Этот бэкдор почти заразил Linux повсюду: угроза XZ Utils

Впервые разработчик программного обеспечения с открытым исходным кодом поместил вредоносное ПО в ключевую утилиту Linux. Мы до сих пор не уверены, кто и почему, но вот что вы можете с этим поделать.

Все началось с того, что Андресу Фройнду, главному инженеру-программисту Microsoft, стало интересно, почему код удаленной безопасности SSH в бета-версии Debian Linux работает медленно. Фройнд немного покопался и обнаружил проблему: главный программист и сопровождающий библиотеки сжатия данных xz Цзя Тан вставил в код бэкдор. Его цель? Чтобы позволить злоумышленникам захватить системы Linux.

В последнее время хакеры-злоумышленники стали слишком часто вставлять плохой код в программное обеспечение. Некоторые репозитории с открытым исходным кодом, такие как популярный менеджер пакетов JavaScript Node Package Manager (npm) и не менее популярный репозиторий программного обеспечения Python Python Package Index (PyPI), стали печально известны тем, что размещают вредоносное ПО для майнинга криптовалют и взлома.

Существуют также вредоносные программы с открытым исходным кодом, такие как SapphireStealer, которые стремятся украсть идентификаторы пользователей, пароли и другие секреты. Хотя в Linux и связанных с ним утилитах, безусловно, написано много плохого кода, никому еще не удавалось успешно спрятать в нем вредоносное ПО — до сих пор.

Прежде чем вы начнете слишком волноваться, обратите внимание на следующее: поврежденный код xz не появлялся ни в одном производственном дистрибутиве Linux. Если вы работали с Fedora, Debian, openSUSE, Ubuntu или другими передовыми бета-дистрибутивами, вам было о чем беспокоиться. В противном случае вам должно быть ясно.

Но не заблуждайтесь: Linux увернулся от пули. Если бы это достигло систем Linux, которыми мы все пользуемся каждый день — независимо от того, знаете ли вы об этом или нет — мы бы получили огромный ущерб.

По иронии судьбы, хотя люди используют беспорядок с xz как предлог для продвижения открытого исходного кода, правда состоит в том, что атака провалилась из-за открытого исходного кода. Как отметил Марк Этвуд, главный инженер отдела программ с открытым исходным кодом Amazon: «Атака провалилась, потому что это был открытый исходный код. Эта атака работает для неоткрытого исходного кода: злоумышленник тратит два года на то, чтобы нанять агента у поставщика контрактной разработки программного обеспечения. , они проносят это, [и] никто не узнает».

Как он может такое говорить? Потому что это правда. Например, мы до сих пор точно не знаем, как Microsoft позволила китайской хакерской группе проникнуть в Microsoft Online Exchange в прошлом году. Благодаря Фройнду мы многое знаем о том, как был осуществлен взлом xz. Как отметил Дмитрий Стилиадис, технический директор и соучредитель Endor Labs: «Нам повезло, что атака произошла против программного обеспечения с открытым исходным кодом, которое каждый может посмотреть и понять. Если бы та же атака была направлена против компонента с закрытым исходным кодом, как бы мы поступили? хоть знаешь?"

Аминь.

Чего мы пока не знаем, так это того, кто стоял за нападением и почему. Существует много предположений, что это была еще одна китайская хакерская группа; но, в конце концов, у нас остаются обоснованные предположения.

Например, вместо того, чтобы за вредоносным ПО стояла международная политика, это могла быть особенно тщательно продуманная попытка внедрить криптомайнеры в мощные системы Linux. Учитывая, что текущая стоимость биткойнов колеблется в районе 65 000 долларов за монету, жадность является правдоподобным мотивом.

Мы знаем, что тот, кто стоял за именем Цзя Тан, потратил много времени и усилий на установку вредоносного ПО. Тан начал свою темную работу в 2021 году. Он или она с помощью нескольких кукол из носков постепенно взял под свой контроль проект xz. Затем Тан и его коллеги начали настаивать на быстром внедрении новой зараженной бэкдором программы в дистрибутивы Linux.

Именно в этот момент Фрейнд, раскопав код, раскрыл заговор. Сегодня Лассе Коллин, первоначальный сопровождающий XZ, вернул себе контроль над проектом и чистит код.

Также высказывались предположения, что Тан и компания уже размещали вредоносное ПО в более ранних версиях xz. Кажется, в этом нет ничего.

Другие обеспокоены тем, что xz — это лишь верхушка айсберга и что в Linux скрывается множество других вредоносных программ с открытым исходным кодом. Но, как заметил Эрик С. Рэймонд, соучредитель ПО с открытым исходным кодом: «Звучит благоразумно и осторожно предполагать, что для любого обнаруженного эксплойта должно существовать большое количество необнаруженных. Но на самом деле мы этого не знаем, и даже если бы это было правдой, это не привело бы к действенному совету».

Итак, что мы можем с этим поделать? Много!

До того, как это вредоносное ПО с люком было обнаружено, Фонд безопасности открытого исходного кода (OpenSSF) предложил нам принять политику безопасного и ответственного использования программного обеспечения с открытым исходным кодом.

После этого Дэн Лоренц, соучредитель и генеральный директор компании Chainguard, занимающейся цепочками поставок программного обеспечения с открытым исходным кодом, предложил нам задуматься над пробелами, которые выявила эта атака, и создать более глубокую защиту по всей цепочке поставок с открытым исходным кодом: «Постоянные угрозы не исчезнут, и мы не можем волшебным образом остановить их, но мы можем продолжать поднимать планку и усложнять их».

Лоренц прав. Как он также заявил: «Нам невероятно повезло».

Открытый исходный код по своей природе потенциально более безопасен, чем проприетарные методы. Но это станет более безопасным только в том случае, если мы внимательно и внимательно рассмотрим используемый нами код и убедимся, что он действительно безопасен. Идея о том, что код безопасен только потому, что он открыт, — это в худшем случае магическое мышление. Желание не сделает открытый исходный код или Linux безопасным; только упорный труд сделает это.