Jak pół sekundy uratowało świat przed zagładą?
Summary
TLDRThe video script narrates a sophisticated attack on open-source software, specifically the xz compression tool, which led to a backdoor in SSH servers. It details the patient and methodical infiltration by a user named Jia Tan, who exploited the trust in the open-source community to insert malicious code. The script discusses the discovery of the vulnerability, its implications, and the response from the community, highlighting the importance of vigilance in software development and the potential risks of relying on unverified code.
Takeaways
- 🌐 The script discusses the potential for taking over the world with patience, skills, and deep pockets, but emphasizes the importance of luck in preventing a catastrophe.
- 💻 It highlights the reliance on servers for internet usage, many of which run on Linux and similar systems, and the use of SSH (Secure Shell) for secure remote access.
- 🔍 The potential vulnerability of openSSH is mentioned, where malicious code could be inserted into its source code to gain unauthorized access to millions of devices.
- 🕵️♂️ The script describes the difficulty of executing such an attack due to the scrutiny openSSH receives, with thousands of eyes checking what goes into production.
- 📦 It introduces the concept of a supply chain attack, which can compromise systems without altering the source code of openSSH, as seen in the case of the xz compression tool.
- 🗓️ The story of a vulnerability in openSSH related to the Debian user's discovery in 2015 is recounted, which led to a bug that wasn't visible during system startup.
- 👨💻 The role of Lasse Collin as the primary maintainer of xz is discussed, along with the impact of his personal issues on the project and the subsequent involvement of Jia Tan.
- 🐴 The script details a sophisticated attack involving the introduction of malicious code into the xz package, which was then stealthily included in the compilation process of Debian packages.
- 🔑 The attack's mechanism is explained, where a specially crafted public key could trigger a backdoor in the SSH service, allowing unauthorized access if the key matched a specific pattern.
- 🕊️ The aftermath of the attack includes the quick response from the community to isolate and remove the infected versions of xz, and the assignment of a CVE identifier CVE2024-3094.
- 🕵️♀️ The script speculates on the identity of Jia Tan, suggesting that the level of sophistication points towards a state-sponsored operation rather than an individual actor.
Q & A
What is the main topic discussed in the script?
-The script discusses a complex security breach involving the open-source project xz, which led to a backdoor being introduced into many Linux systems through a supply chain attack.
What is SSH and why is it important for internet servers?
-SSH, or Secure Shell, is a protocol used for secure remote access to servers. It is important for internet servers because it allows administrators to manage servers remotely while ensuring the security of the connection.
What is the significance of openSSH in the context of this script?
-OpenSSH is an implementation of the SSH protocol that is widely used on Linux and other servers. The script suggests that a vulnerability in openSSH could potentially be exploited to gain unauthorized access to millions of internet-connected devices.
What is a supply chain attack and how was it used in this case?
-A supply chain attack is a type of cyber attack where the security of a system is compromised by manipulating the software supply chain. In this case, the attack involved introducing malicious code into the xz compression tool, which is used during the packaging process of openSSH, thereby affecting many Linux systems.
Who is Lasse Collin and what is his role in the xz project?
-Lasse Collin is the primary maintainer of the xz compression tool, which is a popular open-source project. He has been largely responsible for its development and maintenance, making him a key figure in the security breach discussed in the script.
What role did Jia Tan play in the security breach?
-Jia Tan, using the GitHub account JiaT75, infiltrated the xz project by gaining the trust of Lasse Collin and eventually becoming a co-maintainer. Jia is suspected of introducing the malicious code that led to the security breach.
What was the impact of the security breach on the open-source community?
-The security breach highlighted the vulnerability of relying on a single maintainer for critical open-source projects and raised concerns about the security of the software supply chain. It also prompted a call for better support and vetting processes within the open-source community.
What is CVE2024-3094 and how was it related to the security breach?
-CVE2024-3094 is the identifier for the vulnerability that was exploited in the security breach. It was assigned to the specific flaw in the xz package that allowed the backdoor to be introduced.
What was the half-second delay observed by Andres Freund and how was it connected to the security breach?
-Andres Freund, a Microsoft employee, noticed a half-second delay in SSH login attempts on his Debian Sid system. This unusual behavior led him to investigate and ultimately discover the backdoor in the xz package, which was actively delaying the SSH authentication process.
What actions were taken by the Linux distributions in response to the security breach?
-In response to the security breach, most Linux distributions quickly removed the infected versions of xz from their repositories and enforced the installation of older, unaffected versions during system updates to protect their users.
What is the broader implication of this security breach for the use of open-source software in critical systems?
-The breach underscores the need for robust security practices in open-source projects, especially those that are widely used in critical systems. It suggests that more rigorous vetting, community engagement, and possibly financial support are necessary to ensure the security and sustainability of such projects.
