Backdoor στο xz-utils >=5.6.0

[GoofyX]

Μωρέ σε αυτή την περίπτωση το by chance ήταν σωτήριο. Αλλά πόσα ακόμη by chance πρέπει να συμβούν για να βρεθούν τρύπες σε άλλο λογισμικό που μπορεί να εμπίπτει σε μια τέτοια περίπτωση; Το όλο σκηνικό δείχνει πολύ καλά μελετημένο σχέδιο που μάλλον εμπλέκονται παραπάνω του ενός άνθρωποι και σχέδιο που εκτελείται μέσα σε μεγάλο χρονικό διάστημα, προκειμένου να κερδίσει ο άλλος την εμπιστοσύνη, κτλ. Δυστυχώς κατά την γνώμη μου υπάρχουν και άλλες παρόμοιες περιπτώσεις που απλά δεν έχουν βγει στον αέρα ακόμη.

Σίγουρα σε λογισμικά που αρχίζουν και είναι βασικά συστατικά του όλου οικοσυστήματος δεν πρέπει να έχουν 1-2 το πολύ maintainers. Πρέπει να εμπλέκονται πολλοί άνθρωποι, ακριβώς λόγω της κρισιμότητας που έχουν αποκτήσει.

[Eruyome(MMXGN)]

Μωρέ σε αυτή την περίπτωση το by chance ήταν σωτήριο. Αλλά πόσα ακόμη by chance πρέπει να συμβούν για να βρεθούν τρύπες σε άλλο λογισμικό που μπορεί να εμπίπτει σε μια τέτοια περίπτωση; Το όλο σκηνικό δείχνει πολύ καλά μελετημένο σχέδιο που μάλλον εμπλέκονται παραπάνω του ενός άνθρωποι και σχέδιο που εκτελείται μέσα σε μεγάλο χρονικό διάστημα, προκειμένου να κερδίσει ο άλλος την εμπιστοσύνη, κτλ. Δυστυχώς κατά την γνώμη μου υπάρχουν και άλλες παρόμοιες περιπτώσεις που απλά δεν έχουν βγει στον αέρα ακόμη.

Σίγουρα σε λογισμικά που αρχίζουν και είναι βασικά συστατικά του όλου οικοσυστήματος δεν πρέπει να έχουν 1-2 το πολύ maintainers. Πρέπει να εμπλέκονται πολλοί άνθρωποι, ακριβώς λόγω της κρισιμότητας που έχουν αποκτήσει.

Καλά όλα αυτά είναι ικασίες προς το παρόν. Μπορεί να είναι απο state actors μέχρι έναν no-lifer τύπο που σχεδίασε και έκανε το όλο πράγμα for the lolz και για να αποδείξει κάτι. Θα το μάθουμε - ίσως - αργότερα.

Σχετικά με το τελευταίο, βρήκα αυτό πολύ ενδιαφέρον:

https://robmensching.com/blog/posts/...urce-projects/

Το burn out είναι πραγματικό, και η ψυχική υγεία πολύ σημαντική, ειδικά σε κοινότητες όπως το opensource που υπάρχουν πάρα πολλοί άσχετοι με το θέμα και entitled τύποι με τοξικές συμπεριφορές.

[GoofyX]

Σχετικά με το τελευταίο, βρήκα αυτό πολύ ενδιαφέρον:

https://robmensching.com/blog/posts/...urce-projects/

Το burn out είναι πραγματικό, και η ψυχική υγεία πολύ σημαντική, ειδικά σε κοινότητες όπως το opensource που υπάρχουν πάρα πολλοί άσχετοι με το θέμα και entitled τύποι με τοξικές συμπεριφορές.

Ναι, τα διάβασα και νωρίτερα αυτά τα μηνύματα. Δυστυχώς μάλλον έτσι είναι σε πολλά projects. Το σκεφτόμουν όταν τα διάβαζα ότι ο Lasse μάλλον παραήταν ευγενικός και απολογητικός χωρίς να χρωστάει τίποτα και ίσως θα έπρεπε να απαντήσει σε κάτι του στυλ «Ρε άει στο δ.....ο μ......α που θα μου πεις εμένα ότι κάνω choke το repository».

