Vlákno názorů k článku
V balíčku xz-utils se objevil backdoor od D.A.Tiger - [Lael Ophir] Jinak, abych nejak smysluplne zareaogaval na Vas...

[Lael Ophir]
Jinak, abych nejak smysluplne zareaogaval na Vas post.

Nejsem sice uplny expert na vsechny bezpecnostni otazky, ale osobne se domnivam, ze to neni spicka ledovce, ale spis ... no, zacatek. Zacatek, ktery se podarilo vcas objevit. Kdyby se totiz uz podarili podobne utoky v minulosti, je dost pravdepodobne, ze bychom tusili (ne-li vedeli) ze je neco hodne spatne. Ono zase zaskodnckou cinnost neni uplne snadne zkryt, obvzvlast v necem tak rozsirenenm jako jsou Linuxove systemi - tudiz i docela slusne sledovanem.

A jak na to zareguje komunita? Spravny dotaz. Bohuzel, to by nejaka nejdriv musela existovat (jestli kdy vubec existovala). Linuxova (a opensource obecne) komunita me osobne posledni roky spis pripomina roztrousene drobecky a kolem nich hejno mravenecku, kteri se kolem nich hemzi a tu a tam zabloudi k dalsimu drobecku. A dohromady pak tvori dojem mraveniste. Takze ted tezko rict, uvidime casem.

Jinak osobne - uz jsem to tu psal - bych nevzal taky do projektu kazdeho kdo jde kolem. Zas ale na druhe strane opensource projekty stoji a funguji diky spolupraci lidi, kteri se v zivote nevideli. Mozna - s tim jak jsem psal, ze tohle mi prijde spis jako zacatek - je na case trochu prehodnotit nase az prilisne spolehani se na molochovite systemi, ktere sami a bez dohledu vsechno udelaji za nas. Podle me je ted nejlepsi zachovat chladnou hlavu, a zacit pracovat na zjednodusovani a vetsi transparentnosti nekterych procesu.

Skodlivy kod s trochou nadsazky je podle meho mineni za spravne konstalace hvezd mozno ukryt v jakemkoliv jazyce, to asi nebude ten problem. Tady jde o to, ze ten skodlivy kod byl generovan az v dobe buildu z naprosto necekanych zdroju. A to je jeste o rad jina ci situace.

No a nakonec, to s temi firmami je sice krasne, ale bezpecnost to taky nezarucuje. Bylo uz za tech pruseru za ta leta co jsou pocitace ve firmach malo?

PS. Jste ted na koni, co? "Pracovnik Microsoftu zachranil zadnici Linuxarum...." Fakt je tento svet divne misto.

1. 4. 2024, 00:04 editováno autorem komentáře

"Jste ted na koni, co? "Pracovnik Microsoftu zachranil zadnici Linuxarum....""

Tvl kolik je vám let že tyhle dětský války stále ještě vedete ??

[Nickless account]
Dost na to, abych neco pamatoval. Kolik je vam, ze si dovolujete hodnotit moje valky?

Znepokojující je to, že záškodník zřejmě škodil už od konce roku 2021, a na jeho akce se nepřišlo při code review, ani je neodhalilo žádné z těch bdělých očí, které prý zdrojáky sjíždí, analyzují a vylepšují. Přišlo se na to jen protože ten backdoor způsoboval problémy s výkonem. Kdyby dotyčný ten backdoor napsal lépe, tak by tam mohl zůstat mnohem déle.

Doporučení "zachovat chladnou hlavu, a zacit pracovat na zjednodusovani a vetsi transparentnosti nekterych procesu" mi připadá jako okecávání věci bez reálného řešení. No offense intended.

Komerční kód samozřejmě také má své bezpečnostní problémy. Ale propašovat do něj záměrně backdoor je daleko složitější. Kolik dalších projektů jenom tenhle jeden záškodník mohl napadnout pod dalšími smyšlenými identitami? A co jestli takových lidí má v akci řekněme Čína nebo Severní Korea tisíce?

Možná vám připadá, že mám škodolibou radost. Ne, nemám. Linux se používá na spoustě míst, a jeho bezpečnost je proto důležitá. Nejsme fanoušci fotbalových týmů, kteří v opojení kmenovými instinkty jásají, když jiný tým má problém. Vyjma toho nejsem zaměstnanec Microsoftu, a svým starším komentářem k věci jsem žádnou zadnici (zcela zjevně) nezachránil.

