Wczoraj, 29 marca ktoś odkrył tylną furtkę, alias backdoor, w bibliotece liblzma z pakietu xz [1]. Co to robi jest mniej istotne [2], bardziej istotne jest to, że biblioteka była jedną z zależności dla ssh, biblioteki służącej skierowaniu danych. W zamyśle atakujących, było zapewne kradzież kluczy kryptograficznych i podsłuch lub przejęcie kontroli nad zaatakowanymi systemami.
Znowu, to mniej istotne niż to jak do tego doszło, a doszło do tego [3] tak, że niejaki Jia Tan, przy pomocy niejakiego
Jigara Kumara, wkradł się w łaski kierownika i zarządcy projektu Xz - Lasse Collinsa, został współadministaratorem i wprowadził do niego rzeczonego backdoora. Jia Tan, udzielał się też w kilku innych projektach, przy współpracy z niejakim Hansem Jansenem większość związanych z kryptografią
Wszystkie te nazwiska, prócz Collinsa, są zapewne fałszywe, być może jest to jeden człowiek, reszta to słupy, ale wygląda na to, że nagle chińskie rączki próbowały sobie zrobić tylną furtkę w powszechnie używanym oprogramowaniu.
Zmiany znalazły się w wersji deweloperskiej dwóch dystrybucji, w zasadzie nikt nie ucierpiał a co i jak się stało wciąż się ustala.
Dlatego uczulam na posługiwanie się najnowszymi, testowymi dystrybucjami i oparcie się na stabilnych.
Ostatnia rzecz to taka, że zmiany zostały wszczepiony niecały miesiąc temu, teraz zostały wykryte i w mniej niż jeden dzień ustalono zakres infekcji i potencjalnych zniszczeń we wszystkich rejonach działania szpiega.
W Windowsie, Androidzie, IOSie jest zapewne wiele backdoorów tylko firmowych. I nie dowiesz się o nich bo kod jest zamknięty, w przeciwieństwie do otwartych systemów.
1. https://www.openwall.com/lists/oss-security/2024/03/29/4
2. https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
3. https://boehs.org/node/everything-i-know-about-the-xz-backdoor