בעולם אבטחת הסייבר, החשיפה האחרונה של דלת אחורית שכמעט מתמזגת לתוך ה-xz Utils שנמצא בכל מקום, כלי דחיסת נתונים בשימוש נרחב במערכות דומות לינוקס ויוניקס, שלחה גלי הלם בקהילת הטכנולוגיה. ההשלכות העלולות להיות קטסטרופליות של אירוע כמעט החמצה הזה מדגישות את החשיבות של ערנות ושקיפות בפיתוח תוכנה בקוד פתוח.
מה זה xz Utils?
xz Utils הוא קבוצה של כלי עזר לדחיסת נתונים בקוד פתוח המיועדים למערכות הפעלה דמויות Unix, במיוחד לינוקס. הוא מספק דחיסה ללא אובדן, כלומר ניתן לדחוס ולשחרר את הנתונים ללא כל אובדן מידע.
בבסיסו, xz Utils סובב בעיקר סביב פורמט xz, הידוע ביחס הדחיסה הגבוה שלו ובשימוש יעיל במשאבי המערכת. הוא משמש בדרך כלל לדחיסת קבצים גדולים או ארכיונים, מה שהופך אותו לכלי חיוני להפצת תוכנה, גיבויי מערכת ואחסון נתונים.
בנוסף לפורמט xz, xz Utils תומך גם בפורמט .lzma מדור קודם, שהיה קודמו. תאימות לאחור זו מבטיחה שמערכות ותוכנות ישנות יותר עדיין יכולות לקיים אינטראקציה עם קבצים דחוסים באמצעות xz Utils.
בסך הכל, xz Utils הוא מרכיב חיוני במערכות דמויות Unix, המספק יכולות דחיסת נתונים יעילות ואמינות החיוניות למשימות מחשוב שונות כגון שירותי SSH (Secure Shell).
מה זה SSH?
SSH, ראשי תיבות של Secure Shell, הוא פרוטוקול רשת קריפטוגרפי המשמש לתקשורת מאובטחת על גבי רשת לא מאובטחת. זה מאפשר למשתמשים לגשת ולנהל בצורה מאובטחת מערכות והתקנים מרוחקים דרך רשת, כגון האינטרנט. SSH מספק אלטרנטיבה מאובטחת לפרוטוקולים מסורתיים כמו Telnet, המשדרים נתונים בטקסט רגיל, מה שהופך אותם לרגישים לירוט וגישה לא מורשית.
להלן כמה תכונות ופונקציות מפתח של SSH:
גישה מאובטחת מרחוק: SSH מאפשר למשתמשים להיכנס למערכות מרוחקות בצורה מאובטחת ולבצע מרחוק פקודות במערכות אלו. זה משמש בדרך כלל על ידי מנהלי מערכת לניהול שרתים והתקני רשת.
הצפנת מידע: SSH מצפין את כל הנתונים המועברים בין הלקוח לשרת, כולל שמות משתמש, סיסמאות ופקודות, באמצעות אלגוריתמים קריפטוגרפיים. זה מבטיח שמידע רגיש יישאר חסוי ולא ניתן ליירט על ידי תוקפים.
אימות: SSH תומך בשיטות אימות שונות, כולל אימות מבוסס סיסמה, אימות מפתח ציבורי ואימות אינטראקטיבי במקלדת. אימות מפתח ציבורי נחשב למאובטח יותר ולעתים קרובות הוא מועדף עבור תהליכים אוטומטיים וגישה מאובטחת ללא צורך בסיסמאות.
העברת נמל: SSH תומך בהעברת יציאות, המאפשר למשתמשים לבצע מנהור מאובטח של חיבורי רשת בין מערכות מקומיות ומרוחקות. תכונה זו שימושית לגישה לשירותים הפועלים במערכות מרוחקות בצורה מאובטחת או לעקוף מגבלות חומת אש.
העברת קבצים מאובטחת: SSH כולל כלי שירות כגון SCP (עותק מאובטח) ו-SFTP (פרוטוקול העברת קבצים SSH) להעברת קבצים מאובטחת בין מערכות. כלי עזר אלה מצפינים העברות קבצים ומספקים אימות כדי להבטיח שלמות נתונים וסודיות.
SSH הוא כלי קריטי לגישה מאובטחת ולניהול מערכות מרוחקות, מתן הצפנה, אימות ותכונות אבטחה אחרות כדי להגן על מידע רגיש ולהבטיח תקשורת מאובטחת ברשתות.
חשיפת הדלת האחורית של xz Utils
גילוי הדלת האחורית היה לא פחות ממכת מזל, שהובא לידי ביטוי על ידי אנדרס פרוינד, מפתח שעובד על הצעות PostgreSQL של מיקרוסופט. בזמן פתרון בעיות ביצועים במערכת דביאן, פרוינד הבחין בהתנהגות חריגה בכניסות SSH (Secure Shell), ובסופו של דבר עקבו אחר הבעיה חזרה לעדכונים זדוניים בתוך xz Utils.