Outlines
😲 The Perils of OpenSSH and Supply Chain Attacks
This paragraph discusses the potential for taking over the world with patience, skills, and deep pockets, but also the importance of luck in avoiding disaster. It delves into the necessity of servers for internet usage and the common use of Linux and similar systems. The script explains the role of SSH (Secure Shell) for remote access and the prevalence of openSSH, which could be a tempting target for malicious actors. The paragraph highlights the difficulty of infiltrating such critical software due to the scrutiny it receives, but then introduces the concept of supply chain attacks, which can compromise software without altering its source code. The story of a vulnerability found in the Debian user's openSSH service is used to illustrate how such an attack could unfold, affecting thousands of security professionals and system administrators globally.
🕵️♂️ The Deceptive World of Open Source Software and Security
The narrative continues with the tale of the xz compression tool, widely used in open-source software, and its maintainer Lasse Collin. It describes how Jia Tan, a new contributor, gains trust and eventually takes over the project, introducing a subtle change that goes unnoticed. This change is later revealed to be a backdoor in the xz package, which could affect millions of devices. The paragraph details the gradual shift of control from Lasse to Jia, the introduction of a seemingly insignificant fix, and the eventual discovery of the backdoor by Andres Freund, a Microsoft employee, who noticed unusual behavior in his Debian Sid installation. The discovery sparks a crisis in the open-source community, with GitHub suspending accounts and blocking access to repositories, complicating the analysis and response to the security breach.
🔒 Unraveling the xz Backdoor: A Closer Look at the Attack
This section provides a deeper analysis of the xz backdoor attack, explaining the technical details of how the malicious code was introduced and operated. It describes the obfuscation techniques used to disguise the attack and how the build process for the xz package was manipulated to include the backdoor. The paragraph explains the use of test files that were secretly binary executables, which were transformed into a functioning part of the code during the package build process. It also details how the backdoor was integrated into the xz package without altering the openSSH source code, and how the attack was nearly successful had it not been for the vigilance of community members and the slight delay in SSH login times that tipped off researchers.
🕵️♀️ The Mysterious Jia Tan: Unmasking the Culprit Behind the Attack
The paragraph delves into the investigation surrounding Jia Tan, the individual behind the xz backdoor attack. It discusses the clues and evidence gathered by the community, including GitHub activity, IRC logs, and email addresses. The analysis suggests that Jia Tan operated with a high level of operational security, avoiding common mistakes that would typically reveal their identity. The paragraph also explores the possibility that Jia Tan may not be a single individual but rather a well-coordinated effort by a state-sponsored group, given the sophistication and duration of the operation. It highlights the challenges in attributing responsibility for such attacks and the complexities involved in tracing the activities of the perpetrator.
🌐 The Impact on Open Source and the Importance of Vigilance
The final paragraph reflects on the broader implications of the xz backdoor attack for the open-source community and the businesses that rely on it. It discusses the paradox of companies benefiting from open-source projects without providing financial support, and the potential risks of depending on small, specialized libraries maintained by individual enthusiasts. The paragraph also touches on the dangers of using experimental software in production environments and the increased awareness that such attacks can bring to the community. It concludes by highlighting the importance of careful code audits and the need for caution when integrating third-party libraries into software projects.
Mindmap
Keywords
💡OpenSSH
💡Supply Chain Attack
💡CVE2024-3094
💡Backdoor
💡Liblzma
💡Systemd
💡SSH Key
💡ED488
💡Honeypot
💡Open Source
💡Security Audit
Highlights
The concept of taking over the world with patience, skills, and deep pockets is humorously introduced.
The necessity of servers for internet usage and their frequent operation under Linux distributions is discussed.
SSH (Secure Shell) is highlighted as a crucial protocol for remote server access.
The potential vulnerability of openSSH to malicious actors seeking unauthorized access is considered.
The difficulty of infiltrating openSSH due to the scrutiny of thousands of eyes is noted.
A supply chain attack method is introduced as an alternative to directly tampering with openSSH's source code.
The story of a Debian user discovering a bug in openSSH's communication with systemd in 2015 is recounted.
The role of Lasse Collin and the xz compression tool in the openSSH package building process is explained.
The rise of Jia Tan as a contributor to the xz project and eventual maintainer is detailed.
Suspicions about Lasse's neglect of the xz project and the community's response are explored.
The discovery of a backdoor in the xz package through a subtle change in the oss-fuzz tool is revealed.
The impact of the backdoor on millions of devices and the response from the open-source community is discussed.
The technical details of how the backdoor operates and its integration into the xz package is explained.
The discovery of the half-second delay in SSH logins that led to the detection of the backdoor is highlighted.
The potential use of the backdoor for unauthorized access to systems is examined.
The broader implications for open-source projects and the need for community vigilance is emphasized.
