Slo-Tech - Inženirji iz Red Hata so v petek opozorili na podtaknjeno ranljivost v knjižnicah xz 5.6.0 in 5.6.1 (izšli 24. februrja in 9. marca), ki vnaša stranska vrata v OpenSSH in systemd. Ranljivost CVE-2024-3094 je ocenjena z najvišjo stopnjo resnosti po CVSS. Ranljiva knjižnica je del Fedore 40 in 41, ki pa še nista uradno izšli - Fedora 40 izide sredi aprila. Prizadeti sta tudi distribuciji Debian Unstable in Kali Linux, večina bolj priljubljenih distribucij pa ne, ker še niso vključili omenjenih verzij xz. Uporaba razvojne verzije Fedora Rawhide je zato trenutno močno odsvetovana. Starejša verzija knjižnice xz 5.4.0 ni problematična.
V Linuxu je xz splošen format za stiskanje datotek. Zlonamerna koda je namenoma prikrita (obfuscated) in vključena le v poln paket - sproži jo makro M4. Preko stranski vrat, ki jih knjižnica uvaja, bi lahko zlonamerni akter zlomil preverjanje pristnosti v sshd in pridobil nepooblaščen oddaljeni dostop do sistema. K sreči so ranljivost odkrili, še preden se je knjižnica razširila v produkcijske distribucije. Za zdaj so prizadete le razvojne (predogledne). A Will Dormann iz podjetja Analygence dodaja, da se je to zgodilo le, ker so bili zlikovci površni. Če bi svoje delo opravili bolje, bi šla prizadeta verzija v produkcijo, kar bi bila katastrofa za varnost.
Ranljivost je 23. februarja dodal uporabik JiaT75, ki je vrsto let razvijal xz. Kot kaže, ni šlo za zlorabo njegovih prijavnih podatkov ali vdor v njegov sistem, temveč za namerno dejanje. Nato je celo izrecno spraševal, ali bo xz 5.6.1 vključena v produkcijo, češ da odpravlja hrošča v Valgrindu, in v Fedori 40.
Vsa ta zadeva se bere kot več letno načrtovano implementiranje backdoora kakšne agencije. Zanimivi so mi sploh dogodki v letu 2022, kjer so domnevno na nekoliko neaktivnega developerja, ki je imel težave z zdravjem, pritiskali preko raznoraznih fejk računov, da naj doda še kakšnega maintainerja in je prišel ravno v pravem momentu ta "Jia Tan" kot dar z nebes ...
Zdaj si pa človek zamisli, koliko je še tega, glede na to, da je bila ta nekoliko šlampasto implementirana zadeva odkrita čisto po naklučju s strani nekoga, ki ni niti varnostni raziskovalec. Čisto komot bi bilo to notri še leta in leta.
Vsa ta zadeva se bere kot več letno načrtovano implementiranje backdoora kakšne agencije. Zanimivi so mi sploh dogodki v letu 2022, kjer so domnevno na nekoliko neaktivnega developerja, ki je imel težave z zdravjem, pritiskali preko raznoraznih fejk računov, da naj doda še kakšnega maintainerja in je prišel ravno v pravem momentu ta "Jia Tan" kot dar z nebes ...
Zdaj si pa človek zamisli, koliko je še tega, glede na to, da je bila ta nekoliko šlampasto implementirana zadeva odkrita čisto po naklučju s strani nekoga, ki ni niti varnostni raziskovalec. Čisto komot bi bilo to notri še leta in leta.
Jah skriješ se za majhnost in za vstopne točke uporabljaš malo uporabljane sisteme. Skratka, ne linux in ne windows.
Prizadeti sta tudi distribuciji Debian Unstable in Kali Linux, večina bolj priljubljenih distribucij pa ne, ker še niso vključili omenjenih verzij xz.
Od popularnih distribucij je bil prizadet Arch Linux.
Ubuntu je ravnokar poslal update, tako, da ne. K sreči mi na kraj pameti ne pade, da bi za strežnik uporabljal windowse ali linux (ali se slepil, da je docker varen).
Kaj pa ostali backdori, kjer razvijalci niso bili površni? Koliko je šele teh vsepovsod...
A Will Dormann iz podjetja Analygence dodaja, da se je to zgodilo le, ker so bili zlikovci površni. Če bi svoje delo opravili bolje, bi šla prizadeta verzija v produkcijo, kar bi bila katastrofa za varnost.
V opensourcu, se take stvari lažje odkrije, ampak tudi bistveno lažje podtakne...
Tole bi z lahkoto podtaknil tudi v Microsoftov zip/rdp. A misliš, da je razvojna ekipa Windows ekosistema 30 developerjev, vsi vse poznajo in vse razvijejo ground up znotraj hiše?
Pri open sourcu imaš na razpolago X osebkov, ki so tečni, zakaj je login pol sekunde počasnejši. Uporabniki Microsofta pa sprejmejo, oh well, nova verzija je, valda je pol sekunde počasnejša, čas gre naprej, rabim nov hardver, pa bo.
