Отдельный аспект ситуации с внедрением бэкдора в xz

Так нормально все сработало. Через 3 недели после попадания в дебьян тестинг нашелся энтузиаст, который наступил на сайдэффект и оказался достаточной квалификации чтобы разобраться самому, а не просто создать в багзилле баг, про который забудут

Так нормально все сработало.

Да не «нормально», это же какой-то художественный фильм про код давинчи или типа того.

Ты ппосто представь, сколько таких случаев не повисло на сопле, а нераскрыто. И всё встанет на места.

У тебя богатая фантазия. Не то чтобы это плохо

А теперь представь сколько бекдоров можно впихнуть в приложение на электроне так, чтобы никто не заметил.

Лагучий софт — дыра в безопасности!

У тебя богатая фантазия.

У меня прямая цитата из письма того чувака. А что у тебя?

1. У меня есть скрипт, написанный 5 лет назад, который проверяет PGP подписи файлов с Gentoo distfiles и следит за сменой подписи у файлов релиза. Если новый релиз подписан другой подписью, то дополнительно проверяется есть ли крос-подписи старого и нового ключа. Данная проверка охватывает <15% Gentoo distfiles и только пару пакетов ее не проходят, xz-utils тоже засветится ибо сменил разраба с Lasse Collin на Jia Tan и их ключи не имеют крос-подписей. Эти пару пакетов можно поставить на аудит и проследить за их разрабами. По остальным >85% пакетов даже авторство и аутентичность трудно подтвердить. Троян может не разраб добавить, а кто-то по дороге к тебе.

2. Фузинг тестирование. Для прохождения тестов трояном в xz-utils некоторые опции были отключены. Статистические анализаторы кода.

3. Флаги компиляции в GCC для безопасности. К сожалению Gentoo их лет 15 уже не поддерживает. А раньше следили, патчили.

4. Ядро PAX (Grsecurity) со строгим W^X если проге необходимо изменятся во время исполнения, то это вирус (да JIT это дыра для вирусов).

5. Сама система безопасности OS. Уровень B* (MAC и CAP) должен отлавливать, логировать и блокировать нестандартные действия. Но здесь правила дожны быть настроены на чистой версии, тогда при заражении, заблокируется и залогируется вредоносная активность. zgrep -h 'Operation not permmited' /var/log/* |sort |uniq CAP настроить просто. Почему у вас pscap выводит у всех процессах root full привилегии? Установите только необходимые и достаточные для работы каждого процесса root в системе.

6. Уровень A*. Аудит и математическое доказательство корректности кода на уровне исходных текстов. GNU/Linux не удовлетворяет этому уровню даже потенциально.

7. Да хоть ИИ натравить, пусть дыры и закладки в исходном коде ищет!

ЧСХ, бэкдор нашел сотрудник Майкрософта. Стоит ли спрашивать, где были все эти прекрасные эмигранты с учеными степенями из Шапки в течение 2 лет?

Ссылку в студию на то где он в своем письме пишет про фильмы да Винчи или балабол

В какую из прод версий шапки попал этот код?

По-моему не все так плохо, если эта дыра добавлена специально, то доступ к ней имеют только спецслужбы определенной страны, а если дыра случайная, то труднообнаружимость будет работать и в обратную сторону. Вот этот случай конкретно скорее позитивный, вот был еще случай, тоже злонамереный, когда внедряли малварю в екстеншены к браузеру, тоже быстро обнаружили, бывает находят дыры десятилетней давности, но они скорее добавлены не специально.

он просто ковырял систему на предмет «веди себя потише»

Хорошо, что есть люди с ОКР)

Ни в какую. Шапку спас от позорища сотрудник Майкрософт, о чем я и написал.

Бэкдор присутствовал в официальных выпусках xz 5.6.0 и 5.6.1, опубликованных 24 февраля и 9 марта, которые успели попасть в состав некоторых дистрибутивов и репозиториев, например… Fedora Rawhide и 40-beta…

Давно ли сотрудники Шапки перестали быть большинством мейтейнеров в Федоре? Давно ли Федора перестала быть базой для ЦентОС и РХЕЛ?