The response of various Linux distributions to the vulnerability and the removal of infected xz versions is noted.
The investigation into Jia Tan's identity and the potential state-sponsored nature of the attack is presented.
The importance of not using production environments for testing and the risks associated with it are discussed.
Transcripts
00:00Cześć!
00:00Jak przejąć władzę nad światem?
00:02Cóż, być może wystarczą lata cierpliwości,
00:05olbrzymie umiejętności i bardzo głębokie kieszenie.
00:09Ale przede wszystkim trzeba nie mieć pecha.
00:12Bo to w sumie właśnie łut szczęścia uratował nas wszystkich przed katastrofą.
00:16O co chodzi?
00:18Aby korzystać z internetu, jaki znamy, potrzebujemy serwerów.
00:22Sporo serwerów.
00:23Te najczęściej działają pod kontrolą różnej maści Linuksów i im podobnych.
00:28A kiedy trzeba mieć do nich zdalny dostęp, bez czego ani rusz,
00:31wykorzystuje się protokół SSH, czyli secure shell.
00:35Jego implementacja, openSSH, działa na praktycznie każdym linuksowym i nie tylko serwerze.
00:41Nic dziwnego.
00:42Pozwala na zdalny, a zarazem naprawdę całkiem bezpieczny dostęp.
00:47Potencjalnie więc openSSH mogłoby być bardzo łakomym kąskiem dla kogoś o złych zamiarach,
00:53chcącego uzyskać nieautoryzowany dostęp do tysięcy czy nawet milionów urządzeń podłączonych do Internetu.
01:00Wystarczyłoby przecież w jakiś sprytny sposób
01:04dodać do kodu źródłowego openSSH kilka swoich linijek i tylko czekać,
01:09aż jakaś kolejna aktualizacja wypchnie je na urządzenia na całym świecie.
01:14Pomysł może i genialny, ale z wykonaniem zdecydowanie trudniej.
01:19No bo na tak istotne oprogramowanie patrzą tysiące oczu, pieczołowicie sprawdzając, co trafia na produkcję.
01:26Szansa, że uda się prześlizgnąć jest więc naprawdę bliska zeru.
01:31Jak się jednak okazuje,
01:33istnieją sposoby, aby solidnie namieszać, wcale nie dotykając kodu źródłowego openSSH,
01:39a stosując tak popularny ostatnimi czasy atak na supply chain.
01:44W jaki sposób zepsuto minioną Wielkanoc tysiącom bezpieczników i administratorów systemów na całym globie,
01:50mnie zresztą też?
01:51Usiądźcie wygodnie, czas na opowieść.
01:54Zapraszam!
02:01Dawno, dawno temu, czyli jakoś na początku 2015 roku, pewien użytkownik Debiana zauważył,
02:09że kiedy podczas uruchamiania systemu usługa openSSH nie wystartuje z powodu jakiegoś błędu,
02:15to wcale nie widać tego faktu i wygląda na to, że wszystko poszło zgodnie z planem.
02:21Problem leżał na linii komunikacji openSSH z demonem odpowiedzialnym
02:25m.in. za uruchomienie systemu operacyjnego, czyli systemd.
02:30Powstała więc łatka, która miała to zachowanie naprawić.
02:34Jednak okazało się to wcale nie tak trywialnym zadaniem, jak początkowo sądzono.
02:38Aby poprawka została dołączona w procesie budowania pakietu gotowego do instalacji,
02:43potrzebne było skorzystanie z jakiegoś programu do kompresji danych.
02:47Wybór padł na algorytm lzma będący częścią linuksowego pakietu xz.
02:52To dość popularne narzędzie stworzone i utrzymywane w dużej mierze przez jedną osobę, Lasse Collina.
02:59Popularność xz urosła z czasem do bardzo wysokiego poziomu,
03:03bo aż ciężko sobie wyobrazić, ile oprogramowania na całym świecie jest dziś od niego zależnych.
03:09Sprawiło to, że chcąc nie chcąc Lasse stał się poniekąd za działanie tego oprogramowania częściowo odpowiedzialny,
03:16bo cokolwiek popsutego w xz tak naprawdę może mieć wpływ na miliony urządzeń na całym świecie.
03:24Co warto jednak w tym miejscu podkreślić,
03:27serwer openSSH sam w sobie nie wymaga do instalacji pakietu xz,
03:32jednak sposób, w który jest on dostarczany na systemy użytkowników Debiana już tej paczki potrzebuje.
03:39W październiku 2021 roku, w sumie znikąd,
03:43do dziesiątek milionów użytkowników GitHuba dołącza Jia Tan, korzystając z loginu JiaT75.
03:51Sugeruje jakieś drobne poprawki w różnych projektach, aby po roku zainteresować się pakietem xz.
03:58Szybko zaczyna istotnie wspierać głównodowodzącego do tej pory projektem Lasse.