Daleč od tega, da so pri OS zadeve idealne*, ampak ko pri MS, Applu, ... potrka tričrkovna agencija, je zadeva v naslednjem updateu. Uporabniki pa brez uporabnega mehanizma detekcije backdoora.
*Pol sveta se zanaša na projekte, ki jih upravlja en izgorel razvijalec.
This xz backdoor thing reminds me of a story I heard from friends that worked at a tech company that made cell phones. They had a great coder that worked on the project, he had put in work as a contractor for a few months, and due to the quality of his work he was hired in full time. After two months he simply stopped showing up to the office.
An investigation turned up the following interesting items. His account had accessed all files including source code to *all* cellular projects - in that he had apparently downloaded a copy of everything. He had committed a large amount of contributions to the project he was assigned to. None of his paychecks were ever cashed. A wellness check to the house he had rented was performed and the house was completely empty. Per the landlord he'd paid for 6 months rent in advance in cash. Apparently he never physically moved in. No record for him nor his social security number seemed to check out. The guy was a ghost.
I was asked about recommendations on future prevention by friends who worked there - no idea how far they got in their investigation, if backdoors were ever found or even existed, or if the Feds were ever involved. The punch line? This was probably a couple of decades ago.
This shit is real, and it has been going on for a long time.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
This xz backdoor thing reminds me of a story I heard from friends that worked at a tech company that made cell phones. They had a great coder that worked on the project, he had put in work as a contractor for a few months, and due to the quality of his work he was hired in full time. After two months he simply stopped showing up to the office.
An investigation turned up the following interesting items. His account had accessed all files including source code to *all* cellular projects - in that he had apparently downloaded a copy of everything. He had committed a large amount of contributions to the project he was assigned to. None of his paychecks were ever cashed. A wellness check to the house he had rented was performed and the house was completely empty. Per the landlord he'd paid for 6 months rent in advance in cash. Apparently he never physically moved in. No record for him nor his social security number seemed to check out. The guy was a ghost.
I was asked about recommendations on future prevention by friends who worked there - no idea how far they got in their investigation, if backdoors were ever found or even existed, or if the Feds were ever involved. The punch line? This was probably a couple of decades ago.
This shit is real, and it has been going on for a long time.
Tole sigurno ni res. Tričrkovne agencije niso tako neumne, da bi to delale na tako neumno očiten način...
Od popularnih distribucij je bil prizadet Arch Linux.
Ne, ker je bil liblzma paket tam zgrajen na nacin, ki ni sprozil backdoora.
A, OK, to je pozitivno. Sam sem pogledal le ali je v produkcijo dobil xz 5.6.0 in 5.6.1, in to seveda je. Pri Archu je pač potrebno vzeti v zakup, da vse nove stvari pridejo hitro, praktično takoj.
Sicer pa malo čakam, da se bo še odvila analiza ranljivosti in početja teh nepridipravov, ker se zna pokazati še kaj...
Knjižnice, ki jih razvijajo zanesenjaki v "prostem času", malo popoldan po službi, le kličejo po takih napadih.
Žal pa so te iste knjižnice mnogokrat vključene v vse večje distribucije (linkane v nek drug servis, ki je sam po sebi lahko čisto v redu in morda celo code auditan).
Tukaj je šlo očitno za večletni projekt, ni tu zadaj nek lone hakerček, mora biti kar neka organizacija, z veliko teh projektov, oz. žezli v ognju.
Knjižnice, ki jih razvijajo zanesenjaki v "prostem času", malo popoldan po službi, le kličejo po takih napadih.
Žal pa so te iste knjižnice mnogokrat vključene v vse večje distribucije (linkane v nek drug servis, ki je sam po sebi lahko čisto v redu in morda celo code auditan).
Tukaj je šlo očitno za večletni projekt, ni tu zadaj nek lone hakerček, mora biti kar neka organizacija, z veliko teh projektov, oz. žezli v ognju.
Podpis...
Se kdo spomni zgodbe s TrueCrypt? Očitno so človeka izsledili in tričrkovniki so potrkali na vrata.
Knjižnice, ki jih razvijajo zanesenjaki v "prostem času", malo popoldan po službi, le kličejo po takih napadih.
Žal pa so te iste knjižnice mnogokrat vključene v vse večje distribucije (linkane v nek drug servis, ki je sam po sebi lahko čisto v redu in morda celo code auditan).
Tukaj je šlo očitno za večletni projekt, ni tu zadaj nek lone hakerček, mora biti kar neka organizacija, z veliko teh projektov, oz. žezli v ognju.
Podpis...
Se kdo spomni zgodbe s TrueCrypt? Očitno so človeka izsledili in tričrkovniki so potrkali na vrata.
Knjižnice, ki jih razvijajo zanesenjaki v "prostem času", malo popoldan po službi, le kličejo po takih napadih.
Žal pa so te iste knjižnice mnogokrat vključene v vse večje distribucije (linkane v nek drug servis, ki je sam po sebi lahko čisto v redu in morda celo code auditan).
Tukaj je šlo očitno za večletni projekt, ni tu zadaj nek lone hakerček, mora biti kar neka organizacija, z veliko teh projektov, oz. žezli v ognju.
Podpis...