[imitheos]

https://www.mail-archive.com/xz-deve.../msg00569.html

Τώρα βέβαια καταλαβαίνουμε ότι τα μηνύματα ήτανε επίτηδες γραμμένα έτσι για να ανοίξουν την πόρτα στον Jian σαν co-maintainer αλλά και τότε ρε παιδί μου πώς δεν τα πήρε κάποιος στο κρανίο και να μιλήσει να προστατέψει τον Lasse; "Καταλαβαίνω ότι έχεις προβλήματα ψυχικής υγείας αλλά η κοινότητα επιθυμεί περισσότερα". Να πάει να γ.θεί η "κοινότητα"

Edit: Όσον αφορά αυτό που είπες ότι δεν μπορεί να υπάρχουν 1 - 2 maintainers σε καίρια projects.

Προ αμνημονεύτων χρόνων (σε dos να φανταστείς), ένα από τα πρώτα "μεγάλα" προγράμματα που είχαμε να γράψουμε σαν άσκηση ήταν ένα zip implementation. Κάπως είχαμε βρει το specification της pkware που περιέγραφε το format και έπρεπε εμείς να το υλοποιήσουμε. Άλλο project που δινόταν σε μαθητευόμενους προγραμματιστές ήταν bmp / pcx / κτλ viewer. Είναι σχετικά μεγάλο project οπότε θα ασχοληθεί με πολλά και επίσης έχει το specification σαν δρόμο για να σε οδηγήσει τί πρέπει να υλοποιήσεις.

Μπορεί μεν το xz να διογκώθηκε και να χρησιμοποιείται παντού (α) είναι το πεδίο τέτοιο της συμπίεσης που έχει χρήσεις παντού, β) παρείχε βιβλιοθήκη (σε αντίθεση πχ με το tar και άλλα εργαλεία που δίνουν μόνο binary) οπότε μπορούσε να ενσωματωθεί σε projects, γ) έδινε πολύ καλύτερη συμπίεση από τα gzip, bzip2 σε χρόνους αντίστοιχους με αυτούς του bzip2, δ) κτλ) αλλά και το xz (αρχικά lzma) ξεκίνησε σαν μία χομπίστικη υλοποίηση του lzma αλγορίθμου (όπως είναι και το lzip). Ένα ακόμη εργαλείο από τα δεκάδες που υπήρχαν (compress, zip, gzip, bzip2, rar, κτλ). Είναι απολύτως λογικό να έχει 1 - 2 devs.

Το σκεφτόμουν όταν τα διάβαζα ότι ο Lasse μάλλον παραήταν ευγενικός και απολογητικός χωρίς να χρωστάει τίποτα και ίσως θα έπρεπε να απαντήσει σε κάτι του στυλ «Ρε άει στο δ.....ο μ......α που θα μου πεις εμένα ότι κάνω choke το repository».

Κάτι σαν αυτό του Linus που είχα ποστάρει παλιά; "Δε μου γ..σαι που θέλεις να γράψω κώδικα με άθλιες χακιές για να τρέχεις εσύ 12G σε 32bit επεξεργαστή επειδή βαριέσαι να αναβαθμίσεις".

[jim_p]

Για φωτηστε με λιγο. Εχω ssh στο συστημα μου τα τελευταια 16+ χρονια και η διανομη μου ενημερωσε το xz-utils στην 5.6.x εδω και ενα μηνα περιπου. Στο pc μου συνδεομαι, πλεον μονο τοπικα, μονο απο το κινητο (juicessh) ή το ταμπλετ (connectbot), αλλα απο αυτο συνδεομαι πχ στο rpi, στο tvbox και στο λαπτοπ (επισης μονο τοπικα), που ολα εχουν παλιοτερη εκδοση xz-utils σιγουρα. Τι κινδυνους διατρεχω?

[K1m0n]

Τι κινδυνους διατρεχω?

1. Το όλο θέμα είναι ακόμα υπο διερεύνηση.

2. Απ'όσο ξέρουμε (και απ'όσο καταλαβαίνω μια ματιά που έριξα..):

Αν το ssh είναι προσβάσιμο από "έξω",
και το backdoor είναι ενεργό,
θα μπορούσε να συνδεθεί κάποιος 3ός (που έχει το κλειδί του backdoor),
και να αποκτήσει πρόσβαση στο σύστημα.

