Някой почти хакна голяма част от интернет: Доколко е опасно това?
Извън света на софтуера с отворен код евентуално малко хора са чували за XZ Utils, дребен, само че необятно употребен инструмент за компресиране на данни в Linux системи. Но специалистите по сигурността разкриха сериозен и тенденциозен пропуск, който може да направи мрежовите Linux компютри податливи на злонамерени офанзиви.
Оттогава пропускът е доказан като сериозен проблем, който може да разреши на умел хакер да получи надзор над уязвимите Linux системи. Тъй като Linux се употребява по целия свят в имейл и уеб сървъри и платформи за приложения, тази накърнимост може да даде на атакуващия беззвучен достъп до жизненоважна информация, съхранявана на компютри по целия свят – евентуално в това число устройството, което употребявате сега, с цел да прочетете това, споделя в (Sigi Goode), професор по осведомителни системи, Австралийски народен университет.
Основните софтуерни уязвимости, като и, не са нищо ново – само че това е доста друга, счита създателят.
XZ Utils (по-рано LZMA Utils ) е набор от безвъзмездни софтуерни компресори на данни без загуби от командния ред, в това число стратегиите за Unix-подобни операционни системи и, от версия 5.0 нататък, Microsoft Windows.
Опитът за хакване на XZ Utils се възползва от метода, по който постоянно работи създаването на програмен продукт с отворен код. Подобно на доста планове с отворен код, XZ Utils е значим и необятно употребен инструмент – и се поддържа значително от един доброволец, работещ в свободното си време. Тази система сътвори големи изгоди за света под формата на безвъзмезден програмен продукт, само че също по този начин носи неповторими опасности.
Отворен код и XZ Utils
Първо, къса информация за софтуера с отворен код. Повечето търговски програмен продукт, като операционната система Windows или приложението Instagram, е със " затворен код " – което значи, че никой с изключение на неговите основатели не може да чете или трансформира изходния код. За разлика от тях, при софтуера с " отворен код ", изходният код е гратис наличен и хората са свободни да вършат каквото си желаят с него.
Софтуерът с отворен код е доста постоянно срещан и е извънредно скъп. Едно прави оценка общата стойност на софтуера с отворен код, който се употребява през днешния ден, на 8.8 трилиона щатски $.
До преди към две години планът XZ Utils се е поддържл от разработчик на име Ласе Колин. акаунт, употребяващ името Дзя Тан (Jia Tan), показва подобренията на софтуера.
Не след дълго се появяват някои незнайни до момента сметки, с цел да рапортуват неточности и да изпращат поръчки за функционалности на Колин, оказвайки напън върху него да наеме асистент в поддържането на плана. Дзя Тан бе разумният претендент.
Дзя Тан се ангажира от ден на ден и повече и, както към този момент знаем, вкарва деликатно прикрито оръжие в изходния код на софтуера.
Ревизираният код скрито трансформира друга част от софтуера, всеобщ инструмент за мрежова сигурност, наименуван OpenSSH, тъй че да предава злоумишлен код на целевата система. В резултат на това съответен извършител ще може да извършва всеки код, който харесва, на целевата машина.
Най-новата версия на XZ Utils, съдържаща задната малка врата, трябваше да бъде включена в известни дистрибуции на Linux и да бъде публикувана по целия свят. Но той бе уловен тъкмо в точния момент, когато инженер на Microsoft проверява някои незначителни нередности в паметта на неговата система.
Бърза реакция
Какво значи този случай за софтуера с отворен код? Е, макар първичните изказвания, това не значи, че софтуерът с отворен код е нерешителен, обезсърчителен или рисков.
Тъй като целият код е наличен за публичен надзор, разработчиците по целия свят могат бързо да стартират да проучват задната врата и историята на това по какъв начин е била внедрена. Тези старания могат да бъдат документирани, публикувани и споделени, а съответните фрагменти от злотворен код могат да бъдат разпознати и отстранени.
Отговор от подобен мащаб не би бил вероятен при програмен продукт със затворен код .
Нападателят ще би трябвало да предприеме малко по-различен метод, с цел да се насочи към инструмент със затворен код, може би като се показа за чиновник на компания с дълъг стаж и употребява слабостите на системата за произвеждане на програмен продукт със затворен код (като администрация, подчиненост, неразбираемо отчитане на линии и едва шерване на знания).
Но в случай че отвори такава задна малка врата в патентован програмен продукт, няма да има късмет за широкомащабно разпределено одитиране на кода.
Уроци, които би трябвало да се научат
Този случай е скъпа опция да се схванат слабостите и уязвимостите от друг тип.
Първо, той показва лекотата, с която онлайн връзките сред анонимни консуматори и разработчици могат да станат рискови. Всъщност офанзивата зависи от нормализирането на тези токсични взаимоотношения.
Частта на офанзивата, обвързвана със общественото инженерство, наподобява е употребила анонимни сметки на подправени профили, с цел да провокира възприятие за виновност и прочувствено да принуди водещия поддържащ да одобри незначителни, на пръв взор безобидни добавки в кода за интервал от години, притискайки го да отстъпи контрола върху създаването на Дзя Тан.
