摘要:近期,开源软件xz被植入后门事件,可能没有引起太多人的重视,但其暴露出开源软件背后一个大问题。
很多人可能没有意识到,我们日常所使用的软件基础设施,就如同现实中的马路、大桥、电网和机场等设施一样,是需要定期进行维护和修复的,否则后果不堪设想!
想象一下这样的场景,当你正准备去赶飞机,结果机场的安全检查系统却突然出现故障无法正常运行,而这已经是本月第二次发生这样的情况了!为何会如此呢?原因就在于负责维护这个系统的人员是一位无偿志愿者,他白天需要上班,只有晚上和周末才有时间来处理这些事情,而一旦遇上足球赛季,他还得忙着去指导女儿们的球队,根本无暇顾及这些系统的维护。
这听起来是不是很荒谬?但这的确就是我们软件基础设施的真实写照!要知道,这一基础设施支撑着全球范围内所有的手机、电脑以及各种各样的应用程序!
不久前,有一款不太知名但在许多地方都有应用的名为 xz 的开源软件被黑客盯上了,这件事将全球软件基础设施的薄弱环节暴露无遗。那些大公司凭借这个软件赚的盆满钵满,然而,它竟然是建立在志愿者无偿劳动的基础之上,实在是令人细思极恐!
▴托马斯·罗西亚(Thomas Roccia)首次尝试
捕获后门程序的流程(图片出处:https://x.com/fr0gger_/status/1774342248437813525/photo/1?ref=thestack.technology)
这种情况必须要得到改变!
目前,可以说几乎所有的技术都是基于开源软件构建起来的。xz就是一个的典型例子,作为一种通用的数据压缩格式,几乎存在于所有开源和商业发行版的Linux操作系统版本。被植入后门,让这些Linux系统就会轻易被入侵!
在过去的 25 年里,开源软件已经从一个小众的事物发展成为构建软件的主流方式。主要是因为使用它给企业带来了一个巨大的好处,可以免费使用数十亿行代码,而无需自己费力去编写。实际上,有研究表明,某些商业软件产品中超过 99.9%的部分都是由免费开源软件组成的!
坦率地说,开源软件如今已经成为了一种全球公共产品,其重要性如同我们日常所饮用的水、使用的电以及行走的道路一样。哈佛商学院研究发现,我们所依赖的开源软件基础设施价值高达 8.8 万亿美元,这一数值甚至超过了美国的高速公路系统和电网价值的总和!
然而,如此重要的东西,竟然是由一群志愿者无偿进行维护的,就如同 xz 的维护者Lasse Collin一样。
这次针对 xz 的攻击是一次经过精心策划、极为狡猾的黑客攻击,攻击者花费了两年多的时间,通过参与各种开源软件项目并提交代码,逐步建立起作为一个可信任维护者的形象,以此来避免被发现。
一个账号名为Jia Tan的人,通过多年向Lasse Collin贡献有用的代码,与Lasse Collin逐渐熟悉起来。同时,还有使用其他账号的人则不断骚扰Lasse Collin,质问他为什么不多做一些工作,为什么不让有时间来负责这个项目的人接手。
最终,Lasse Collin承认自己存在精神健康问题,无法承受这样的压力,于是就让Jia Tan获得了在 xz 中添加自己代码的权利。Jia Tan随后就利用这一权限添加了一个安全后门,能够在任何受影响的电脑上随意执行恶意命令!而这个后门是被微软的一个好奇的开发人员偶然发现的,当时,他正在调查 xz 为何运行得如此缓慢!
这次攻击最令人印象深刻的,是攻击者超乎寻常的耐心和决心。但好在还没有造成全球范围的大灾难就被发现了。然而,对开源基础设施的攻击却变得越来越频繁!
如果继续这样下去,后果将不堪设想!我们的软件基础设施,如今就像一座摇摇欲坠的大楼,稍有不慎,就可能坍塌。
参考资料:
https://www.thestack.technology/xz-utils-github-repository-disabled-as-linux-maintainers-assess-blast-radius-of-backdoor-earlier-commits/
热门跟贴