[GoofyX]

https://www.mail-archive.com/xz-deve.../msg00569.html

Τώρα βέβαια καταλαβαίνουμε ότι τα μηνύματα ήτανε επίτηδες γραμμένα έτσι για να ανοίξουν την πόρτα στον Jian σαν co-maintainer αλλά και τότε ρε παιδί μου πώς δεν τα πήρε κάποιος στο κρανίο και να μιλήσει να προστατέψει τον Lasse; "Καταλαβαίνω ότι έχεις προβλήματα ψυχικής υγείας αλλά η κοινότητα επιθυμεί περισσότερα". Να πάει να γ.θεί η "κοινότητα"

Κάτι σαν αυτό του Linus που είχα ποστάρει παλιά; "Δε μου γ..σαι που θέλεις να γράψω κώδικα με άθλιες χακιές για να τρέχεις εσύ 12G σε 32bit επεξεργαστή επειδή βαριέσαι να αναβαθμίσεις".

Δεν είναι το ίδιο. Στον Lasse επιτίθεται ο άλλος κανονικά και του λέει «στα @@ μου ότι έχεις θέματα υγείας, το θέμα είναι να προχωρήσει το repository». Αν ήταν ο Torvalds στη θέση του, θα είχε πάει άπατος ο άλλος.

Εκ των υστέρων μάλλον αυτοί οι επιπλέον δύο που γράφουν είναι αυτός ο Jia, προκειμένου ο Lasse να υποκύψει.

Για φωτηστε με λιγο. Εχω ssh στο συστημα μου τα τελευταια 16+ χρονια και η διανομη μου ενημερωσε το xz-utils στην 5.6.x εδω και ενα μηνα περιπου. Στο pc μου συνδεομαι, πλεον μονο τοπικα, μονο απο το κινητο (juicessh) ή το ταμπλετ (connectbot), αλλα απο αυτο συνδεομαι πχ στο rpi, στο tvbox και στο λαπτοπ (επισης μονο τοπικα), που ολα εχουν παλιοτερη εκδοση xz-utils σιγουρα. Τι κινδυνους διατρεχω?

Αν αυτό δεν έχει πρόσβαση από τον έξω κόσμο, από αυτά που κατάλαβα, μάλλον είσαι οκ. Αλλά αναβάθμισε όπως και να 'χει, αν μπορείς.

[jim_p]

@K1m0n + GoofyX
Αυτο καταλαβαινω και εγω, οτι ειμαι οκ, οποτε τωρα θα κοιμαμαι ησυχος τα βραδια. Το πακετο εγινε downgrade στην 5.4.5 απο day1.

[imitheos]

@K1m0n + GoofyX
Αυτο καταλαβαινω και εγω, οτι ειμαι οκ, οποτε τωρα θα κοιμαμαι ησυχος τα βραδια. Το πακετο εγινε downgrade στην 5.4.5 απο day1.

Πέρα από την συγκεκριμένη περίπτωση του backdoor, αν μπορείς να κάνεις τον sshd να ακούει μόνο στο interface του τοπικού δικτύου ή να επιτρέπεται η πρόσβαση μέσω fw μόνο στο τοπικό δίκτυο (και σε όλους τους δικτυακούς δαίμονες βασικά) είναι καλό. Επίσης αν οι clients που χρησιμοποιείς στο κινητό, και γενικά, επιτρέπουν να επιλέγεις θύρα σύνδεσης, τότε και η αλλαγή θύρας είναι καλό μέτρο.

- - - Updated - - -

Εντωμεταξύ, ρε παιδί μου, αμάν αυτή η μανία να πατσαρίζονται όλα τα πακέτα με 500 patches που ο packager θεωρεί σωστά. Άλλο ένα επιχείρημα υπέρ των arch, gentoo, slackware που βάζουν όσο το δυνατόν ελάχιστα patches.

