氧在耶稣受难日,一位名叫安德烈斯·弗罗因德 (Andres Freund) 的微软工程师注意到了一些奇怪的事情。 他正在使用一个名为的软件工具 SSH 用于安全登录互联网上的远程计算机,但与远程计算机的交互速度明显慢于平时。 因此,他进行了一些挖掘,发现在他的计算机上运行的一个名为 XZ Utils 的软件包中嵌入了恶意代码。 这是压缩(和解压缩)Linux 操作系统上运行的数据的关键实用程序,该操作系统为全球绝大多数可公开访问的互联网服务器提供支持。 这意味着每台这样的机器都运行 XZ Utils。
Freund 的挖掘表明,恶意代码是通过 XZ Utils 最近的两次更新到达他的计算机的,他 向开源安全列表发出警报 揭示这些更新是有人故意在压缩软件中植入后门的结果。 这就是所谓的“供应链攻击”(就像 SolarWinds 是 2020 年灾难性事件之一)——恶意软件不会直接注入目标计算机,而是通过感染所有计算机用户都已经习惯的常规软件更新进行分发。 如果您想将恶意软件传播出去,那么感染供应链是明智的方法。
那么弗罗因德发现的恶意软件的目的是什么? 基本上是为了破坏使 SSH 安全的身份验证过程,从而创建一个后门,使入侵者能够远程获得对整个系统的未经授权的访问。 由于 SSH 是网络世界安全运行的重要工具,任何破坏它的行为都是坏消息——这就是网络安全世界在过去一周保持高度戒备的原因。 那些运行世界各地使用的不同版本 Linux 的用户已经收到关于这两个恶意更新带来的危险的警告。
所以马厩的门锁上了,希望没有马丢失。 然而,如果弗罗因德没有那么敏锐和好奇的话,这一切都不会是真的。 “世界欠安德烈斯无限量的免费啤酒,” 一位安全专家观察到。 “他只是在业余时间拯救了每个人的屁股。”
在某些方面,恶意软件如何进入更新的故事更具启发性。 XZ Utils 是开源软件,即任何人都可以检查、修改和增强源代码的软件。 许多开源代码是由小型程序员团队编写和维护的,并且在许多情况下是由单个人编写和维护的。 在 XZ Utils 中,这个人多年来一直是 Lasse Collin,他从该项目一开始就一直参与其中。 直到最近,他还是负责组装和分发软件更新的人。
但近年来,维护这样一个关键软件的工作似乎变得更加繁重,而且据报道他还出现了健康问题。 (我们不确定,因为他不久前决定离开网络世界休假。)但是 安全专家 Michał Zalewski 表示大约两年前,一位“之前没有在线足迹”、自称 Jia Tan 的开发人员突然出现,并开始为 XZ Utils 库做出有益的贡献。 “‘贾’到来后不久,”Zalewski 继续说道,“几个明显的傀儡账户出现了,并开始向 Lasse 施压,要求其交接棒; 看来他在 2023 年的某个时候态度软化了。” 而且这两个受恶意软件感染的更新似乎是由贾这个角色发布的。
所以现在情节变得更加复杂了。 网络安全专家显然正在认真对待这次攻击。 “后门的实施方式非常奇特,但它确实是聪明的东西,而且非常隐蔽,”一位著名的南非安全专家 告诉 经济学家。 更有趣的是,存在一场协调一致的在线活动,说服 Lasse Collin 将 XZ Utils 的控制权交给“Jia Tan”。 这位专家怀疑,SolarWinds 渗透美国政府网络背后的俄罗斯外国情报机构 SVR 甚至可能在这次攻击中发挥了作用。
谁知道? 但从我们目前所知的情况中可以得出两个明确的教训。 首先,我们在本质上和根本上不安全的技术之上构建了一个全新的世界。 其次,我们严重依赖开源软件,而这些软件通常是由志愿者维护的,他们是出于爱心而不是金钱而维护的,而且通常没有行业或政府的支持。 我们不能再这样下去,但我们会的。 天欲灭者,必先得意者。
我读过的内容
如何极权主义
特朗普怎么可能把美国变成法西斯国家呢? 罗伯特·赖克 概述特朗普的五阶段计划 在他的子堆栈上。
保守党政府的后果
14年的保守党统治给英国带来了什么? 你知道答案,但萨姆·奈特 提供了一些有用的细节 在一个 纽约人 散文。
我们无价的星球
为什么资本主义无法解决气候危机—— 布雷特·克里斯托弗斯教授解释说 在 时间 杂志。
:quality(70):focal(4395x981:4405x991)/cloudfront-eu-central-1.images.arcpublishing.com/irishtimes/XOXDLPLSC7TYKUVQ5V7FL36AZQ.jpg)
