Этот бэкдор практически повсеместно заразил Linux: XZ Utils - это серьезный вызов

Впервые сопровождающий открытого исходного кода поместил вредоносное ПО в ключевую утилиту Linux. Мы пока не знаем, кто и почему, но вот что вы можете с этим сделать.

Всё началось с того, что Андресу Фройнду, главному инженеру-программисту Microsoft, стало интересно, почему код удалённой защиты SSH в бета-версии Debian Linux работает медленно. Фройнд немного покопался и обнаружил проблему: главный программист и сопровождающий библиотеки сжатия данных xz, Цзя Тань, установил в коде бэкдор. Его цель? Чтобы злоумышленники могли захватывать системы Linux.

В последнее время вредоносные хакеры стали слишком часто вставлять некачественный код в программное обеспечение. Некоторые репозитории с открытым исходным кодом, такие как популярный менеджер пакетов JavaScript Node Package Manager (npm) и не менее популярный репозиторий Python Python Package Index (PyPI), стали печально известны тем, что в них размещаются вредоносные программы для майнинга криптовалют и взлома.

Существуют также вредоносные программы с открытым исходным кодом, такие как SapphireStealer, которые стремятся украсть идентификаторы пользователей, пароли и другие секреты. Хотя в Linux и тесно связанных с ним утилитах было написано немало плохого кода, никому еще не удавалось успешно спрятать в них вредоносное ПО - до сих пор.

Пока вы не слишком обрадовались, обратите внимание вот на что: Поврежденный xz-код не появлялся ни в одном из рабочих дистрибутивов Linux. Если вы работали с Fedora, Debian, openSUSE, Ubuntu или другими новейшими бета-дистрибутивами, вам есть о чем беспокоиться. В противном случае все должно быть понятно.

Но не стоит заблуждаться: Linux уклонился от пули. Если бы это коснулось систем Linux, которые мы все используем каждый день - независимо от того, знаете вы об этом или нет, - мы бы сильно пострадали.

По иронии судьбы, в то время как люди используют эту историю с xz как повод для того, чтобы поносить открытый исходный код, правда заключается в том, что атака провалилась именно благодаря открытому исходному коду. Как отметил Марк Этвуд, главный инженер программного офиса открытого кода Amazon: "Атака провалилась, потому что она была с открытым исходным кодом. В случае с не открытым исходным кодом атака проходит так: злоумышленник тратит два года на то, чтобы нанять агента у контрактного поставщика, разрабатывающего ПО, проникает в систему, [и] никто об этом не узнает".

Как он может так говорить? Потому что это правда. Например, мы до сих пор не знаем, как именно Microsoft позволила китайской хакерской группе взломать Microsoft Online Exchange в прошлом году. Благодаря Фройнду мы многое знаем о том, как был осуществлен взлом xz. Как отметил Димитри Стилиадис, технический директор и соучредитель Endor Labs, "нам повезло, что атака произошла на программное обеспечение с открытым исходным кодом, которое каждый может посмотреть и понять. Если бы та же атака была совершена на компонент с закрытым исходным кодом, как бы мы узнали об этом?"

Аминь.

Пока мы не знаем, кто стоит за атакой - и почему. Есть много предположений, что это была другая китайская хакерская группа; но в конце концов нам остается только строить догадки.

Например, вместо международной политики за вредоносным ПО могла стоять особо продуманная попытка внедрить майнеры криптовалют в мощные Linux-системы. Учитывая текущую стоимость биткоина, которая колеблется в районе 65 000 долларов за монету, жадность - вполне правдоподобный мотив.

Мы точно знаем, что тот, кто скрывается за именем Цзя Тан, потратил много времени и усилий на установку вредоносного ПО. Тан начал свою темную работу в 2021 году. С помощью нескольких "сток-марионеток" он или она постепенно взял под контроль проект xz. Затем Тан и его коллеги начали добиваться того, чтобы новая программа, зараженная бэкдором, была быстро внедрена в дистрибутивы Linux.

Именно в этот момент Фройнд, копаясь в коде, раскрыл заговор. Сегодня Лассе Коллин, первоначальный сопровождающий XZ, вернул контроль над проектом и занимается чисткой кода.

Также высказывались предположения, что Тан и компания уже поместили вредоносное ПО в ранние версии xz. Судя по всему, на это нет никаких оснований.

Другие опасаются, что xz был лишь вершиной айсберга и что в Linux скрывается множество других вредоносных программ с открытым исходным кодом. Но, как заметил Эрик С. Реймонд, соучредитель проекта open-source, "разумно и осторожно полагать, что для любого обнаруженного эксплойта должно существовать большое количество необнаруженных. Но на самом деле мы этого не знаем, и даже если бы это было правдой, это не привело бы к практическим рекомендациям".

Итак, что же мы можем сделать? Многое!

Еще до обнаружения вредоносной программы, оснащенной дверью-ловушкой, Open Source Security Foundation (OpenSSF) предложила нам принять политику безопасного и ответственного использования ПО с открытым исходным кодом.

После этого Дэн Лоренк (Dan Lorenc), соучредитель и генеральный директор компании Chainguard, занимающейся поставками ПО с открытым исходным кодом, предложил задуматься о пробелах, которые выявила эта атака, и создать более глубокую защиту по всей цепочке поставок ПО с открытым исходным кодом: "Постоянные угрозы никуда не денутся, и мы не сможем волшебным образом остановить их, но мы можем продолжать повышать планку и делать их более сложными".

Лоренк прав. Он также сказал: "Нам невероятно повезло".

Открытый исходный код, по своей природе, потенциально более безопасен, чем проприетарные методы. Но он будет более безопасным только в том случае, если мы внимательно посмотрим на используемый нами код и убедимся, что он действительно безопасен. Идея о том, что код безопасен только потому, что он открыт, - это магическое мышление в худшем его проявлении. Желание не сделает open-source или Linux безопасным; только упорная работа сделает это.