Когато разработчикът, коментатор го упреква:
" Съжалявам за проблемите ви с психологичното здраве, само че е значимо да сте наясно със личните си граници. "
Поотделно такива мнения може да наподобяват безобидни, само че дружно се трансформират в лавина.
@[email protected]
Трябва да се помогне на разработчиците и поддържащите да схванат по-добре човешките аспекти на кодирането и обществените взаимоотношения , които въздействат, поддържат или диктуват метода, по който се създава разпределеният код. Има доста работа за извършване, изключително за възстановяване на признаването на значимостта на психологичното здраве.
Вторият урок е значимостта на разпознаването на " обфускацията " , развой, постоянно употребен от хакерите, с цел да създадат софтуерния код и процеси сложни за схващане или назад инженерство. Много университети не преподават това като част от общоприет курс по софтуерно инженерство.
Трето, някои системи може към момента да работят с рисковите версии на XZ Utils . Много известни смарт устройства (като хладилници, носими устройства и принадлежности за домашна автоматизация) работят на Linux. Тези устройства постоянно доближават възраст, на която към този момент не е финансово жизнеспособно за техните производители да актуализират софтуера си – което значи, че те не получават корекции за новооткрити дупки в сигурността.
И най-после, който и да стои зад офанзивата – някои спекулират, – е имал безвъзмезден достъп до разнообразни кодови бази за интервал от две години, извършвайки деликатна и търпелива машинация. Сега този съперник даже може да извлече изгода от станалото , ще разбере по какъв начин систематичните админи, производителите на дистрибуция на Linux и поддържащите кодова база реагират на офанзивата.
Накъде от тук нататък?
Поддържащите кодове по целия свят в този момент мислят за своите уязвимости на стратегическо и тактическо равнище. Те ще се тревожат освен за самия код, само че и за механизмите за разпространяване на кода и процесите на сглобяване на софтуера.
" Моят сътрудник Дейвид Лейси, който управлява организацията с нестопанска цел за киберсигурност, постоянно ми припомня, че обстановката, пред която са изправени експертите по киберсигурност, е добре дефинирана от едно изказване на IRA ", споделя създателят на публикацията проф. Сиги Гуд. " След несполучливия им атентат против гранд хотел Брайтън през 1984 година, терористичната организация смразяващо:
" Днес нямахме шанс, само че не забравяйте, че би трябвало да имаме шанс единствено един път. Винаги ще би трябвало да имате шанс. "
(Sigi Goode), професор по осведомителни системи,
Източник:
Оттогава пропускът е доказан като сериозен проблем, който може да разреши на умел хакер да получи надзор над уязвимите Linux системи. Тъй като Linux се употребява по целия свят в имейл и уеб сървъри и платформи за приложения, тази накърнимост може да даде на атакуващия беззвучен достъп до жизненоважна информация, съхранявана на компютри по целия свят – евентуално в това число устройството, което употребявате сега, с цел да прочетете това, споделя в (Sigi Goode), професор по осведомителни системи, Австралийски народен университет.
Основните софтуерни уязвимости, като и, не са нищо ново – само че това е доста друга, счита създателят.
XZ Utils (по-рано LZMA Utils ) е набор от безвъзмездни софтуерни компресори на данни без загуби от командния ред, в това число стратегиите за Unix-подобни операционни системи и, от версия 5.0 нататък, Microsoft Windows.
Опитът за хакване на XZ Utils се възползва от метода, по който постоянно работи създаването на програмен продукт с отворен код. Подобно на доста планове с отворен код, XZ Utils е значим и необятно употребен инструмент – и се поддържа значително от един доброволец, работещ в свободното си време. Тази система сътвори големи изгоди за света под формата на безвъзмезден програмен продукт, само че също по този начин носи неповторими опасности.
Отворен код и XZ Utils
Първо, къса информация за софтуера с отворен код. Повечето търговски програмен продукт, като операционната система Windows или приложението Instagram, е със " затворен код " – което значи, че никой с изключение на неговите основатели не може да чете или трансформира изходния код. За разлика от тях, при софтуера с " отворен код ", изходният код е гратис наличен и хората са свободни да вършат каквото си желаят с него.
Софтуерът с отворен код е доста постоянно срещан и е извънредно скъп. Едно прави оценка общата стойност на софтуера с отворен код, който се употребява през днешния ден, на 8.8 трилиона щатски $.
До преди към две години планът XZ Utils се е поддържл от разработчик на име Ласе Колин. акаунт, употребяващ името Дзя Тан (Jia Tan), показва подобренията на софтуера.
Не след дълго се появяват някои незнайни до момента сметки, с цел да рапортуват неточности и да изпращат поръчки за функционалности на Колин, оказвайки напън върху него да наеме асистент в поддържането на плана. Дзя Тан бе разумният претендент.
