LINUX.ORG.RU

Отдельный аспект ситуации с внедрением бэкдора в xz

 , ,


0

3

Привет, ЛОР. Извини, что отвлекаю от обсуждения бэкдора в xz.

Мне не дает покоя один момент, а именно, рассказ о том, как забивший тревогу чувак вообще заподозрил существование дыры. Вот фрагмент его письма:

I was doing some micro-benchmarking at the time, needed to quiesce the system to reduce noise. Saw sshd processes were using a surprising amount of CPU, despite immediately failing because of wrong usernames etc.

Скажите, я правильно понимаю то, что он просто ковырял систему на предмет «веди себя потише» и искал разные причины просыпания или жужжания кулеров, или чего-то вроде этого? А бэкдор просто был кривоват и необоснованно нагружал проц при определенных обстоятельствах? И чувак заметил нагрузку на проц от ssh лишь потому, что тестировал неправильный логин, или вообще просто ошибся при вводе учетных данных? Может быть, кто-то с ним переписывается в мастодоне, например, и может уточнить?

Просто, если это действительно так, то можно лишь восхищаться тем, насколько тонка та сопля, на которой повисла вся эта наша безопасная безопасность. И тем, что боженька все равно не допустил расползания дырищи по всем системам.

Джулс Виннфилд, увидев подобное, завязал с плохим поведением. Ну и вообще, это просто красиво.

★★★★★

Последнее исправление: thesis (всего исправлений: 1)

Так нормально все сработало. Через 3 недели после попадания в дебьян тестинг нашелся энтузиаст, который наступил на сайдэффект и оказался достаточной квалификации чтобы разобраться самому, а не просто создать в багзилле баг, про который забудут

cobold ★★★★★
()

А теперь представь сколько бекдоров можно впихнуть в приложение на электроне так, чтобы никто не заметил.

Лагучий софт — дыра в безопасности!

quantum-troll ★★★★★
()
  1. У меня есть скрипт, написанный 5 лет назад, который проверяет PGP подписи файлов с Gentoo distfiles и следит за сменой подписи у файлов релиза. Если новый релиз подписан другой подписью, то дополнительно проверяется есть ли крос-подписи старого и нового ключа. Данная проверка охватывает <15% Gentoo distfiles и только пару пакетов ее не проходят, xz-utils тоже засветится ибо сменил разраба с Lasse Collin на Jia Tan и их ключи не имеют крос-подписей. Эти пару пакетов можно поставить на аудит и проследить за их разрабами. По остальным >85% пакетов даже авторство и аутентичность трудно подтвердить. Троян может не разраб добавить, а кто-то по дороге к тебе.

  2. Фузинг тестирование. Для прохождения тестов трояном в xz-utils некоторые опции были отключены. Статистические анализаторы кода.

  3. Флаги компиляции в GCC для безопасности. К сожалению Gentoo их лет 15 уже не поддерживает. А раньше следили, патчили.

  4. Ядро PAX (Grsecurity) со строгим W^X если проге необходимо изменятся во время исполнения, то это вирус (да JIT это дыра для вирусов).

  5. Сама система безопасности OS. Уровень B* (MAC и CAP) должен отлавливать, логировать и блокировать нестандартные действия. Но здесь правила дожны быть настроены на чистой версии, тогда при заражении, заблокируется и залогируется вредоносная активность. zgrep -h 'Operation not permmited' /var/log/* |sort |uniq CAP настроить просто. Почему у вас pscap выводит у всех процессах root full привилегии? Установите только необходимые и достаточные для работы каждого процесса root в системе.

  6. Уровень A*. Аудит и математическое доказательство корректности кода на уровне исходных текстов. GNU/Linux не удовлетворяет этому уровню даже потенциально.

  7. Да хоть ИИ натравить, пусть дыры и закладки в исходном коде ищет!

anonymous
()

По-моему не все так плохо, если эта дыра добавлена специально, то доступ к ней имеют только спецслужбы определенной страны, а если дыра случайная, то труднообнаружимость будет работать и в обратную сторону. Вот этот случай конкретно скорее позитивный, вот был еще случай, тоже злонамереный, когда внедряли малварю в екстеншены к браузеру, тоже быстро обнаружили, бывает находят дыры десятилетней давности, но они скорее добавлены не специально.

он просто ковырял систему на предмет «веди себя потише»

Хорошо, что есть люди с ОКР)

goingUp ★★★★★
()
Ответ на: комментарий от cobold

Ни в какую. Шапку спас от позорища сотрудник Майкрософт, о чем я и написал.