Κώδικας:

===================================================================
--- openssh-8.8p1.orig/sshd.c
+++ openssh-8.8p1/sshd.c
@@ -308,6 +312,10 @@ sighup_handler(int sig)
 static void
 sighup_restart(void)
 {
+#ifdef HAVE_SYSTEMD
+	/* Signal systemd that we are reloading */
+	sd_notify(0, "RELOADING=1");
+#endif
 	logit("Received SIGHUP; restarting.");
 	if (options.pid_file != NULL)
 		unlink(options.pid_file);
@@ -2076,6 +2084,11 @@ main(int ac, char **av)
 			}
 		}
 
+#ifdef HAVE_SYSTEMD
+		/* Signal systemd that we are ready to accept connections */
+		sd_notify(0, "READY=1");
+#endif
+
 		/* Accept a connection and return in a forked child */
 		server_accept_loop(&sock_in, &sock_out,
 		    &newsock, config_s);

Αυτός είναι ο κύριος κώδικας του patch που χρησιμοποιεί το opensuse (και η fedora και ίσως άλλες διανομές). 2 γραμμές κώδικα για να υπάρχει καλύτερη ενσωμάτωση του sshd με τον systemd. Αυτό όμως φέρνει ως εξάρτηση την libsystemd (και, λόγω των 700 πραγμάτων που κάνει ο systemd, κατά συνέπεια την liblzma). Μετά είναι που "ο systemd είναι modular και έχει πολλά binaries και δεν τρέχουν όλα ως pid 1 και παπαριές".

Χωρίς το παραπάνω, θα υπήρχε μεν το πρόβλημα στην liblzma αλλά δεν θα ήταν exploitable ο sshd (αν υπάρχει exploit για άλλα binaries, εκείνα θα παρέμεναν exploitable).

[johnmayson2]

Στους δισκους που εχω εβαλα το magician και εκανε update το filmware στους 2. Υπαρχει περιπτωση αυτο το backdoor να περασε απο το δισκο του linux στους δισκους των win??Στη μητρικη να βαλω το bios beta η οχι;;Χρειαζεται να κανω κατι αλλο;;

[GoofyX]

Στους δισκους που εχω εβαλα το magician και εκανε update το filmware στους 2. Υπαρχει περιπτωση αυτο το backdoor να περασε απο το δισκο του linux στους δισκους των win??Στη μητρικη να βαλω το bios beta η οχι;;Χρειαζεται να κανω κατι αλλο;;

Μάλλον πανικοβάλλεσαι χωρίς ουσιαστικό λόγο. Για τους δίσκους δεν παίζει τίποτα. Επίσης για τη μητρική, το συγκεκριμένο backdoor δε νομίζω να έκανε κάτι, αλλιώς κάτι θα είχανε βρει μέχρι τώρα, αφορά Linux συστήματα.

Δεν χρειάζεται να κάνεις κάτι άλλο κατά τη γνώμη μου.

[NicM1]

[SWBiiLive]

Μάλλον πανικοβάλλεσαι χωρίς ουσιαστικό λόγο. Για τους δίσκους δεν παίζει τίποτα. Επίσης για τη μητρική, το συγκεκριμένο backdoor δε νομίζω να έκανε κάτι, αλλιώς κάτι θα είχανε βρει μέχρι τώρα, αφορά Linux συστήματα.

Δεν χρειάζεται να κάνεις κάτι άλλο κατά τη γνώμη μου.

δεν πανικοβαλεται χωρις λογο ...


H XZ ΔΗΜΙΟΥΡΓΕΙ BACKDOOR DRIVER ΜΕ ΧΡΗΣΗ ΚΩΔΙΚΑ RC4 ΚΡΥΠΤΟΓΡΑΦΙΑΣ, ΓΙΑΤΙ ΑΡΑΓΕ?

εδω ολο το decrypt της 5.6.1 εκδοσης που καταλήγουν τα sed, eval & τα regex σε ...

https://gynvael.coldwind.pl/?id=782

"
6. And then bytes from N (0) to W (~86KB) are being carved out using the same usual head tricks, and saved as liblzma_la-crc64-fast.o – which is the final binary backdoor.

Κώδικας:

((head -c +$N > /dev/null 2>&1) && head -c +$W) > liblzma_la-crc64-fast.o

"

ΑΠΟΨΗ ΜΟΥ ΠΑΝΤΑ ...

για το προβλημα οτι ειχε μεινει με 2 dev αυτη η πολυ σημαντικη βιβλιοθηκη φταινε 100% οι ΚΑΘΗΓΗΤΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ!

