместо тога су понудили једнократну уплату од неколико хиљада долара… Инвестиције у одржавање и одрживост су непривлачне и средњи менаџер вероватно то неће добити.“ За његово унапређење платиће му чак хиљаду пута током много година.

Детаље о томе ко стоји иза ЈиаТ75, како ће се њихов план реализовати и колика је штета, открила је армија програмера и професионалаца за сајбер безбедност, како на друштвеним медијима тако и на онлајн форумима. Али то се дешава без директне финансијске подршке многих компанија и организација које имају користи од могућности коришћења безбедног софтвера.