לאחר בדיקה מעמיקה יותר, התברר כי גרסאות 5.6.0 ו-5.6.1 של xz Utils הכילו דלת אחורית שפגעה בקובץ ההפעלה של SSH, מה שעלול לאפשר לשחקנים זדוניים להפעיל קוד שרירותי במערכות שנפגעו.
ציר הזמן של הדלת האחורית
ציר הזמן של האירועים שהובילו לגילוי זה מצייר תמונה מטרידה של הסתננות מכוונת לפרויקטים בקוד פתוח. נראה שמשתמש שזוהה כ JiaT75 יזם שינויים עדינים בפרויקטים בקוד פתוח, וצבר בהדרגה אמינות בתוך הקהילה. שינויים אלו הגיעו לשיאם בהכנסת דלת אחורית ל-xz Utils, תוך מינוף האמון ושיתוף הפעולה הגלומים בפיתוח קוד פתוח.
2021:
הפעילות הראשונית של JiaT75. בשנת 2021, משתמש עם שם המשתמש JiaT75 ביצע את ההתחייבות הידועה הראשונה שלו לפרויקט קוד פתוח. שינוי בולט אחד נעשה בפרויקט libarchive, והחליף את בטוח_fprint פונקציה עם גרסה פחות מאובטחת. שינוי זה נעלם מעיניו באותו זמן.
2022:
מבוא ל-xz Utils. JiaT75 הגישה תיקון לרשימת התפוצה של xz Utils, המעידה על מעורבות בפיתוח של xz Utils. זמן קצר לאחר מכן, משתתף שלא נראה בעבר בשם Jigar Kumar הצטרף לדיונים, והביע חוסר שביעות רצון מהתחזוקה של הפרויקט.
לחץ לשינוי. קומאר, יחד עם תומכים כמו דניס אנס ואחרים חדשים ברשימת התפוצה, לחצו על לאסה קולין, המנהל הוותיק של xz Utils, להביא מפתחים נוספים לתחזק את הפרויקט. לחץ זה סלל את הדרך להמשך הסתננות.
ינואר 2023:
מעורבות פעילה: JiaT75, המשתמשים כעת בשם Jia Tan, ביצעו את ההתחייבות הראשונה שלהם ל-xz Utils. במהלך החודשים שלאחר מכן, Tan הפך יותר ויותר מעורב בענייני xz Utils, תוך שהוא נוקט בפעולות כגון החלפת פרטי הקשר של קולין בפרטי הקשר שלהם ב-oss-fuzz, פרויקט לסריקת פרצות תוכנה בקוד פתוח.
2024 פברואר:
הטמעת הדלת האחורית: Tan הוציאה התחייבויות עבור גרסאות 5.6.0 ו-5.6.1 של xz Utils, שכללו את היישום של הדלת האחורית. עדכונים אלה נעלמו ברובם מעיניו בהתחלה, שכן הדלת האחורית פעלה בדיסקרטיות בתוך התוכנה.
פניות לאינטגרציה: בעקבות יישום הדלת האחורית, Tan או שותפים פנו למפתחי הפצות לינוקס גדולות, כולל אובונטו, רד האט ודביאן, בבקשה למזג את העדכונים למערכות ההפעלה שלהם. אחד העדכונים עשה בסופו של דבר את דרכו למהדורות של הפצות דביאן ורד האט.
גילוי הדלת האחורית:
החקירה של אנדרס פרוינד: הדלת האחורית הובאה לאור על ידי אנדרס פרוינד, מפתח שעובד על הצעות PostgreSQL של מיקרוסופט. פרוינד הבחין בהתנהגות חריגה בכניסות SSH במערכת דביאן ועקבה את הבעיה לעדכונים בתוך xz Utils.
גילוי על רשימת אבטחת קוד פתוח: ביום שישי, פריינד חשף את נוכחותה של הדלת האחורית ברשימת האבטחה של הקוד הפתוח, וחשף את השתילה המכוונת של הדלת האחורית ב-xz Utils.
לאחר הגילוי:
ניתוח והפחתה: חוקרי ומפתחי אבטחה עבדו במרץ כדי לנתח את העדכונים הזדוניים ולפתח כלים לזיהוי והפחתת מקרים פוטנציאליים של הדלת האחורית. כלים ושיטות שונות, כולל ניתוח התנהגותי והנדסה לאחור, הופעלו כדי להתמודד עם האיום.
ציר הזמן מדגיש את ההסתננות והמניפולציה ההדרגתית של פרויקט קוד פתוח, מה שמוביל ליישום כמעט מוצלח של דלת אחורית בכלי תוכנה בשימוש נרחב, המדגיש את החשיבות של ערנות ובדיקה בתהליכי פיתוח ותחזוקה של תוכנה.