04:03Tworząc choćby testy, co jest żmudnym zadaniem, którego nikt nigdy nie chce się podjąć.
04:10Mija niecały rok, gdy w okolicach czerwca 2022 roku zaczynają pojawiać się w stosunku do Lasse zarzuty,
04:17że zaniedbuje tak istotny przecież projekt.
04:20Padają one z klawiatur kont, które w sumie nie za wiele innego na GitHubie zrobiły.
04:26Lasse w odpowiedzi informuje o swoich osobistych problemach, w tym mentalnych,
04:31które uniemożliwiają mu poświęcanie na rozwój xz więcej czasu.
04:35Zresztą warto pamiętać, że to projekt otwartoźródłowy, za który nikt mu nie płaci złamanego centa,
04:43a robi to tylko z własnej, nieprzymuszonej woli,
04:46więc jakiekolwiek wymagania w tej kwestii są dość niedorzeczne.
04:50Niestety, zamiast zrozumienia i wsparcia spotyka się głównie z dalszymi zarzutami
04:56i obwinianiem go o duszenie projektu oraz sugestiami, żeby przekazał go komuś innemu.
05:02Lasse odpowiada, że Jia ostatnio sporo mu pomaga i być może jest to jakieś rozwiązanie w przyszłości.
05:10Zresztą Jia w wątku broni Lasse tłumacząc, że jest to projekt hobbystyczny.
05:15Dokładnie jak w metodzie na dobrego i złego policjanta.
05:19W końcu po jakimś czasie następuje zmiana na stanowisku głównego lidera xz, bo rolę tę przejmuje Jia.
05:27Na początku 2023 roku konto JiaT75 zatwierdza samo po raz pierwszy zmiany w projekcie,
05:35a w marcu adres do kontaktu w sprawie repozytorium zostaje zmieniony z pierwotnego, należącego do Lasse na maila Jia.
05:43W tym miejscu pojawia się jeszcze jedno konto pod imieniem i nazwiskiem Hans Jansen,
05:48które wprowadza jedną poprawkę i nic więcej.
05:51Jia ją akceptuję.
05:53Mało znaczący fakt, który jednak będzie dość istotny później.
05:57W czerwcu Jia zgłasza bardzo drobną poprawkę do narzędzia oss-fuzz autorstwa Google,
06:03służącego do testowania otwartego oprogramowania.
06:06Rzekomym powodem są problemy z kompatybilnością, po wprowadzeniu wcześniejszych zmian w xz.
06:11Poprawka zostaje bez zastrzeżeń zaakceptowana.
06:15W lutym bieżącego roku Jia informuje utrzymujących oss-fuzz,
06:19że adres projektu xz uległ zmianie, bo doszła do niego dodatkowa subdomena.
06:25Adres nie prowadzi już jak dotychczas do hostingu w Finlandii, ale prosto do repozytorium na GitHubie.
06:32Osoba Lasse coraz bardziej znika ze świadomości, a Jia w międzyczasie rośnie w siłę w ramach xz.
06:40Pojawiają się kolejne poprawki oraz wypuszczane są kolejne wersje xz.
06:45Zaczyna się też sugerowanie utrzymującym paczki w poszczególnych dystrybucjach Linuksów,
06:50aby szybko, jak najprędzej wrzucali aktualizacje do swoich testowych gałęzi.
06:55Jednym z nalegających jest...Hans Jansen.
06:59Ten od jednej, jedynej poprawki.
07:02Wtórują mu inne konta, które w sumie nie robiły do tej pory nic innego, albo zostały dopiero co utworzone.
07:12Jest 29 marca.
07:13Wielkanocny piątek.
07:15Osobiście nie mogę się doczekać, kiedy moją krew zastąpi ekstrakt z sałatki jarzynowej,
07:20jednak okazuje się, że to tylko cisza przed burzą.
07:23Z samego rana na grupie dyskusyjnej oss-security na openwallu pojawia się wiadomość zaniepokojonego Andresa Freunda,
07:30pracownika Microsoftu rozwijającego PostgreSQLa.
07:33Twierdzi on, że w ostatnich tygodniach zaobserwował jakieś dziwne zachowania swojej instalacji Debiana Sid,
07:39czyli w wersji testowej.
07:41Zdalne logowanie poprzez serwer SSH zajmowało zdecydowanie więcej czasu niż zwykle i nie dawało mu to spokoju.
07:49Więcej o ile? – zapytacie.
07:52Ano jakieś 500 milisekund, czyli pół sekundy.
07:56Tak, pół sekundy opóźnienia spędzało Andresowi sen z powiek, tak bardzo,
08:01że postanowił poświęcić na rozwikłanie tej zagadki dobrych parę tygodni.