По-моему не все так плохо…

Соглашусь, одной дырой в решете больше одной меньше, на работу решета не влияет:

• https://www.opennet.ru/opennews/art.shtml?num=60860

• https://www.opennet.ru/opennews/art.shtml?num=57916

• https://www.opennet.ru/opennews/art.shtml?num=58377

• https://www.opennet.ru/opennews/art.shtml?num=56497

• https://www.opennet.ru/opennews/art.shtml?num=55150

• https://www.opennet.ru/opennews/art.shtml?num=55026

• https://www.opennet.ru/opennews/art.shtml?num=55095

• https://www.opennet.ru/opennews/art.shtml?num=59685

А сабж вообще о архиваторе, мелочь. Сколько дыр сидит в либах для графики и видео, если бы вы знали, то компы даже бы не включали.

Федора это для шапки как анстейбл для дебьяна. А rawhide вообще не знаю с чем сравнить. Анстейбл и Федора предназначены для тестирования. Итого: в ходе тестирования нашли бэкдор. Все сработало как должно. Могло быть хуже? Могло. Но не в этот раз.

Все сработало как должно.

Да, таковы реалии. Бэкдор нашел сотрудник Майкрософт. Сотрудники Шапки бэкдор не нашли. Ученых степеней розовощеких эмигрантов хватает только на первую линию техподдержки. Остальным некогда, красят волосы в розовый и занимаются пропагандой на Реддите.

И чувак заметил нагрузку на проц от ssh лишь потому, что тестировал неправильный логин, или вообще просто ошибся при вводе учетных данных?

Вполне верю. Неоптимально настроенный ssh-клиент может пытаться перепробовать все ключи, предоставляемые ssh agent, вызывая заметную нагрузку на sshd. А на слух даже разницу между pc3 и pc10 можно услышать.

Ссылку в студию на то где он в своем письме пишет про фильмы да Винчи

Если человек называет закат потрясающим, означает ли это, что он смотрел на закат и трясся?

Не хочу, не хочу, не хочу, ну его нафиг, я лучше буду думать о мире с радугами и розовыми единорогами.

Хорошо, что есть люди с ОКР)

Ну почему сразу ОКР. Может, он по ТЗ боролся за автономность какой-нибудь железяки. Это же лишь домыслы пока что.

ЧСХ, бэкдор нашел сотрудник Майкрософта.

Боже. Какой. Кайф.

Спасибо, анон, я проглядел самый жыр.

В коде xz версий 5.6.0 и 5.6.1 обнаружен бэкдор (комментарий)

Пикрелейтед: https://media.wetdry.world/media_attachments/files/112/186/257/922/286/251/original/e8a7606d31141249.jpeg

Тебе осталось доказать конкретными примерами написанное в верхней части смишнявой картинки, и все будет ок.

вообще не релейтед. Атака явно была нацелена не на миллионы серверов, а на какой-то один, интересный атакующим. Со строго определенным списком используемого софта, политикой обновлений и т.п. Добились они успеха или нет, мы к сожалению не узнаем :)

ну давай попроси микрософт дать тебе «acсess». кому надо разницы нет, и результат одинаков…

И чувак заметил нагрузку на проц от ssh лишь потому, что тестировал неправильный логин, или вообще просто ошибся при вводе учетных данных?

А может у него белый IP, и на него постоянно кто-то долбится по ssh.

он просто ковырял систему на предмет «веди себя потише»

и правда, неужели не смогли найти более правдоподобную историю обнаружения бэкдора, подозрительно...

Нет, он, ЕМНИП, сидел на своей работе в майкрософт и профайлил тесты постгреса.

Зачем додумывать то, что можно тупо загуглить? Ещё и тред создал.

Сопля тонка, да.

Сотрудники Шапки бэкдор не нашли.

Так бывает, когда сотрудников МС в 10 больше, а бэкдор до Шапки не дошел.

Вот если бы дошел, было бы интересно, нашли бы или нет.

Спасибо очень лестно, а что мы должны были делать два года?

Зачем додумывать то, что можно тупо загуглить?

Так не додумывай. Потому что «Recalled that I had seen an odd valgrind complaint in automated testing of postgres, a few weeks earlier, after package updates» - это не «забил тревогу, обнаружив баг, когда сидел на своей работе в майкрософт и профайлил тесты постгреса».

Что чему противоречит? Сорри, сплю еще.

Ну смотри, он мельком отметил «ой чот валгринд ругнулся» когда-то ранее на работе, но значения особо не придал. А щелкнуло в голове уже позже, когда он занимался вот той деятельностью, о которой я привожу цитату в топике.