Бэкдор присутствовал в официальных выпусках xz 5.6.0 и 5.6.1, опубликованных 24 февраля и 9 марта, которые успели попасть в состав некоторых дистрибутивов и репозиториев, например… Fedora Rawhide и 40-beta…

Давно ли сотрудники Шапки перестали быть большинством мейтейнеров в Федоре? Давно ли Федора перестала быть базой для ЦентОС и РХЕЛ?

anonymous
()
Ответ на: комментарий от goingUp

По-моему не все так плохо…

Соглашусь, одной дырой в решете больше одной меньше, на работу решета не влияет:

А сабж вообще о архиваторе, мелочь. Сколько дыр сидит в либах для графики и видео, если бы вы знали, то компы даже бы не включали.

anonymous
()
Ответ на: комментарий от anonymous

Федора это для шапки как анстейбл для дебьяна. А rawhide вообще не знаю с чем сравнить. Анстейбл и Федора предназначены для тестирования. Итого: в ходе тестирования нашли бэкдор. Все сработало как должно. Могло быть хуже? Могло. Но не в этот раз.

cobold ★★★★★
()
Ответ на: комментарий от cobold

Все сработало как должно.

Да, таковы реалии. Бэкдор нашел сотрудник Майкрософт. Сотрудники Шапки бэкдор не нашли. Ученых степеней розовощеких эмигрантов хватает только на первую линию техподдержки. Остальным некогда, красят волосы в розовый и занимаются пропагандой на Реддите.

anonymous
()

И чувак заметил нагрузку на проц от ssh лишь потому, что тестировал неправильный логин, или вообще просто ошибся при вводе учетных данных?

Вполне верю. Неоптимально настроенный ssh-клиент может пытаться перепробовать все ключи, предоставляемые ssh agent, вызывая заметную нагрузку на sshd. А на слух даже разницу между pc3 и pc10 можно услышать.

i586 ★★★★★
()
Ответ на: комментарий от cobold

Ссылку в студию на то где он в своем письме пишет про фильмы да Винчи

Если человек называет закат потрясающим, означает ли это, что он смотрел на закат и трясся?

thesis ★★★★★
() автор топика
Ответ на: комментарий от goingUp

Хорошо, что есть люди с ОКР)

Ну почему сразу ОКР. Может, он по ТЗ боролся за автономность какой-нибудь железяки. Это же лишь домыслы пока что.

thesis ★★★★★
() автор топика
Ответ на: комментарий от anonymous

ЧСХ, бэкдор нашел сотрудник Майкрософта.

Боже. Какой. Кайф.

Спасибо, анон, я проглядел самый жыр.

thesis ★★★★★
() автор топика
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от a1ba

вообще не релейтед. Атака явно была нацелена не на миллионы серверов, а на какой-то один, интересный атакующим. Со строго определенным списком используемого софта, политикой обновлений и т.п. Добились они успеха или нет, мы к сожалению не узнаем :)

Lrrr ★★★★★
()

И чувак заметил нагрузку на проц от ssh лишь потому, что тестировал неправильный логин, или вообще просто ошибся при вводе учетных данных?

А может у него белый IP, и на него постоянно кто-то долбится по ssh.

rupert ★★★★★
()

он просто ковырял систему на предмет «веди себя потише»

и правда, неужели не смогли найти более правдоподобную историю обнаружения бэкдора, подозрительно...

superuser ★★★★☆
()
Ответ на: комментарий от anonymous

Сотрудники Шапки бэкдор не нашли.

Так бывает, когда сотрудников МС в 10 больше, а бэкдор до Шапки не дошел.

Вот если бы дошел, было бы интересно, нашли бы или нет.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Зачем додумывать то, что можно тупо загуглить?

Так не додумывай. Потому что «Recalled that I had seen an odd valgrind complaint in automated testing of postgres, a few weeks earlier, after package updates» - это не «забил тревогу, обнаружив баг, когда сидел на своей работе в майкрософт и профайлил тесты постгреса».

thesis ★★★★★
() автор топика
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от t184256

Ну смотри, он мельком отметил «ой чот валгринд ругнулся» когда-то ранее на работе, но значения особо не придал. А щелкнуло в голове уже позже, когда он занимался вот той деятельностью, о которой я привожу цитату в топике.

То есть, конечно, хорошо, что он вспомнил ту валгриндовскую ругань, но не она послужила триггером. Если бы не sshd - тот случай забылся бы, или вспомнился бы когда-нибудь позже, возможно слишком поздно.