הבנת הדלת האחורית
התחכום של הדלת האחורית טמון ביכולתה להתחמק מזיהוי ולבצע מטענים זדוניים בדיוק. על ידי מניפולציה של קובץ ההפעלה של SSH דרך xz Utils, התוקפים עלולים לסכן מערכות רגישות ולחלץ נתונים קריטיים.
מפחית את האיום
בעקבות הגילוי הזה, קהילת אבטחת הסייבר התגייסה כדי להעריך ולהפחית את האיום הנשקף מהדלת האחורית. כלים כגון באופן בינארי ו xzbot הופיעו כדי לסייע באיתור וניתוח מקרים פוטנציאליים של הדלת האחורית.
תפקידו של ולגרינד
Valgrind, כלי עזר לניטור זיכרון מחשב, מילא תפקיד מכריע בחשיפת העדכונים הזדוניים בתוך xz Utils. על ידי זיהוי חריגות בשימוש במעבד ובפעולות זיכרון, מפתחים הצליחו לאתר את מקור הבעיה ולמנוע ניצול נרחב. Valgrind היא חבילת כלי תכנות בקוד פתוח המיועדת לאיתור באגים ויצירת פרופילים. הוא מספק מגוון כלים שעוזרים למפתחים לזהות דליפות זיכרון, לזהות שגיאות זיכרון, פרופיל שימוש בזיכרון ולנתח ביצוע תוכניות. כמה תכונות ומרכיבים מרכזיים של Valgrind:
זיהוי שגיאות זיכרון: Valgrind כולל כלים כגון Memcheck, שמזהה שגיאות שונות הקשורות לזיכרון בתוכנות, כולל דליפות זיכרון, גישה לא חוקית לזיכרון (כגון קריאה או כתיבה לזיכרון לא מאותחל), וניהול שגוי של הקצאת זיכרון דינמית (למשל, שחרור זיכרון שיש לו כבר שוחרר).
זיהוי שגיאות שרשור: הכלי ThreadSanitizer (TSan) של Valgrind מזהה מרוצי נתונים ושגיאות שרשור אחרות בתוכנות מרובות הליכי שרשור. זה עוזר לזהות באגים במקביל שיכולים להוביל להתנהגות בלתי צפויה ולבעיות שקשה לנפות באגים.
פרופילים: Valgrind מספקת כלים ליצירת פרופילים כמו Callgrind ו-Cachegrind, שעוזרים לנתח את ביצועי התוכנית על ידי מדידת תדרי שיחות פונקציה, שימוש במטמון וזמן ביצוע. כלים אלה עוזרים למפתחים לזהות צווארי בקבוק ולמטב את ביצועי היישומים שלהם.
ניתוח ביצוע תוכנית: הכלים של Valgrind יכולים גם לעקוב אחר ביצוע תוכניות ברמת ההוראה, מה שמאפשר למפתחים לנתח את התנהגות התוכנית בפירוט. זה יכול להיות שימושי להבנת זרימת התוכנית, זיהוי צווארי בקבוק בביצועים ואבחון באגים שקשה למצוא אותם.
תמיכה בפלטפורמה: Valgrind משמש בעיקר במערכות הפעלה דמויות Unix, כולל גרסאות Linux, macOS ו-BSD. הוא תומך במגוון רחב של שפות תכנות ומהדרים, כולל C, C++ ו-Fortran, וניתן לשלב אותו בסביבות פיתוח שונות ולבנות מערכות.
השפעה על נוף הספק
הגילוי של הדלת האחורית ב-xz Utils הדהד ברחבי נוף הספקים, ועורר דאגות משמעותיות ואמצעים יזומים בקרב ספקי תוכנה. בהתחשב באינטגרציה הנרחבת של xz Utils בהפצות לינוקס שונות, ההשלכות הפוטנציאליות של חדירת הדלת האחורית הן מרחיקות לכת. על הספקים מוטלת כעת המשימה להעריך מחדש את שרשראות האספקה של התוכנה שלהם, לבחון את התלות, ולחזק את צינורות הפיתוח וההפצה שלהם מפני איומים דומים. התקרית מדגישה את החשיבות הקריטית של שקיפות, תהליכי סקירת קוד וביקורות אבטחה בפיתוח תוכנה בקוד פתוח. יתרה מזאת, היא משמשת תזכורת מוחלטת לצורך בערנות מתמשכת ובשיתוף פעולה בתוך קהילת התוכנה כדי להגן מפני גורמים זדוניים המבקשים לנצל נקודות תורפה ברכיבי תוכנה בשימוש נרחב. הספקים מתמודדים כעת עם האתגר של החזרת האמון בין המשתמשים, הטמעת פרוטוקולי אבטחה קפדניים וטיפוח תרבות של אחריות כדי לצמצם את הסיכונים הכרוכים בפגיעויות כאלה בעתיד.
RELIANOID טען איזון סופקו עדכונים והדלת האחורית לא הושפעה בפתרונות שלנו. פנה למומחים לקבלת מידע נוסף.
תהנה מחוויית אמינות האתר!
בלוגים קשורים