Mám za to, že celý IT průmysl má problém. Anonymní autoři kódu jsou jen třešnička na dortu. Máme tu obrovskou spoustu kódu psaného v obskurním C/C++, plného bugů zanesených autory kódu (protože lidé dělají chyby), často s unsafe funkcemi, a bez možnosti plné formální verifikace kódu. Jenom Linux kernel měl v roce 2023 311 vulnerabilities. Podobně tragické je to u ostatních OS, frameworků, browserů, office produktů, DB atd. Desítky let se to lepí jak to jde, někomu to jde lépe a někomu hůře, ale řešení nemá nikdo. Přitom na IT je dneska závislé všechno včetně energetiky, logistiky, maloobchodu, státní správy, zdravotnictví... Vede to k obrovským rizikům. IT průmysl musí udělat zásadní krok ke spolehlivým a bezpečným systémům. Memory safe programming, formal verification... Ovšem je těžké si představit, že takový značně náročný krok komerční firma zaplatí, když tam není dostatečný komerční přínos. Ještě těžší je představit si podobný proces ve světě open source, který má problémy s koordinací vývoje (model bazaar) a s dostatkem zdrojů. Takže nejsem optimista.

[Lael Ophir]
Za me je spis vic znepokojujici jak a kudy byl ten utok proveden.

"Doporučení "zachovat chladnou hlavu, a zacit pracovat na zjednodusovani a vetsi transparentnosti nekterych procesu" mi připadá jako okecávání věci bez reálného řešení. No offense intended."

Netvrdim, ze je to spasitelne a konkretni reseni, ale myslim (nebo si spis troufam doufat) ze je to muze byt aspon nejaky smer. Ono je to asi to stejne, jak kdyby se srazilili vlaky a jeste se ani neusadil prah a Vy behal po sokovanych zeleznicarich a hned ted z fleku po nich chtel nejaky reseni.

Tesi me, ze z toho aspon nemate radost - ja to myslel jsem to spis jako ironicke povzdechnuti nad tim, jak se nekdy veci divne skouli.

" IT průmysl musí udělat zásadní krok ke spolehlivým a bezpečným systémům."
Souhlasim s Vami, ze - presne jak pisete - cely IT ma velky problem a za sebe dodavam, ze ne jeden a uz dlouho. Nejen ty co jste zminoval, nejen ten ktery se ted stal. Zeneme vykon energetickou a narocnost stroju cim dal vic nahoru, jen proto abychom do nich umistili cim dal slozitejsi a nesrozumitelnejsi systemy jejichz prinos je v dost pripadech ve vysledku diskutabilni. A proc? Kdyz to zjednodusim, tak napriklad protoze nejsme schopni ani ochotni si pohlidat par pitomych pointeru a jeste to kolikrat vydavame za prednost a vlastne dnes uz zbytecnost. Take treba to co jsem psal o komunitach povazuji za docela vazny problem Linuxu a opensource vubec.

Kdyz si vezmete v uvahu co se v tomto konkretnim pripade stalo, tak vubec neslo o problem jazyka, ale o problem v procesu a o selhalni lidi kolem toho projektu.

Ale urcite mi neprijde jako dobry napad se zacit plasit, zatratit cely opensource a jeho tak tezce vybudovane pozice, zavadet jeste slozitejsi mechanizmy a nebo vsechno zacit komercializovat. Proto pisu, ze se to ma delat s chladnou hlavou.

Vlastne to pisu skoro vzdycky, kdyz se lide zacnou moc plasit. ;)

Znepokojující je to, že záškodník zřejmě škodil už od konce roku 2021, a na jeho akce se nepřišlo při code review, ani je neodhalilo žádné z těch bdělých očí, které prý zdrojáky sjíždí, analyzují a vylepšují

On dostal svou "pozici" (committer), protoze 2 roky prispival a jeho kod tehdy nebyl zly. Takze on neskodil, ale naopak, 2 roky pomahal.

Tohle je celkove problem a nejen v SW developmentu. Treba prijmete admina do firmy, po 2 letech prace mu date roota ke vsemu. Pak si on diky svym pravum udela nekde backdoory. Po mesici ho chytite (jeste nez backdoory prejdou do produ). Je to rychle nebo pomalu? Jak dlouho musi admin u vas pracovat, aby dostal taky pristup?

"Jak dlouho musi admin u vas pracovat, aby dostal taky pristup?"

On muze admin fungovat bez roota? ... Veskery OS je odkakziva zalozen na tom, ze nekdo nekde neco zverejni, a ruzni kolemjdouci do toho semotamo neco poslou. A kupodivu kdyz nekdo posila casto, tak proste ten jeho kod uz nikdo potom kontrolovat nebude ...

Kdo kontroluje Linuse? Sem ochoten se vsadit, ze cervika primo do jadra by zvladnul levou zadni. Klidne vsem "na ocich".