Дзя Тан се ангажира от ден на ден и повече и, както към този момент знаем, вкарва деликатно прикрито оръжие в изходния код на софтуера.
Ревизираният код скрито трансформира друга част от софтуера, всеобщ инструмент за мрежова сигурност, наименуван OpenSSH, тъй че да предава злоумишлен код на целевата система. В резултат на това съответен извършител ще може да извършва всеки код, който харесва, на целевата машина.
Най-новата версия на XZ Utils, съдържаща задната малка врата, трябваше да бъде включена в известни дистрибуции на Linux и да бъде публикувана по целия свят. Но той бе уловен тъкмо в точния момент, когато инженер на Microsoft проверява някои незначителни нередности в паметта на неговата система.
Бърза реакция
Какво значи този случай за софтуера с отворен код? Е, макар първичните изказвания, това не значи, че софтуерът с отворен код е нерешителен, обезсърчителен или рисков.
Тъй като целият код е наличен за публичен надзор, разработчиците по целия свят могат бързо да стартират да проучват задната врата и историята на това по какъв начин е била внедрена. Тези старания могат да бъдат документирани, публикувани и споделени, а съответните фрагменти от злотворен код могат да бъдат разпознати и отстранени.
Отговор от подобен мащаб не би бил вероятен при програмен продукт със затворен код .
Нападателят ще би трябвало да предприеме малко по-различен метод, с цел да се насочи към инструмент със затворен код, може би като се показа за чиновник на компания с дълъг стаж и употребява слабостите на системата за произвеждане на програмен продукт със затворен код (като администрация, подчиненост, неразбираемо отчитане на линии и едва шерване на знания).
Но в случай че отвори такава задна малка врата в патентован програмен продукт, няма да има късмет за широкомащабно разпределено одитиране на кода.
Уроци, които би трябвало да се научат
Този случай е скъпа опция да се схванат слабостите и уязвимостите от друг тип.
Първо, той показва лекотата, с която онлайн връзките сред анонимни консуматори и разработчици могат да станат рискови. Всъщност офанзивата зависи от нормализирането на тези токсични взаимоотношения.
Частта на офанзивата, обвързвана със общественото инженерство, наподобява е употребила анонимни сметки на подправени профили, с цел да провокира възприятие за виновност и прочувствено да принуди водещия поддържащ да одобри незначителни, на пръв взор безобидни добавки в кода за интервал от години, притискайки го да отстъпи контрола върху създаването на Дзя Тан.
Когато разработчикът, коментатор го упреква:
" Съжалявам за проблемите ви с психологичното здраве, само че е значимо да сте наясно със личните си граници. "
Поотделно такива мнения може да наподобяват безобидни, само че дружно се трансформират в лавина.
@[email protected]
Трябва да се помогне на разработчиците и поддържащите да схванат по-добре човешките аспекти на кодирането и обществените взаимоотношения , които въздействат, поддържат или диктуват метода, по който се създава разпределеният код. Има доста работа за извършване, изключително за възстановяване на признаването на значимостта на психологичното здраве.
Вторият урок е значимостта на разпознаването на " обфускацията " , развой, постоянно употребен от хакерите, с цел да създадат софтуерния код и процеси сложни за схващане или назад инженерство. Много университети не преподават това като част от общоприет курс по софтуерно инженерство.
Трето, някои системи може към момента да работят с рисковите версии на XZ Utils . Много известни смарт устройства (като хладилници, носими устройства и принадлежности за домашна автоматизация) работят на Linux. Тези устройства постоянно доближават възраст, на която към този момент не е финансово жизнеспособно за техните производители да актуализират софтуера си – което значи, че те не получават корекции за новооткрити дупки в сигурността.
И най-после, който и да стои зад офанзивата – някои спекулират, – е имал безвъзмезден достъп до разнообразни кодови бази за интервал от две години, извършвайки деликатна и търпелива машинация. Сега този съперник даже може да извлече изгода от станалото , ще разбере по какъв начин систематичните админи, производителите на дистрибуция на Linux и поддържащите кодова база реагират на офанзивата.
Накъде от тук нататък?
Поддържащите кодове по целия свят в този момент мислят за своите уязвимости на стратегическо и тактическо равнище. Те ще се тревожат освен за самия код, само че и за механизмите за разпространяване на кода и процесите на сглобяване на софтуера.
" Моят сътрудник Дейвид Лейси, който управлява организацията с нестопанска цел за киберсигурност, постоянно ми припомня, че обстановката, пред която са изправени експертите по киберсигурност, е добре дефинирана от едно изказване на IRA ", споделя създателят на публикацията проф. Сиги Гуд. " След несполучливия им атентат против гранд хотел Брайтън през 1984 година, терористичната организация смразяващо:
" Днес нямахме шанс, само че не забравяйте, че би трябвало да имаме шанс единствено един път. Винаги ще би трябвало да имате шанс. "
(Sigi Goode), професор по осведомителни системи,
Източник:
Източник: novinite.bg
КОМЕНТАРИ