工程师如何通过半秒的错误避免了全球范围内的大规模网络攻击 | 技术

“我在进行性能测试时意外发现了一个安全问题，”工程师安德烈斯·弗罗因德 (Andres Freund) 写道。 在 Mastodon 社交网络上。 这一偶然的发现阻止了非法访问世界各地数百万设备的最长、最复杂的行动之一的进展。

该消息指向一个链接 弗罗因德解释了他是如何发现的 更新程序时出现“一堆奇怪的症状”。 令他震惊的是，它使用了更多的处理器容量，而且最重要的是，访问时间多了半秒。 那半秒钟引起了他的怀疑，并让他发现了一个国家情报机构两年多来的黑暗工作。

“这不太可能是业余爱好者的作品。 没有立竿见影的回报。”独立网络安全研究员、顾问兼该书作者 Lukasz Olejnik 说道 网络安全哲学 [sin traducción al español]。 “这次欺骗行动所花费的时间、后门系统及其代码的复杂性，都表明有一个组织或机构有能力承担这样的项目。 这更有可能是通过支付工资来完成的。”

这次攻击是所谓的供应链攻击，它影响支持最知名和最常见程序的软件。 在本例中，目标是免费开源操作系统 Linux 中使用的压缩工具。 该工具已用于数百万台机器。 攻击的目标类似于创建一个带有特殊钥匙的后门，只有他们拥有，才能进入世界上任何有该入口的建筑物。

该系统的维护归功于志愿者开发人员，他们花费数小时维护和更新不同的程序。 这称为 XZ Utils。 两年多前，攻击者开始与负责更新该软件的程序员合作。 负责更新和通过电子邮件回复其他开发人员的调整请求的人不知所措。 攻击的一部分包括纯粹的社会工程：说服他将部分任务交给一个自称贾坦的账户背后的人。

如果攻击者获得了该代码负责人的信任，随着时间的推移，他就可以放置他的恶意代码。 如果没有被发现，该软件将被部署在数百万台服务器上并被授予特权访问权限。 目前尚不清楚其意图是使用它来闯入一台或多台特定机器，还是进行更大规模的攻击。

尽管代码和方法需要非凡的计算机技能，但对这些程序的控制往往取决于压力大且陷入困境的开发人员。 在一系列消息中，经理承认没有触及所有内容： “我并没有失去兴趣，但我参与的能力相当有限，主要是由于长期的心理健康问题，但也有其他一些原因。 我最近在 XZ Utils 上与 Jia Tan 进行了场外合作，也许他会在未来扮演更重要的角色，我们拭目以待。 同样重要的是要记住，这是一个无偿的业余爱好项目，”经理写道，他唯一的新解释是 目前他不会回应记者的采访 “因为首先我需要足够彻底地了解情况。”

“很多人都对软件感到厌倦，无论是开源软件还是商业软件。 在这种情况下，它可能有用，但不是决定性因素，”Olejnik 说。 “这是令人信服的证据，表明即使是小众或不起眼的半孤儿软件也可能关系到国家和国际安全。 这是软件的隐性成本。 另一方面，没有人可以责怪 XZ 的维护者，此类软件的开发人员没有广泛的选择，”他补充道。

很可能是其他虚假账户向经理施压，要求他尽早将工作交给贾坦。 这个案例揭示了维护我们整个数字基础设施大部分代码的社区的成功和漏洞。 问题是找到薄弱环节相对容易。 成功之处在于代码是可用且可访问的，因此像安德烈斯·弗罗因德这样的人可以检测到陷阱并成名。

弗罗因德本人认为，这一次他们很幸运：“我并不是认为我没有做任何新的事情。 我做到了。 我的意思是，我们有太多的运气，从现在开始我们不能仅仅依靠这样的东西，”他在 Mastodon 上写道。 由于多种因素的结合，这次攻击很特殊，但互联网所基于的自由源软件块也曾在其他场合受到过攻击，也受到了所谓情报机构的攻击。 事实上，很可能还有其他类似案件正在进行或拟议中。 闭源也出现过极其著名的案例。

一个致力于恶意代码的著名 X 帐户（以前的 Twitter）制作了一个病毒式表情包来感谢弗罗因德。 “xz 后门被微软软件工程师捕获。 他注意到有 500 毫秒的延迟，并认为有些事情很奇怪。 这家伙就是极客中的银背大猩猩。 他妈的互联网大师。”

另一个模因更有意义，它表明，在这种情况下，世界上的重要软件是如何“由一个由国家支付报酬的演员在办公时间可疑地维护的”。 该表情包所依据的原图是漫画家 Randall Munroe 的作品 传说中的内容与现实中发生的情况类似：“一个来自内布拉斯加州的随机人自 2003 年以来一直在维护的项目，却没有人感谢他。”

您可以关注 EL PAÍS 技术 在 Facebook y X 或在这里注册以接收我们的 时事通讯。