Pricemz presne takto to funguje naprosto vsude. Kdyz mas firmu, tak mozna prvnich par tydnu budes novackovi stat za zady, pak mozna par mesicu budes nejak overovat zda jeho kod nezpusobuje problemy ... ale pak ... neni v silach nikoho, to bys na kazdeho jednoho prispevatele musel mit nejmin 3 overovatele.

Pokud jsem si správně všiml, tak ten záškodník už v roce 2001 v libarchive nahradil funkci safe_fprint za její unsafe verzi. Prošlo mu to bez diskuse. Podle všeho tím testoval, co všechno mu projde. Jinak souhlas, že se dva roky tvářil, že pomáhá, a nikdo nemohl tušit, že si připravuje půdu pro útok. Zarazí ale to, že ho například jako maintainera prosazovaly dva anonymní a jinak převážně neaktivní účty, nejspíš skrytě patřící záškodníkovi.

Admin dostane přístupy celkem rychle, pokud splní kritéria, byť ty přístupy typicky nejsou neomezené, protože to ani většina admin rolí nevyřaduje. Rozhodně by ale přístupy nedostal anonym sedící v Číně, Severní Koreji nebo Rusku, bez fyzické přítomnosti, bez identifikace, bez smlouvy, bez referencí, bez ověření těch referencí a dosaženého vzdělání a bez dalšího prověřování oddělením bezpečnosti. A i když všechna kritéria splní, tak na něj dále dohlíží bezpečáci. Například lidé z těch jmenovaných zemí by byli bráni jako rizikoví, a pokud by vůbec dostali místo, tak by byli pod důkladným dohledem. Případná levá pak znamená vyhazov, občanskoprávní i trestní odpovědnost, a to že dotyčný v okruhu mnoha set kilometrů nezavadí o práci. Středoevropské IT je malý rybníček, kde zná v podstatě každý každého, a poškozená strana pochopitelně informace o té levé neformálně rozšíří.

Jistě, s dostatkem úsilí, znalosti a peněz se všechno dá obejít. Ale těžko to srovnávat s tím, když posadíte někde v tramtárii k počítači záškodníka, ten odtamtud může celkem triviálně infiltrovat i desítky projektů najednou, a nadělat u toho pořádnou paseku.

IT průmysl má problém a to dost velký, s tím souhlasím. Dost ale pochybuji, že by ho dokázal vyřešit. Z bezpečnosti totiž udělal byznys. Místo bezpečných systémů dodal antiviry, antispamy. Bezpečnost je za příplatek. Řeší se důsledky, nikoliv příčiny. A to nemluvě o mase systémů neaktualizovaných a přesto běžících z důvodu ukončení podpory, nákladů na licence, personálních nákladů - nemluvě o pochybně napsaných aplikacích. Také nejsem optimista.

S open sourcem mám (pokud daný produkt je stále živý) vždy šanci přejít na nejnovější systém. Nemusím řešit problémy s licencemi, změny firemních, prodejních politik, atd. U komerčního sw to ani zdaleka neplatí. Samozřejmě, že každý model má svoje pro a proti - nicméně přestože je Microsoft velkým uživatelem Linuxu a nepochybně má celou řadu bezpečnostních expertů, tak na problém přišel vývojář Postgresu - shodou okolností poslední 2 roky placený Microsoftem, rozhodně to není běžný zaměstnanec a rozhodně není zaměřený na bezpečnost.

A i kdyby se IT průmysl stavěl na hlavu, tak ten Titanik nezastaví. Musely by se předělat základní koncepty. Musela by se zahodit zpětná kompatibilita. To komerční firmy nikdy neudělají.

Souhlas, že by se musely předělat základní koncepty. Nicméně občas přicházejí generační změny, často umožněné rozvojem HW. Microsoft výrazně vylepšil OS přechodem na WinNT, a další možností byl přechod na Midori OS, který ale skončil na HW náročnosti a nízké návratnosti investice. Apple vylepšil OS přechodem na NeXTSTEP, byť to byl poněkud drsný přechod. Google by mohl mít podobnou možnost u Fuchsia OS. Jednou do té bezpečnosti a spolehlivosti snad někdo pořádně šlápne. Zpětná kompatibilita asi trochu utrpí, ale v době virtualizace ne nutně dramatickým způsobem. Třeba přechod z DOSu a Win9x na řadu NT proběhl relativně dobře. Dobře proběhl i přechod z x86 na x64. Z novějších případů je dobré zmínit Widows Subsystem for Linux, který funguje relativně slušně, přestože to podle všeho nestálo žádné dramatické úsilí.

Jaká je šance, že během 10 let přijde generační změna HW nebo SW? Kdo má finanční i tržní sílu prosadit revize API? Problém není, že by nebyla vůle, ale rozsah a komplexita.