Τι ηταν ο TANENBAUM ? καθηγητης
Τι ηταν ο Linus οταν ξεκινησε το Linux? Φοιτητης
Τι ειναι το Debian? Του Πανεπιστημιου του Ορεγκον
Απο που βγαινουν οι Στρατιες των Linux-αδων ? Απο τα Πανεπιστημια

ΚΑΙ ΠΟΙΟΣ ΘΥΣΑΥΡΙΖΕΙ ΑΠΟ ΤΙΣ ΠΤΥΧΙΑΚΕΣ ΤΩΝ ΦΟΙΤΗΤΩΝ ΠΟΥ ΓΙΝΟΝΤΑΙ ΒΙΒΛΙΑ ή ΠΩΛΙΟΥΝΤΑΙ ΣΤΙΣ ΕΤΑΙΡΕΊΕΣ ΩΣ PROJECTS ή ΠΙΑΝΟΥΝ ΘΕΣΕΙΣ CEO/ΣΥΜΒΟΥΛΩΝ ΣΕ ΕΤΑΙΡΕΙΕΣ ΔΙΣΕΚΑΤΟΜΜΥΡΙΩΝ?


ΤΟ ΠΡΟΒΛΗΜΑ TOY LINUX ΠΟΥ ΛΕΓΕΤΑΙ ΚΑΘΗΓΗΤΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΘΑ ΕΠΡΕΠΕ ΗΔΗ ΝΑ ΕΙΧΑΝ ΜΟΙΡΑΣΕΙ ΤΑ ΠΡΟJECTS ΣΕ ... ΠΕΔΙΑ ΕΥΘΥΝΗΣ


αν θελουν να συνεχισουν να μιλανε για open source community θα πρεπει να αλλαξουν νοοτροπια!

ότι αλλο ειπωθει για το linux θα ειναι παραπετασμα καπνου απο τους ιδιους που κανουν δουλιτσες με τις εταιρείες εκμεταλευομενοι την δουλεια των φοιτητων για να βγαζουν λεφτα. Ακριβως τα ιδια και χειροτερα κανει η google με το android που ουτε καν ενα σοβαρο antivirus συστημα δεν εχει δημιουργησει για το play store (για να μην αρχισω παλι τα frankestein αγαπη μου ).

όταν βγαζουν εκατομμυρια ειναι καλα, οταν ειναι να κανουν σωστα την δουλεια τους ολοι αυτοι οι εκμεταλευτες θυμουνται το ... COMMUNITY δηλαδη ... τα ΚΟΡΟΙΔΑ!!!

ΣΙΓΑ ΜΗΝ ΦΤΑΙΕΙ Ο ΚΥΡΙΟΣ DEV ΕΠΕΙΔΗ ΔΕΝ ΜΠΟΡΕΙ ΝΑ ΑΣΧΟΛΗΘΕΙ ΜΕ ΤΟ PROJECT TOY

ξερει κανείς αν δεν του ειχαν βαλει και κανενα στον κροταφο?

[MyISLM]

το χω κανει unistall απο παρασκευη πρωι

Δεν έχω τιποτα με το να μην το χρησιμοποιείς. Ολοι δεν κοιμούνται το ίδιο ήσυχα ακούγοντας κακά μαντάτα (για αδυναμίες στο ανοιχτό λογισμικό) όταν υπάρχει η επιλογή να μη χρειαζεται να μαθαίνουν (χρησιμοποιόντας Windows). Κατά αυτή την έννοια η άγνοια είναι ξεγνοιασιά

Όταν χρησιμοποιούν τόσα μάτια τον κώδικα και έχουν πρόσβαση σε αυτόν το να βρείς κάτι τυχαία γίνεται σημαντικά πιθανό. Επίσης πολύ ενδιαφέρον οτι το backdoor ήταν μοιρασμένο στον κώδικα και στα tarballs των releases

Πέραν των άλλων γι αυτό προτιμώ το ανοικτό λογισμικό.

Φυσικα και ηταν μοιρασμένο. Αμα το release tag το εκανες compile απο τον κώδικα έπρεπε να υπάρχει resiliency.

[jim_p]

Αν καποιος κανει ενα καινουριο ssh key στο σερβερ του, δεν ειναι προστατευμενος απο ολο αυτο?