08:06Andres szybko zdementował jednak przypisywane mu nadludzkie zdolności,
08:10bo to nie jego chronograf w głowie wykazał różnice, a po prostu akurat przeprowadzał testy w tej sprawie.
08:16Jego uwagę przykuł fakt, że nieudane próby logowania z podaniem złych danych
08:22powodowały znaczny wzrost zużycia procesora, co nie miało na pierwszy rzut oka większego sensu.
08:28No i tu zaczęło się łączenie kropek.
08:31Źródłem problemu jego zdaniem miała być biblioteka liblzma, czyli część pakietu xz.
08:38Głębsza diagnoza jednak mroziła krew w żyłach.
08:42Zdaniem Andresa produkcyjny pakiet xz stał się koniem trojańskim.
08:47Początkowo sądził, że dotyczy to jedynie repozytorium Debiana, jednak szybko okazało się to sporym niedoszacowaniem,
08:54bo chodziło o większość dystrybucji.
08:57Co ciekawe, problem występował tylko w prekompilowanych paczkach.
09:01W programie kompilowanym ze źródła wszystko działało jak należy.
09:05Dlaczego?
09:06Ponieważ złośliwy kod dodawany był w bardzo sprytny sposób
09:11poprzez skrypty na etapie automatycznej kompilacji do formatu deb lub rpm.
09:16W dodatku wszystko było bardzo, ale to bardzo dobrze ukryte udając prowadzenie testów w taki sposób,
09:24że na pierwszy rzut oka nie było tam niczego niepokojącego.
09:28Andres postawił też tezę, że nie jest to po prostu wykorzystanie czyjegoś zaufanego konta, aby coś na szybko wstrzyknąć,
09:35a metodyczne od paru tygodni zachowanie i jest to po prostu jego zwieńczenie.
09:41Wiadomość ta gruchnęła jak grom z jasnego nieba, w dodatku w idealnym wręcz momencie.
09:47Łączę się w bólu z wszystkimi administratorami, którzy w całym tym zamieszaniu zresztą tak jak ja,
09:53próbowali łapać wszelkie ochłapy informacji, aby ustalić, czy ich systemy również mogły potencjalnie zostać zaatakowane.
10:00Całej sytuacji wcale nie pomógł GitHub.
10:02Zawiesili oni co prawda szybko konto JiaT75, ale też zablokowali dostęp do repozytorium xz,
10:10więc aby dokonać analizy kodu trzeba było uciekać się do lokalnych kopii albo forków projektu.
10:16Niestety zbanowali też konto Lasse, choć w tej sytuacji wydawał się on osobą,
10:20która mogła o sprawie wiedzieć najwięcej i najbardziej pomóc w rozwiązaniu tego palącego problemu.
10:26No ale nie dziwne, że w całym tym ferworze, dopiero później zaczęto weryfikować jego intencje.
10:33Konto Lasse zostało na szczęście szybko odblokowane i ruszył on na pomoc i gdzie tylko mógł,
10:39zaczął wycofywać wprowadzone przez Jia zmiany oraz informował na bieżąco społeczność o swoich odkryciach.
10:46Podatności przypisano oczywiście odpowiedni numer CVE2024-3094 i jest to podatność 10 na 10.
10:55Szybko ustalono, że zawierają ją tylko dwie wersje xz – 5.6.0 oraz 5.6.1 podpisane cyfrowo przez Jia.
11:04Wcześniejsze wersje podpisane przez Lasse nie zawierały złośliwego kodu.
11:09Kiedy już kurz opadnie, ma ukazać się wersja 5.8.0, która odetnie projekt od przeszłości.
11:16Większość dystrybucji szybko usunęła ze swoich repozytoriów zainfekowane wersje xz
11:21wymuszając tym samym instalację starszej wersji w momencie, kiedy ich użytkownicy przeprowadzą aktualizację.
11:27Tylko co właściwie wykombinował ten cały Jia?
11:34Ten atak to majstersztyk, ale wytłumaczenie w pełni jak został przeprowadzony nie jest wcale proste.
11:40Zainteresowanych szczególnie zachęcam do sprawdzenia bloga Gynvaela Coldwinda oraz innych źródeł,
11:46do których linki znajdziecie w opisie.
11:48Ja postaram się o szybkie streszczenie i z góry przepraszam za ewentualne uproszczenia.
11:54Cały łańcuch, który prowadzi do finalnego zaatakowania gotowej paczki xz złośliwym kodem ma kilka etapów.
12:01Każdy z nich jest na swój sposób obfuskowany, aby nie budzić podejrzeń na pierwszy rzut oka.
12:07Jia dodał do repozytorium dwa niewielkie binarne pliki, które wyglądały po prostu jak pliki wykorzystywane do testów.
12:15A to pewnie ostatnie miejsce, w które ktokolwiek z deweloperów by zaglądał, bo i po co?
