Backdoor XZ: Thời gian, thời gian bị nguyền rủa và những trò lừa đảo

 (rheaeve.substack.com)
2 điểm bởi GN⁺ 2024-04-01 | 1 bình luận | Chia sẻ qua WhatsApp

Backdoor XZ: Thời gian, thời gian bị nguyền rủa và những trò lừa đảo

  • Gần đây đã phát hiện một backdoor được giấu trong tarball xz/liblzma.
  • Đây có thể là một trong những vụ vi phạm niềm tin nghiêm trọng nhất trong hệ sinh thái phần mềm tự do.
  • Backdoor được cho là đã được cài vào bởi Jia Tan, người bảo trì lâu năm của xz.
  • Trong thời gian hoạt động với tư cách người bảo trì, Jia vẫn là một nhân vật tương đối bí ẩn và gần như không ai biết nhiều về danh tính thực sự của anh ta.
  • Trong lĩnh vực phần mềm tự do, tính ẩn danh thường được xem là điều tích cực, nhưng trong trường hợp này, thật đáng chú ý khi tìm hiểu người đã xây dựng lòng tin của cộng đồng suốt thời gian dài rồi lạm dụng nó là ai.
  • Có thể tìm hiểu thêm về Jia thông qua metadata có thể thu được từ các hoạt động của anh ta.

Có thể học được gì từ thời gian?

  • Hãy suy nghĩ về các điều kiện mà trong đó phần mềm được tạo ra.
  • Phạm vi những điều mà các mẫu thời gian có thể nói với chúng ta là rất rộng.
  • Trong số những người viết code, có người làm đó như một nghề và cũng có người làm như một sở thích.
  • Cũng có những người viết code vào các thời điểm khác nhau tùy theo khu vực.
  • Ngày nghỉ, lịch ngủ, cân bằng giữa công việc và cuộc sống: việc viết code cũng không nằm ngoài ảnh hưởng của những yếu tố này.
  • Hiểu được khi nào ai đó viết code sẽ giúp hiểu vì sao và ở đâu họ viết code.

Phân tích commit của Jia

  • Tiến hành phân tích các commit và timestamp của JiaT75 trên kho lưu trữ XZ.
  • Timestamp của Git có thể bị thay đổi theo ý muốn, nhưng việc thao túng dữ liệu thời gian sao cho đáng tin thực sự rất khó.
  • Việc chỉ thay đổi múi giờ dễ hơn so với thay đổi thời gian thực.
  • Jia Tan có lẽ muốn mọi người nghĩ rằng mình là người châu Á, đặc biệt là người Trung Quốc, và phần lớn các commit của anh ta (440 commit) mang timestamp UTC+08.
  • Tuy nhiên, thực tế được cho là anh ta đến từ đâu đó trong múi giờ UTC+02 (mùa đông) / UTC+03 (giờ mùa hè).
  • Đôi khi có những lần anh ta quên đổi múi giờ, và điều này trùng khớp với thời điểm chuyển đổi giờ mùa hè ở Đông Âu.
  • Lịch làm việc và ngày nghỉ của Jia dường như phù hợp với người Đông Âu hơn là người Trung Quốc.

Ý kiến của GN⁺

  • Bài viết này đưa ra một trường hợp thú vị về tầm quan trọng của niềm tin và tính ẩn danh trong cộng đồng phát triển phần mềm.
  • Những mối đe dọa bảo mật như backdoor có thể giáng đòn mạnh vào độ tin cậy của các dự án mã nguồn mở, điều này có nghĩa là các nhà phát triển cần chú ý nhiều hơn đến code review và kiểm toán bảo mật.
  • Những sự việc như vậy nhắc nhở các nhà phát triển về tầm quan trọng của commit log và metadata. Xác minh danh tính của những người đóng góp đáng tin cậy có thể là điều thiết yếu để bảo đảm an toàn cho dự án.
  • Các dự án mã nguồn mở khác cung cấp tính năng tương tự gồm có GitLab, GitHub..., và họ đang tăng cường giao thức bảo mật cũng như xác thực người dùng để duy trì niềm tin của cộng đồng.
  • Bài viết này cho thấy việc tìm ra sự cân bằng giữa tính ẩn danh và niềm tin trong cộng đồng công nghệ quan trọng đến mức nào. Người quản lý dự án và người đóng góp cần học từ những sự kiện như thế này và thực hiện các biện pháp để tăng cường tính minh bạch cũng như bảo mật của code.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-04-01
Ý kiến trên Hacker News

  • Tóm tắt bình luận thứ nhất:

    • Người bình luận cho rằng hacker không phải xuất thân từ Đông Âu, và nhắc đến các quốc gia châu Âu cùng khu vực Trung Đông thuộc múi giờ UTC+0200/+0300.
    • Họ chỉ ra rằng nếu đây là một cuộc tấn công mạng được nhà nước hậu thuẫn, bộ phận thực sự viết mã và bộ phận kết nối lên Internet có thể tách biệt, và bên sau có thể đóng vai trò điều chỉnh thời gian để thông tin phát đi khớp với một câu chuyện nhất định.

  • Tóm tắt bình luận thứ hai:

    • Người bình luận nhắc rằng múi giờ GMT+8, cái tên pha trộn với tiếng Trung, và việc kết nối thông qua máy chủ ở Singapore có thể cho thấy danh tính Singapore.
    • Họ cũng nói vẫn có chỗ để nghi ngờ ý kiến cho rằng cái tên nghe giả, vì người Trung Quốc đại lục có thể không hiểu rõ về các cộng đồng người Hoa ở hải ngoại.
    • Họ đề xuất rằng việc phân tích các bài viết khác của Jia Tan có thể giúp phân biệt liệu đó là người Singapore, người Trung Quốc đại lục hay người dùng ngôn ngữ Slav.

  • Tóm tắt bình luận thứ ba:

    • Người bình luận nói rằng vì bản thân đi lại rất nhiều, họ không muốn làm lộ lịch trình di chuyển của mình trên kho lưu trữ công khai, nên đã ánh xạ lệnh gc thành TZ=UTC0 git commit để sử dụng.

  • Tóm tắt bình luận thứ tư:

    • Người bình luận nói rằng bất kể mức độ nghiêm trọng của vụ việc ra sao, họ rất hứng thú với quá trình lần theo và giải mã những bí ẩn diễn ra trên Internet.

  • Tóm tắt bình luận thứ năm:

    • Người bình luận gửi lời động viên tới Jia và nói rằng nếu không thử thì ngay cả cơ hội thành công cũng không có.

  • Tóm tắt bình luận thứ sáu:

    • Người bình luận chỉ ra rằng chênh lệch thời gian giữa hai commit không phải khoảng 9 tiếng mà chỉ vào khoảng 1 tiếng.

  • Tóm tắt bình luận thứ bảy:

    • Người bình luận nói rằng họ cũng là người làm việc vào sáng sớm, đồng thời cho rằng việc hacker hoặc người trẻ làm việc vào buổi chiều hay đêm muộn có vẻ hợp lý hơn.

  • Tóm tắt bình luận thứ tám:

    • Người bình luận đề xuất nên bao gồm cả dấu thời gian của các phản hồi trên mailing list.

  • Tóm tắt bình luận thứ chín:

    • Người bình luận đưa ra giả thuyết rằng có thể là một người Mỹ (hoặc ai đó ở nơi khác) giả làm người Đông Âu trong khi cũng giả làm người Trung Quốc.