Se kdo spomni zgodbe s TrueCrypt? Očitno so človeka izsledili in tričrkovniki so potrkali na vrata.
Ne, že od nekdaj, že brez tričrkovnikov je bil procesorski random predvidljiv. Praktično je randomizacija številk kar precej resen računalniško - matematičen problem. Običajna praksa je, da se uporablja kombinacija. Že True Crypt in zdaj VeraCrypt (kateri ima pomoje že lepo vgrajena zadnja vrata) uporablja pri generiranju premikanje uporabnikove miške (torej uporabnik premika miško in s tem generira "random").
Knjižnice, ki jih razvijajo zanesenjaki v "prostem času", malo popoldan po službi, le kličejo po takih napadih.
Žal pa so te iste knjižnice mnogokrat vključene v vse večje distribucije (linkane v nek drug servis, ki je sam po sebi lahko čisto v redu in morda celo code auditan).
Tukaj je šlo očitno za večletni projekt, ni tu zadaj nek lone hakerček, mora biti kar neka organizacija, z veliko teh projektov, oz. žezli v ognju.
Podpis...
Se kdo spomni zgodbe s TrueCrypt? Očitno so človeka izsledili in tričrkovniki so potrkali na vrata.
Ne, že od nekdaj, že brez tričrkovnikov je bil procesorski random predvidljiv. Praktično je randomizacija številk kar precej resen računalniško - matematičen problem. Običajna praksa je, da se uporablja kombinacija. Že True Crypt in zdaj VeraCrypt (kateri ima pomoje že lepo vgrajena zadnja vrata) uporablja pri generiranju premikanje uporabnikove miške (torej uporabnik premika miško in s tem generira "random").
Ki za to uporabljajo strojno generiranje v iz CPU dela silicija ki se imenuje random generator naključnih številk..
... Že True Crypt in zdaj VeraCrypt (kateri ima pomoje že lepo vgrajena zadnja vrata) ...
Da ima stranska vrata? Lahko to trditev kako podkrepiš, da ne bo samo "čutim na vodi"?
Če ne moreš zaščitit otroke, ne moreš imeti produkta na zahodnem tržišču . Poleg All Writs Act dodaš še warrantless surveillance act, ker morda si celo terorist...
In US v. Burns, the defendant had three hard drives, the first being a system partition which was later found to contain caches of deleted child pornography and manuals for how to use VeraCrypt, with the second being encrypted, and the third having miscellaneous music files. Even though the defendant admitted to having child pornography on his second hard drive, he refused to give the password to the authorities. Despite searching for clues of previously used passwords on the first drive, and inquiries to the FBI about any weaknesses to the VeraCrypt software that could be used to access the drive partition, and brute-forcing the partition with the alphanumeric character set as potential passwords, the partition could not be accessed. Due to the defendant confessing to having child pornography on the encrypted drive, the prosecution applied to force the defendant to give away the password under the foregone conclusion doctrine in the All Writs Act.[66] In a search of a Californian defendant's apartment for accessing child pornography, a VeraCrypt drive that was over 900 Gigabytes was found as an external hard drive. The FBI was called to assist local law enforcement, but the FBI claimed to not have found a weakness in the VeraCrypt software. The FBI also denied having a backdoor within the VeraCrypt software. It was later found that another suspect had educated the defendant into using encryption to hide his photos and videos of child pornography. Because the defendant had admitted to having child pornography on the drive as a backup anyways and chat logs relating to the other suspect educating the defendant on how to use VeraCrypt, the foregone conclusion doctrine was used again.[67]
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
... Že True Crypt in zdaj VeraCrypt (kateri ima pomoje že lepo vgrajena zadnja vrata) ...
Da ima stranska vrata? Lahko to trditev kako podkrepiš, da ne bo samo "čutim na vodi"?
Ali poznaš dogajanje? Spletna stran TruCrypt je bila registrirana mislim da, na antarktiki ravno zavoljo tega, da se ni potrebno podrejat zakonom USA, Rusije, EU... Avtor mislim, da nikoli ni izdal imena in priimka.
Vseeno so ga zelo verjetno dosegle tričrkovne agencije in mu pač dale ponudbo, ki je ni mogel zavrniti. Ker v nekem trenutku je tip objavil na strani, da TrueCrypt ni več varen in da se umika s projekta in da močno priporoča, da se najde nek tretji produkt.
Nastala sta dva forka, en je propadel, VeraCrypt pa je še danes v uporabi. Zelo verjetno vsebuje nekaj "extra".
Sicer za nas smrtnike je še vedno super zadeva! Da boš pa kradel informacije iz NSA in jih kriptiral z VeraCrypt in kao ne bo dokaza, se pa pomoje motiš.
Sta pa tako TrueCrypt kot tudi VeraCrypt preživela že več auditov, brez nekih resnih napak že nekaj let (napake pa so bile takoj odpravljene). Oba projekta sta tudi odprtokodna in VeraCrypt napake spotoma odpravlja. Kot je meni znano, je VeraCrypt varen. Če pa imaš kak dokaz/info v nasprotno, pa kar prilepi vir, bomo z zanimanjem prebrali.