12:20Wiadomo, potrzebna sprawa, ale nuda straszna, lepiej zająć się czymś innym.
12:26Podczas budowania gotowego pakietu przeznaczonego do szerokiej dystrybucji,
12:30dwie dodane do skryptów konfiguracyjnych linijki kodu, sięgają po te rzekome testowe pliki, rozpakowują je,
12:38a potem zamieniają ze sobą dwie pary znaków, tak samo jak funkcją znajdź i zamień.
12:45W ten sposób coś, co wyglądało wcześniej jak nieistotny bełkot, staje się nagle działającym fragmentem kodu.
12:53Drugi z plików testowych też jest filtrowany i modyfikowany w inny sposób, jednak w tym samym celu.
13:00Złożenie tego w całość tworzy skompresowany plik, który wystarczy po prostu rozpakować.
13:06Klocki zaczynają sukcesywnie trafiać na swoje miejsce.
13:10Następnym krokiem jest przygotowanie na tej podstawie pliku zawierającego kod maszynowy,
13:16który niepostrzeżenie integrowany jest w trakcie kompilacji programu.
13:20Miesza się tu kod źródłowy, kod maszynowy korzysta szeroko z grepa, awka, kompresji i dekompresji.
13:26Ogólnie naprawdę wyrafinowana sprawa.
13:29Et voila. Gotowe.
13:31Właśnie do xz trafiła jakaś magiczna funkcja, której nie znajdziemy nigdzie w kodzie źródłowym,
13:38a jest zwyczajnym backdoorem.
13:40Ba! Jia przygotował nawet mechanizm, który pozwalałby na dalszy rozwój możliwości tego konia trojańskiego,
13:47dodając po prostu następne pliki testowe, aby nie wzbudzać podejrzeń.
13:53Na drodze do próby przejęcia władzy nad światem,
13:56pierwsza wersja zawierająca dodatki okazała się generować błędy przy kompilacji,
14:01co wraz z pomocą innych specjalistów zostało szybko naprawione w kolejnej, szybko wypuszczonej wersji xz.
14:08I nikt nie zauważył, że coś jest bardzo nie-tak,
14:11aż do czasu, gdy Andres nie zwrócił uwagi na półsekundowe opóźnienie przy logowaniu.
14:18Dodajmy – zwrócił w ostatnim momencie, bo gdyby minęło parę dni albo tygodni,
14:24luka ta rozeszłaby się pewnie szeroko po całym świecie.
14:28Tylko na co tak właściwie pozwalała?
14:31Po przeprowadzeniu procesu inżynierii wstecznej przez społeczność dowiedzieliśmy się, co chciano osiągnąć.
14:38No bo co xz odpowiedzialne za kompresowanie danych ma w ogóle z logowaniem przez SSH wspólnego?
14:45No bezpośrednio to niby nic, ale – uwaga – będzie grubo.
14:51Żeby system operacyjny w ogóle wiedział, że usługa SSH działa, to musi ona o sobie dać znać demonowi systemd.
14:59Korzysta więc z funkcji sd_notify, która zawarta jest w bibliotece libsystemd.
15:04Żeby móc to zrobić, openSSH musi załadować ją do pamięci.
15:08Ta biblioteka zależna jest od innej biblioteki – liblzma, a więc siłą rzeczy ją też trzeba wczytać.
15:16A to ona właśnie jest częścią zainfekowanego pakietu xz.
15:20Wiemy już więc jak się tam znalazła, ale teraz jak to wykorzystać?
15:24Łącząc się do serwera SSH przesyłamy swój klucz publiczny,
15:28aby się niejako przedstawić i potwierdzić, kim właściwie jesteśmy.
15:33W miejsce tego klucza atakujący wstawia specjalnie spreparowany łańcuch znaków,
15:39który też jest kluczem, ale zaszyfrowanym w inny sposób z wykorzystaniem mechanizmu ED488, a nie RSA.
15:47Funkcja, która ma za zadanie ten klucz sprawdzić, została po prostu podmieniona, aby robiła coś więcej.
15:55Zamiast po prostu sprawdzić poprawność klucza, najpierw próbuje porównać go z posiadanym wzorcem.
16:01Jeżeli to porównanie się zgadza, to znaczy, że do drzwi puka atakujący.
16:07Jeżeli jednak się nie zgadza, to po prostu wykonuje się dalej tak jak pierwotnie miała
16:11i sprawdza poprawność danych uwierzytelniania.
16:14Proces ten jest praktycznie niewidoczny dla końcowego użytkownika,
16:18ale jak widzicie do sprawdzania klucza dochodzi w tym przypadku dwukrotnie, co trwa nieco dłużej.
16:25A więc nieco prościej – złośliwy kod wykonywany był praktycznie natychmiast po połączeniu do serwera,
16:32jeszcze przed przeprowadzeniem procesu uwierzytelniania.
