Vlákno názorů k článku
V balíčku xz-utils se objevil backdoor
od L. - Ví někdo, co ten backdoor přesně dělá? Četl...
-
L.Stříbrný podporovatelVí někdo, co ten backdoor přesně dělá? Četl jsem původní mail i další příspěvky a nikde jsem na to nenarazil. Ty věci obsahují hlavně popis, jak se přibaluje (nebo nepřibaluje), co všechno kontroluje při aktivaci, jak se věší na nějaké volání, ale jakou výhodu poskytuje útočníkovi ne.
-
Podle jednoho z vývojářů debianu.
,,Updating is safe but we don't know what the obfuscated backdoor code did. It might persist even after you upgrade the package itself."
https://forums.debian.net/viewtopic.php?p=795970&hilit=xz#p795970
To je jediné, co jsem zatím našel.
-
Ten obfuskovany kod je skoro takova "ucebnice" obfuskace, zajimave. Jsou tam veci typu:
.text.lzma_simple_props_sizd:00000000000013A0 dd 0FA1E0FF3h
.text.lzma_simple_props_sizd:00000000000013A4 ; ---------------------------------------------------------------------------
.text.lzma_simple_props_sizd:00000000000013A4 mov dword ptr [rsp-4], 474E553h
.text.lzma_simple_props_sizd:00000000000013AC mov eax, [rsp-4]
.text.lzma_simple_props_sizd:00000000000013B0 lea edx, [rdi+rsi+1]
.text.lzma_simple_props_sizd:00000000000013B4 cmp edx, eax
.text.lzma_simple_props_sizd:00000000000013B6 setz al
.text.lzma_simple_props_sizd:00000000000013B9 movzx eax, al
.text.lzma_simple_props_sizd:00000000000013BC retn -
L.Stříbrný podporovatel
Mě právě přišlo zvláštní, že nikdo neví, co ten kód dělá, ale všichni ho označují jako "backdoor". Pro mě je backdoor něco, co poskytne útočníkovi přístup k systému - obejde obvyklé autorizace. Je možné a možná i logické, že to ten obfuskovaný kód dělá, ale pro to AFAIK nejsou přímé indicie.
-
L.Stříbrný podporovatel
Osobně bych říkal backdoor jen těm úmyslně vytvořeným, zbytek bych klasifovalo jako (remotely exploitable) bug, ale nemyslím, že by tu byla nějaká závazná terminologie v tomto směru.
Právě proto se snažím zjistit, jestli někdo ví nějakou zásadní věc, která mi unikla, nebo jestli to tak prostě nazvali, protože je to pravděpodobné a hodí se mít nějaký jednoslovný název.
-
Filip JirsákStříbrný podporovatelZasahuje to do kódu ověření klíče přihlašovaného uživatele. Teoreticky ten upravený kód nemusí dělat nic, ale to by se asi tak nesnažili ten kód tam dostat. Nebo to může způsobit vzdálené spuštění kódu, nebo povolit přístup neoprávněnému uživateli, nebo odmítnout přístup oprávněnému uživateli. (Někde se píše, že to povolí přístup oprávněnému uživateli, ale nedohledal jsem zdroj – možná se někde v průběhu předávání informací z „mohlo by“ stalo „dělá“).
Každopádně o tom, že to byl záměr, dostat tam tento kód, asi není pochyb. Za backdoor bych označil cokoli, co pokoutně přidává do kódu funkcionalitu, která tam není očekávaná a kterou může autor toho kódu (nebo někdo jiný, kdo to objeví) zneužít. Takže i kdyby celý ten kód sloužil jenom k tomu, že by některým oprávněným klíčům odepřel přístup, pořád je to podle mne backdoor. Navíc, i kdyby bylo původním záměrem „jenom“ někomu odepřít přístup – když už byl ten kód schovaný, proč si tam pro jistotu nepřidat i povolení přístupu pro jiný klíč? To se vždycky může hodit.
-
DannyStříbrný podporovatel...takze utocnik se vymluvi na to, ze to (asi) nedomyslel a tim je "vyreseno"... :-) Ono to s tim (ne)umyslem je docela osemetny, do hlavy nikomu nevidite.
-