То есть, конечно, хорошо, что он вспомнил ту валгриндовскую ругань, но не она послужила триггером. Если бы не sshd - тот случай забылся бы, или вспомнился бы когда-нибудь позже, возможно слишком поздно.

«Really required a lot of coincidences»(с)

бэкдор до Шапки не дошел

Бэкдор дошел до Федоры, которую мейнтейнят шапошники. Это другоооое? :)

Сильно иное. На самом деле повезло, что так быстро отловили.

Если бы через года 2-3, когда он бы попал на кучу прода… это был бы кошмар — переставлять с нуля кучу продуктивных серверов и ротировать все ключи…

Ну так «дошел до федоры» и означает «добрался до начала первой стадии тестирования» бгг.

Именно. Тут некоторые считают, что принцип «миллиона глаз» СПО не помог тут. Вообще-то, именно он и спас — пусть и с запозданием, но отловил. До LTS, что используются на проде, не дошло.

Закономерный результат напряженности в международных отношениях и резко возросшей популярности Линукса в военке. И этот бэкдор лишь жалкое начало. Будет море подобных атак под фальшивым флагом. Кое-кому придется форкать Линукс, чтобы спокойно спать.

Да говна. Пресловутый «миллион глаз» подразумевает разглядывание СОРЦОВ, а не поведения готового бинарника на системе конечного пользователя. А вот сорцы как раз весь миллион глаз успешно проморгал.

А в сорцах, что характерно, никакого бекдора и не было.

Ну скажем «в архивах с сорцами».

А вот сорцы как раз весь миллион глаз успешно проморгал.

Давайте начнем с того, что «миллионы глаз» - это не какая-то специальная организация, а в первую очередь мы с вами, т.е. пользователи. Лично вы просматриваете код каждой утилиты/библиотеки, которую используете или имеете у себя в системе? Лично мне не стыдно признаться, что я это делаю довольно редко, потому что зачастую не имею нужной квалификации в конкретной области, да и банально лень.

Байка про миллионы глаз всегда была лишь байкой для доверчивых баранов. Подавляющее большинство пользователей Линукса не способны ни понять, ни тем более пофиксить сорцы системных компонентов. Многие не могут компилять софт из сорцов, писать элементарные скрипты автоматизации. Все эти завывания про «потенциальную возможность» уже давно кроме зевоты ничего не вызывают.

P.S. На Рутрекере полста гигов сорцов Винды разных версий вместе с видеоинструкцией, как скомпилять рабочую Хрюшу. Что-то никто пока бэкдоры не нашел.

«миллионы глаз» - это не какая-то специальная организация, а в первую очередь мы с вами

Я об этом и говорю. Нам п&$%#ц по определению, но позавчера мы стали свидетелями натурального чуда. И почему-то никто, кроме меня, не восхищается красотой момента.

Именно. RHEL QA тестирует, внезапно, на входе в RHEL.

Внезапно, большинство мейнтейнеров Федоры сидят на зарплате в Шапке. И они провтыкали бэкдор в бетке Федоры 40. Совершенно наплевать на твои попытки манипулировать фактами.

Я сам мэйнтейнер федоры и QA шапки одновременно. QA шапки делается при попадании в шапку, а в федоре пакетов банально в 10 раз больше, чем шапка вообще QAит. Совершенно наплевать на твои попытки манипулировать фактами. Было бы правда интересно, поймали бы это QA шапки или нет, но оно не дошло и мы не узнаем.

в федоре пакетов банально в 10 раз больше, чем шапка вообще QAит

Заплачь еще. В Майкрософте своего кода в 10 раз больше, чем в Федоре, но как видим, специалисту из Майкрософта это не помешало. Может сотрудники Шапки смогли бы более лучше мейнтейнить свою распиаренную Федору, если бы не пердолили маргинальные дистрибутивы, но мы этого не узнаем, бгг.

Сам приписал, сам пожурил, молодца.

И почему-то никто, кроме меня, не восхищается красотой момента.

Ну почему. Я, допустим, отдаю должное «талантам» тех кто это затеял. Там по ссылке на openwall в соседней новости в треде народ высказывает предположения что это могло быть «state-sponsored», что возможно соответствует действительности. Это ж надо было пару лет повтираться в доверие, стать майнтейнером с правом коммитов, сделать закладку (причём так что её все проморгали). И я так понимаю спалились на сущей мелочи - слишком много дополнительной нагрузки привнесли, настолько что это стало заметно.