16:36Sprawdzano, czy ktoś, kto puka do drzwi, dysponuje odpowiednim, sekretnym kluczem.
16:42Jeżeli nie, po prostu uwierzytelniano się tak jak zwykle, nie budząc podejrzeń.
16:46Jeżeli jednak ktoś był w posiadaniu klucza, to wpuszczano go do środka,
16:51aby wygodnie rozsiadł się w fotelu i czuł jak u siebie w domu.
16:56Nic innego nie było potrzebne, żeby przejąć setki, a może i miliony urządzeń na całym świecie.
17:02To dodatkowe sprawdzenie trwało te magiczne pół sekundy i położyło cały latami pieczołowicie przygotowywany atak.
17:11Tylko kto za tym wszystkim stoi?
17:17Kim właściwie jest sprawca całego tego zamieszania, Jia Tan?
17:21Mamy w tej sprawie sporo poszlak, do których analizy ruszyli ochoczo OSINTowcy z Twixxera.
17:26Wgląd w to dają nam choćby narzędzia GitHuba, pozwalające prześledzić historię wprowadzanych zmian.
17:32Ale nie tylko.
17:34Jia łączył się do IRCa projektu xz.
17:37Połączenie nawiązywał za każdym razem przez VPN prowadzący przez Singapur.
17:43Adres mailowy Jia nie występuje nigdzie poza GitHubem, wliczając w to wycieki baz użytkowników.
17:50Biorąc pod uwagę czas trwania takiej operacji, ciężko uznać to za normalne zachowanie.
17:57Wskazuje raczej na kogoś, kto nie tylko chciał pozostać anonimowy, ale też doskonale wiedział, jak to zrobić.
18:04Zdecydowanie lepiej niż zwykły użytkownik internetu, bo tacy zawsze popełniają jakieś opsecowe błędy.
18:11A tu ich nie ma.
18:13Grzebanie w logach GitHuba pozwoliło odkryć,
18:15że adres mailowy z którego korzystał Jia został raz użyty w połączeniu z drugim imieniem Cheong.
18:23Nie znam mandaryńskiego, ale źródła, które znalazłem
18:26wskazują, że takie połączenie w takiej transkrypcji na łaciński alfabet nie jest możliwe.
18:32Sugeruje się więc, że to po prostu przypadkowy zlepek imion użyty przez kogoś, kto o Chinach nie ma zbyt wiele pojęcia,
18:41ale chce, aby wszyscy wokół bez zastanowienia wskazali oczywistego według nich sprawcę.
18:47Jednym ze sposobów na sprawdzenie lokalizacji Jia jest analiza godzin, w których był aktywny.
18:53Ktoś używający tego konta, owszem – korzystał z urządzenia z ustawioną strefą czasową
18:58wskazującą na Chiny albo przynajmniej kraje na tych południkach.
19:02Jednak jego aktywność pozwala też wysnuć tezę, że znajdował się we wschodniej Europie lub np. Izraelu czy Iranie.
19:11Mogą to potwierdzać zmiany wprowadzone do repozytorium z wykorzystaniem innej strefy czasowej niż chińska,
19:17w bardzo krótkich, niemożliwych fizycznie do realizacji odstępach.
19:22Kolejną wskazówką jest praca w święta, w które ktoś z Chin raczej miałby wolne,
19:27za to brak aktywności choćby w Nowy Rok czy Boże Narodzenie.
19:31Ukrywanie się przez dwa lata, aby coś takiego zrobić ciężko nazwać hobby.
19:38Trzeba w tym czasie mieć co jeść.
19:40W dodatku do przeprowadzenia tak wyrafinowanego ataku potrzeba naprawdę ogromnej wiedzy.
19:47Mając takie umiejętności można w krótkim czasie zarobić pieniądze,
19:51które pozwolą przejść na emeryturę przed 40-tką w jakimś kraju, gdzie nigdy nie ma brzydkiej pogody.
19:57I to bez ryzyka trafienia do aresztu.
20:00To wszystko pozwala sądzić, że nie był to ktoś przypadkowy.
20:04Ba, pewnie nie była to nawet jedna osoba.
20:08Wszystko wskazuje na bardzo pieczołowicie zaplanowaną, spektakularną akcję,
20:13prowadzoną latami przez na przykład wywiad jakiegoś państwa.
20:18Społeczność zebrana wokół otwartoźródłowych projektów szybko wskazała prawdziwego winnego całego zamieszania.
20:25Oberwało się wszystkim firmom pasożytniczo korzystającym ze zdobyczy wolnego oprogramowania.
20:30Te często opierają swoje wielomiliardowe biznesy o jakąś małą bibliotekę
20:36rozwijaną po godzinach przez jakiegoś jednego pasjonata, bez żadnych finansowych korzyści z tego płynących.