«Really required a lot of coincidences»(с)

thesis ★★★★★
() автор топика
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от anonymous

Сильно иное. На самом деле повезло, что так быстро отловили.

Если бы через года 2-3, когда он бы попал на кучу прода… это был бы кошмар — переставлять с нуля кучу продуктивных серверов и ротировать все ключи…

Vsevolod-linuxoid ★★★★★
()
Ответ на: комментарий от thesis

Именно. Тут некоторые считают, что принцип «миллиона глаз» СПО не помог тут. Вообще-то, именно он и спас — пусть и с запозданием, но отловил. До LTS, что используются на проде, не дошло.

Vsevolod-linuxoid ★★★★★
()
Ответ на: комментарий от Vsevolod-linuxoid

Закономерный результат напряженности в международных отношениях и резко возросшей популярности Линукса в военке. И этот бэкдор лишь жалкое начало. Будет море подобных атак под фальшивым флагом. Кое-кому придется форкать Линукс, чтобы спокойно спать.

anonymous
()
Ответ на: комментарий от Vsevolod-linuxoid

Да говна. Пресловутый «миллион глаз» подразумевает разглядывание СОРЦОВ, а не поведения готового бинарника на системе конечного пользователя. А вот сорцы как раз весь миллион глаз успешно проморгал.

thesis ★★★★★
() автор топика
Ответ на: комментарий от thesis

А вот сорцы как раз весь миллион глаз успешно проморгал.

Давайте начнем с того, что «миллионы глаз» - это не какая-то специальная организация, а в первую очередь мы с вами, т.е. пользователи. Лично вы просматриваете код каждой утилиты/библиотеки, которую используете или имеете у себя в системе? Лично мне не стыдно признаться, что я это делаю довольно редко, потому что зачастую не имею нужной квалификации в конкретной области, да и банально лень.

anonymous
()
Ответ на: комментарий от anonymous

Байка про миллионы глаз всегда была лишь байкой для доверчивых баранов. Подавляющее большинство пользователей Линукса не способны ни понять, ни тем более пофиксить сорцы системных компонентов. Многие не могут компилять софт из сорцов, писать элементарные скрипты автоматизации. Все эти завывания про «потенциальную возможность» уже давно кроме зевоты ничего не вызывают.

P.S. На Рутрекере полста гигов сорцов Винды разных версий вместе с видеоинструкцией, как скомпилять рабочую Хрюшу. Что-то никто пока бэкдоры не нашел.

anonymous
()
Ответ на: комментарий от anonymous

«миллионы глаз» - это не какая-то специальная организация, а в первую очередь мы с вами

Я об этом и говорю. Нам п&$%#ц по определению, но позавчера мы стали свидетелями натурального чуда. И почему-то никто, кроме меня, не восхищается красотой момента.

thesis ★★★★★
() автор топика
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от t184256

Внезапно, большинство мейнтейнеров Федоры сидят на зарплате в Шапке. И они провтыкали бэкдор в бетке Федоры 40. Совершенно наплевать на твои попытки манипулировать фактами.

anonymous
()
Ответ на: комментарий от anonymous

Я сам мэйнтейнер федоры и QA шапки одновременно. QA шапки делается при попадании в шапку, а в федоре пакетов банально в 10 раз больше, чем шапка вообще QAит. Совершенно наплевать на твои попытки манипулировать фактами. Было бы правда интересно, поймали бы это QA шапки или нет, но оно не дошло и мы не узнаем.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

в федоре пакетов банально в 10 раз больше, чем шапка вообще QAит

Заплачь еще. В Майкрософте своего кода в 10 раз больше, чем в Федоре, но как видим, специалисту из Майкрософта это не помешало. Может сотрудники Шапки смогли бы более лучше мейнтейнить свою распиаренную Федору, если бы не пердолили маргинальные дистрибутивы, но мы этого не узнаем, бгг.

anonymous
()
Ответ на: комментарий от thesis

И почему-то никто, кроме меня, не восхищается красотой момента.

Ну почему. Я, допустим, отдаю должное «талантам» тех кто это затеял. Там по ссылке на openwall в соседней новости в треде народ высказывает предположения что это могло быть «state-sponsored», что возможно соответствует действительности. Это ж надо было пару лет повтираться в доверие, стать майнтейнером с правом коммитов, сделать закладку (причём так что её все проморгали). И я так понимаю спалились на сущей мелочи - слишком много дополнительной нагрузки привнесли, настолько что это стало заметно.

bugfixer ★★★★★
()
Последнее исправление: bugfixer (всего исправлений: 1)