Tylne furtki, alias backdoory

[wrotycz]

Wczoraj, 29 marca ktoś odkrył tylną furtkę, alias backdoor, w bibliotece liblzma z pakietu xz [1]. Co to robi jest mniej istotne [2], bardziej istotne jest to, że biblioteka była jedną z zależności dla ssh, biblioteki służącej skierowaniu danych. W zamyśle atakujących, było zapewne kradzież kluczy kryptograficznych i podsłuch lub przejęcie kontroli nad zaatakowanymi systemami.

Znowu, to mniej istotne niż to jak do tego doszło, a doszło do tego [3] tak, że niejaki Jia Tan, przy pomocy niejakiego
Jigara Kumara, wkradł się w łaski kierownika i zarządcy projektu Xz - Lasse Collinsa, został współadministaratorem i wprowadził do niego rzeczonego backdoora. Jia Tan, udzielał się też w kilku innych projektach, przy współpracy z niejakim  Hansem Jansenem większość związanych z kryptografią

 

Wszystkie te nazwiska, prócz Collinsa, są zapewne fałszywe, być może jest to jeden człowiek, reszta to słupy, ale wygląda na to, że nagle chińskie rączki próbowały sobie zrobić tylną furtkę w powszechnie używanym oprogramowaniu.

 

Zmiany znalazły się w wersji deweloperskiej dwóch dystrybucji, w zasadzie nikt nie ucierpiał a co i jak się stało wciąż się ustala.

Dlatego uczulam na posługiwanie się najnowszymi, testowymi dystrybucjami i oparcie się na stabilnych.

 

Ostatnia rzecz to taka, że zmiany zostały wszczepiony niecały miesiąc temu, teraz zostały wykryte i w mniej niż jeden dzień ustalono zakres infekcji i potencjalnych zniszczeń we wszystkich rejonach działania szpiega.

W Windowsie, Androidzie, IOSie  jest zapewne wiele backdoorów tylko firmowych. I nie dowiesz się o nich bo kod jest zamknięty, w przeciwieństwie do otwartych systemów.

 

---

1. https://www.openwall.com/lists/oss-security/2024/03/29/4

2. https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

3. https://boehs.org/node/everything-i-know-about-the-xz-backdoor

 

 

[t0rek]

To? https://www.cvedetails.com/cve-details.php?cve_id=CVE-2024-3094 

[wrotycz]

On 3/31/2024 at 12:54 AM, t0rek said:

To?

 

To.

 

Ten backdoor stał się bardzo sławny. Jest teraz w Wikipedii*.

 

Stety, bądź nie, tak zwana "wolna encyklopedia"**, próbuje forsować swoje poglądy polityczne i agendę poprzez artykuły encyklopedyczne. Podczas gdy artykuły techniczne na Wikipedii są w większości bardzo dobre i często lepsze niż te komercyjne, artykuły związane z polityką, a także socjologią, psychologią i wszystkim, co jest przydatne w polityce, są bardzo często stronnicze lub rażąco wypaczone, jeśli nie wprost fałszywe.

Na przykład:

 

Amerykański badacz bezpieczeństwa Dave Aitel zasugerował, że pasuje to do wzorca przypisywanego APT29, zaawansowanemu podmiotowi stanowiącemu trwałe zagrożenie, o którym sądzi się, że działa w imieniu rosyjskiego SVR.[16]

Przeczytałem ten artykuł*** i chociaż na pierwszy rzut oka przedstawia on ważne argumenty, a nawet poszlaki, to po bliższym przyjrzeniu się te twierdzenia wydają się ujawniać prawdziwą tożsamość sprawców.

 

Jednak analiza przeprowadzona przez dwóch badaczy, Rheę Karty i Simona Hennigera, sugeruje, że Jia Tan mógł po prostu zmienić strefę czasową swojego komputera na UTC+8 przed każdym commitem. W rzeczywistości kilka zatwierdzeń zostało dokonanych z komputerem ustawionym na wschodnioeuropejską lub bliskowschodnią strefę czasową, być może wtedy, gdy Jia Tan zapomniał dokonać zmiany.

To**** wygląda, jakby właśnie znaleźli odciski palców nieostrożnego złodzieja, ale przeczytaj uważnie następny akapit.

 

"Kolejną wskazówką, że nie pochodzą oni z Chin, jest fakt, że pracowali w znane chińskie święta" - twierdzą Karty i Henniger, studenci odpowiednio Dartmouth College i Uniwersytetu Technicznego w Monachium. Zauważają oni, że Jia Tan również nie przesłał nowego kodu w Boże Narodzenie lub Nowy Rok. Boehs, deweloper, dodaje, że większość prac rozpoczyna się o 9 rano i kończy o 17 w strefach czasowych Europy Wschodniej lub Bliskiego Wschodu. "Zakres czasowy zatwierdzeń sugeruje, że nie był to jakiś projekt, który wykonali poza pracą" - mówi Boehs.

 

Ci "Rosjanie" najwyraźniej zapomnieli obchodzić Boże Narodzenie w kalendarzu juliańskim kościoła prawosławnego i postanowili obchodzić je w kalendarzu gregoriańskim kościoła zachodniego.

Za każdym razem, gdy czytam takie "wywody", muszę zapytać...:

 

 

co  innego mógł powiedzieć "amerykański badacz"?

 

---

* https://en.wikipedia.org/wiki/XZ_Utils_backdoor

 

** https://nypost.com/2021/07/16/wikipedia-co-founder-says-site-is-now-propaganda-for-left-leaning-establishment/

 

*** https://www.wired.com/story/jia-tan-xz-backdoor/

 

**** https://rheaeve.substack.com/p/xz-backdoor-times-damned-times-and

 

[wrotycz]

Takie, powiązane, zdarzenie:

 

Jak uniwersytet w Minnesocie został wykluczony z jądra Linuksa

 

Co ciekawe, dokonali tego "rodowici" Amerykanie: Kangjie Lu, Aditya Pakki i Qiushi Wu.

 

Piękna historia...

 

Już sam fakt, że pracownicy naukowi uniwersytetu, wykorzystując zaufanie jakim ich obdarzono, wprowadzili "błędy" i byc może jakiś inne "funkcjonalności" do jądra  systemu operacyjnego, robili to w godzinach pracy, a potem jeszcze bronili swojego stanowiska, a nawet bronił ich uniwersytet, każe sądzić, że robili to zawodowo, na zlecenie.

 

Stopień komplikacji i zaawansowania backdoora w xz każe sądzić, że to też był zawodowiec, i to  dobry, i to nie jeden, i  że robiił/li to na zlecenie "kogoś z góry".

Temat "Świat IT należy do USA", poszlaki, które wskazałem w poprzednim poście, opinie wielu ludzi, którzy tworzą, że, z powodów wymienionych powtórzę, musiały to być narodowe służby, oraz długa historia gmereania NSA wszędzie gdzie się tylko da kogoś szpiegować każe mi wysnuć jeden tylko wniosek na temat sprawcy.

 

Edytowane 9 Kwietnia przez wrotycz