20:42Nie mają więc prawa niczego w zamian wymagać.
20:46A już w szczególności tego, że jakiś przypadkowy Anczej pracując z czeluści swojej piwnicy,
20:52sam jeden dzielnie stawi czoła latami szkolonym szpiegom ze służb wywiadu jakiegoś mocarstwa.
20:59Pojawiła się zresztą w internecie masa memów,
21:01nabijających się z tego, że przecież projekty open source nawoływały do ich szerszego finansowego wsparcia,
21:09więc w sumie nie powinno się narzekać, że zainteresował się nimi w końcu ktoś,
21:13kto jest w stanie płacić rozwijającym je programistom.
21:16Ale dobra, żarty na bok, bo nie jest to cała prawda.
21:20Wiele firm, szczególnie tych największych, wspiera otwarte oprogramowanie.
21:24Często zresztą delegując do jego rozwoju swoich etatowych pracowników czy trzymając nad nimi mecenat.
21:31Problemem często jest też po prostu wypalenie,
21:34szczególnie w przypadku jakichś bardzo wyspecjalizowanych małych bibliotek.
21:38No bo co w nich można ciekawego i kreatywnego dodawać?
21:43Łata się jakieś drobne błędy, a zapał z czasem opada.
21:47I jak w końcu znajdzie się ktoś, kto chce przejąć taki zapomniany projekt, a w dodatku ma na to jakiś interesujący pomysł,
21:55to po prostu łatwo temu przyklasnąć, myśląc, że robi się to dla dobra wszystkich.
22:04Jeżeli lubisz być na bieżąco z technologią,
22:06to pewnie kusi Cię korzystanie z testowych albo nawet eksperymentalnych gałęzi oprogramowania.
22:12O ile gwarantuje to dostęp do najnowszych funkcji.
22:15To przysparza też więcej siwych włosów na głowie albo powoduje ich sukcesywne utratę.
22:21Bo nie tylko coś częściej może nie działać, ale też nie jest wystarczająco dobrze przetestowane,
22:27co w skrajnych przypadkach może prowadzić do takich właśnie sytuacji.
22:32A z dużą dozą pewności można stwierdzić, że był to najpoważniejszy atak na otwartoźródłowy projekt w historii.
22:39Choćby dlatego lepiej nie testuj na produkcji.
22:43Czy to jedyny taki przypadek?
22:45Cóż, z jednej strony widzimy, że przeprowadzenie takiej operacji w tej skali jest możliwe.
22:52Z drugiej, szerokie próby ingerowania w różne projekty mogą paradoksalnie zwiększyć czujność
22:58i utrudnić przeprowadzenie z sukcesem takiej operacji w przyszłości.
23:02A więc – jak zwykle – jeden rabin powie tak, drugi rabin powie nie.
23:07Pierwszą teorię potwierdzać jednak może fakt,
23:09że w podobny sposób próbowano ostatnio wpływać na deweloperów F-Droida,
23:14największego repozytorium wolnych i otwartoźródłowych aplikacji dla Androida.
23:19Chciano wymusić na nich, aby dokonali zmian w kodzie swojego projektu,
23:24które mogły wprowadzić bokiem podatność kategorii SQL injection.
23:29Cała sprawa miała miejsce jakieś trzy lata temu i o szczegółach możecie przeczytać na 404media.
23:35Link oczywiście znajdziecie w opisie pod filmem.
23:37Konto Jia wprowadziło jakieś 6 tysięcy zmian na GitHubie do 7 różnych projektów,
23:43więc audyt i nieuchronnie nadciągające po nim sprzątanie tego bałaganu zajmie pewnie długie tygodnie.
23:51Ale co to jest dla pasjonatów?
23:53Powstał już nawet honeypot, który ma nasłuchiwać, czy ktoś próbuje wykorzystać lukę.
23:58Ale błagam, nie rób tego w domu.
24:01A jeżeli jesteś programistą, nie dołączaj do swojego oprogramowania na ślepo zamkniętych bibliotek.
24:07Nigdy nie wiesz, co może siedzieć w ich wnętrzu.
24:10I to już wszystko na dziś.
24:12Tymczasem dziękuję za Waszą uwagę i do zobaczenia!
Browse More Related Video
malicious javascript injected into 100,000 websites
GitHub's Devin Competitor, Sam Altman Talks GPT-5 and AGI, Amazon Q, Rabbit R1 Hacked (AI News)
There Is So Much Here..
¿El nuevo Visual Studio Code? 🔥 ¡ZED, el nuevo editor de código!
Code Interpreter.... but OPEN SOURCE? Open Interpreter's Mike Bird on OS Projects, Mindset + More
Being an Open Source Advocate - Forgive me for getting on my soap box for a few minutes.
5.0 / 5 (0 votes)