Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
jaan513
Uus kasutaja
Uus kasutaja



Liitunud: 07.12.2017
Postitused: 14


estonia.gif
postituspostitatud: 06.04.2024, 19:44  postituse pealkiri:  Openssh tagauks, mis loodi uue xz 5.6.0/5.6.1 kaudu  

29. märtsil 2024 avastas Microsofti tarkvaraarendaja Andres Freund, et tema SSH ühenduse loomine võtab tavapärasest umbes pool sekundit kauem ja protsessorit kasutatakse rohkem kui tavapäraselt. Lähemalt uurides selgus, et seda põhjustavad xz ja liblzma. Xz on 7-zipile sarnanev (kes rohkem Windowsiga kursis) pakkimise utiliit, LZMA on pakkimise algoritm. Uusi xz ja liblzma pakke täpsemalt uurides selgus midagi kohutavat.

Nagu ma olen aru saanud, siis Freund kasutas Postgre andmebaasitarkvara kiiruse testimiseks Debian testing haru. Ta leidis, et sealsesse Xz utils paketti oli paigaldatud väga hoolikalt peidetud tagaukse loomise algoritm. Nüüdseks on selgunud, et xz sees olevasse liblzma versiooni 5.6.0 ja 5.6.1 lisatakse buildimise ajal nn testfailidesse hoolikalt peidetud koodijupid, mida muidu lähtekoodis üldse ei olegi. Testfaile kasutati ainult juhul, kui kasutaja laadis alla värskeima tarballi Githubi Xz ametlikult lehelt (mitte lähtekoodi kloonimise teel või src tar variandi). Testfailidest eraldati buildimise ajal kood, mis kirjutab osa Makefile'e üle ja kasutab linkeri abi, et osa OpenSSH funktsioone asendada nüüd uue liblzma funktsioonidega, eesmärgiga lisada enda avalik võti SSH juurde ja nii saada juurdepääs igasse OpenSSH serverisse, kus see võti ees ootab. Sest privaatvõti, mis selle avaliku võtmega kokku käib, on ainult ründajal. Samuti on kindlaks tehtud, et selle võtmega saab ründaja juurkasutaja (root) õigused.

Nüüdseks on ka levinud arvamus, et tagaukse paigaldaja tegi Xz projekti koordinaatoriga psühholoogilist mõjutustööd, et saada endale Xz repositooriumi õigused ja siis pärast paariaastast "sisseimbumist" proovis tagaukse luua. Arvatakse, et ründaja ei olnud üksik inimene, vaid mõni organisatsioon või mõne riigi poolt korraldatud.

Tagauks loodi küll ainult teatud tingimustel:
* Paigaldatakse tarball (ametlikul kodulehel olnud pakitud tar fail või selle tuletis) variant
* Töötab OpenSSH
* Töötab Systemd
* Töötab x86_64 süsteem
* Töötab Ubuntu, Debian või mõni RPM distro

Ehk siis peaaegu kõik enamlevinud serverid olid rünnaku sihtmärgiks.

Tagauks avastati umbes 1-2 kuuga ega jõudnud ühtegi olulisemasse distributsiooni.

Mul on hea meel, et kasutan avatud lähtekoodiga tarkvara. Isegi kui sellised asjad juhtuvad.

Ingliskeelset teavet leiab Youtube'st, seal on mõni selgitav video (näiteks otsing "xz backdoor", hea algus näiteks kanalil "Low Level Learning"). Samuti on olemas ingliskeelse Vikipeedia artikkel: https://en.wikipedia.org/wiki/XZ_Utils_backdoor

Kes oskab seda süvitsi veel analüüsida, kuidas ründaja koodi binary-sse ära peitis, loeksin huviga. Samuti, kui olen siin mõne faktiga eksinud, palun mind parandada.


643
Pingviini aktivist
Pingviini aktivist



Liitunud: 08.07.2019
Postitused: 386

Distributsioon: GNU/Linux (64bit/32bit)
blank.gif
postituspostitatud: 06.04.2024, 20:23  postituse pealkiri:  (teema puudub)  

Debian teab juba:
https://lists.debian.org/debian-security-announce/2024/msg00057.html

Ingliskeelses wikipeedias seletab kõik lahti..
aga seal arutatakse ka seda, et:

Lisaks algatas juhtum ka arutelu selle üle, kas küberinfrastruktuuri kriitilised osad sõltuvad palgata vabatahtlikest. [19]


Et siis valitsus paneb backdoori ja seejärel arutatakse, et kas vabatahtlikud enam ligi lastakse, et kas äkki lähtekood.. tuleb muuta jälle tagasi enne stallmani aega.. kinniseks..
Ja nagu ma aru sain oli backdoor githubis, mida omab microsoft ise.

Ei, lähtekood tuleb vabana hoida. aga see juhtum paneb mõtlema, et kes ja mida pakendab ja kuidas pakendatakse - kõik see snapi ja muu jura.
ka linuxi tuuma pandi ükskord backdoor- ja teada, kes.

_________________

Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group