Някой почти хакна голяма част от интернет: Доколко е опасно това?

Извън света на софтуера с отворен код вероятно малко хора са чували за XZ Utils, малък, но широко използван инструмент за компресиране на данни в Linux системи. Но в края на миналата седмица експертите по сигурността разкриха сериозен и умишлен пропуск, който може да направи мрежовите Linux компютри податливи на злонамерени атаки.

Оттогава пропускът е потвърден като критичен проблем, който може да позволи на опитен хакер да получи контрол над уязвимите Linux системи. Тъй като Linux се използва по целия свят в имейл и уеб сървъри и платформи за приложения, тази уязвимост може да даде на атакуващия безшумен достъп до жизненоважна информация, съхранявана на компютри по целия свят – потенциално включително устройството, което използвате в момента, за да прочетете това, разказва в статия за The Conversation Сиги Гуд (Sigi Goode), професор по информационни системи, Австралийски национален университет.

Основните софтуерни уязвимости, като хакването на SolarWinds и грешката Heartbleed, не са нищо ново – но това е много различна, смята авторът.

XZ Utils (по-рано LZMA Utils ) е набор от безплатни софтуерни компресори на данни без загуби от командния ред, включително програмите за Unix-подобни операционни системи и, от версия 5.0 нататък, Microsoft Windows.

Опитът за хакване на XZ Utils се възползва от начина, по който често работи разработката на софтуер с отворен код. Подобно на много проекти с отворен код, XZ Utils е важен и широко използван инструмент – и се поддържа до голяма степен от един доброволец, работещ в свободното си време. Тази система създаде огромни ползи за света под формата на безплатен софтуер, но също така носи уникални рискове.

Отворен код и XZ Utils

Първо, кратка информация за софтуера с отворен код. Повечето търговски софтуер, като операционната система Windows или приложението Instagram, е със "затворен код" – което означава, че никой освен неговите създатели не може да чете или променя изходния код. За разлика от тях, при софтуера с "отворен код", изходният код е безплатно достъпен и хората са свободни да правят каквото си искат с него.

Софтуерът с отворен код е много често срещан и е изключително ценен. Едно скорошно проучване оценява общата стойност на софтуера с отворен код, който се използва днес, на 8.8 трилиона щатски долара.

До преди около две години проектът XZ Utils се е поддържл от разработчик на име Ласе Колин. По това време акаунт, използващ името Дзя Тан (Jia Tan), представя подобренията на софтуера.

Не след дълго се появяват някои неизвестни досега акаунти, за да докладват грешки и да изпращат заявки за функции на Колин, оказвайки натиск върху него да наеме помощник в поддържането на проекта. Дзя Тан бе логичният кандидат.

През следващите две години Дзя Тан се ангажира все повече и повече и, както вече знаем, въвежда внимателно скрито оръжие в изходния код на софтуера.

Ревизираният код тайно променя друга част от софтуера, повсеместен инструмент за мрежова сигурност, наречен OpenSSH, така че да предава злонамерен код на целевата система. В резултат на това конкретен нарушител ще може да изпълнява всеки код, който харесва, на целевата машина.

Най-новата версия на XZ Utils, съдържаща задната вратичка, трябваше да бъде включена в популярни дистрибуции на Linux и да бъде разпространена по целия свят. Но той бе уловен точно навреме, когато инженер на Microsoft разследва някои незначителни нередности в паметта на неговата система.

Бърза реакция

Какво означава този инцидент за софтуера с отворен код? Е, въпреки първоначалните изявления, това не означава, че софтуерът с отворен код е несигурен, ненадежден или опасен.

Тъй като целият код е достъпен за обществен контрол, разработчиците по целия свят могат бързо да започнат да анализират задната врата и историята на това как е била внедрена. Тези усилия могат да бъдат документирани, разпространени и споделени, а конкретните фрагменти от зловреден код могат да бъдат идентифицирани и премахнати.

Отговор от такъв мащаб не би бил възможен при софтуер със затворен код.

Нападателят ще трябва да предприеме малко по-различен подход, за да се насочи към инструмент със затворен код, може би като се представи за служител на компания с дълъг стаж и използва слабостите на системата за производство на софтуер със затворен код (като бюрокрация, йерархия, неясно отчитане на линии и слабо споделяне на знания).

Но ако отвори такава задна вратичка в патентован софтуер, няма да има шанс за широкомащабно разпределено одитиране на кода.

Уроци, които трябва да се научат

Този случай е ценна възможност да се разберат слабостите и уязвимостите от различен вид.

Първо, той демонстрира лекотата, с която онлайн отношенията между анонимни потребители и разработчици могат да станат опасни. Всъщност атаката зависи от нормализирането на тези токсични взаимодействия.

Частта на атаката, свързана със социалното инженерство, изглежда е използвала анонимни акаунти на фалшиви профили, за да предизвика чувство за вина и емоционално да принуди водещия поддържащ да приеме незначителни, на пръв поглед безобидни добавки в кода за период от години, притискайки го да отстъпи контрола върху разработката на Дзя Тан.

Когато разработчикът споделя за свои проблеми с психичното здраве, коментатор го обвинява:

"Съжалявам за проблемите ви с психичното здраве, но е важно да сте наясно със собствените си граници."

Поотделно такива коментари може да изглеждат безобидни, но заедно се превръщат в лавина.

@glyph@mastodon.social

Трябва да се помогне на разработчиците и поддържащите да разберат по-добре човешките аспекти на кодирането и социалните взаимоотношения, които влияят, подкрепят или диктуват начина, по който се произвежда разпределеният код. Има много работа за вършене, особено за подобряване на признаването на важността на психичното здраве.

Вторият урок е важността на разпознаването на "обфускацията", процес, често използван от хакерите, за да направят софтуерния код и процеси трудни за разбиране или обратно инженерство. Много университети не преподават това като част от стандартен курс по софтуерно инженерство.

Трето, някои системи може все още да работят с опасните версии на XZ Utils. Много популярни смарт устройства (като хладилници, носими устройства и инструменти за домашна автоматизация) работят на Linux. Тези устройства често достигат възраст, на която вече не е финансово жизнеспособно за техните производители да актуализират софтуера си – което означава, че те не получават корекции за новооткрити дупки в сигурността.

И накрая, който и да стои зад атаката – някои спекулират, че може да е държавен агент – е имал безплатен достъп до различни кодови бази за период от две години, извършвайки внимателна и търпелива измама. Сега този противник дори може да извлече полза от станалото, ще разбере как системните администратори, производителите на дистрибуция на Linux и поддържащите кодова база реагират на атаката.

Накъде от тук нататък?

Поддържащите кодове по целия свят сега мислят за своите уязвимости на стратегическо и тактическо ниво. Те ще се тревожат не само за самия код, но и за механизмите за разпространение на кода и процесите на сглобяване на софтуера.

"Моят колега Дейвид Лейси, който ръководи организацията с нестопанска цел за киберсигурност IDCARE, често ми напомня, че ситуацията, пред която са изправени професионалистите по киберсигурност, е добре формулирана от едно изявление на IRA", споделя авторът на статията проф. Сиги Гуд. "След неуспешния им атентат срещу гранд хотел Брайтън през 1984 г., терористичната организация смразяващо заявява:

"Днес нямахме късмет, но не забравяйте, че трябва да имаме късмет само веднъж. Винаги ще трябва да имате късмет."

Сиги Гуд (Sigi Goode), професор по информационни системи, Австралийски национален университет

Източник: nauka.offnews.bg