কীভাবে একটি ক্ষতিকারক Xz আপডেট ব্যবহার করে প্রায় বিশ্বব্যাপী লিনাক্স সিস্টেমে একটি বিপর্যয়মূলক সাইবার আক্রমণ ঘটায়

xz Utils-এ করা দূষিত আপডেটের কারণে, সম্প্রতি উন্মোচিত ব্যাকডোর ঘটনা দ্বারা বিশ্ব সংক্রমিত হওয়ার কাছাকাছি ছিল। প্রভাবটি 2020 সালে সোলারউইন্ডস আক্রমণের অনুরূপ ধ্বংসযজ্ঞের সম্ভাবনা ছিল যা রাশিয়ান হ্যাকারদের মার্কিন যুক্তরাষ্ট্রের অনেক সরকারি সংস্থার মূলে প্রবেশ করতে দেয়।

আক্রমণটি সাফল্যের "ভয়ঙ্করভাবে কাছাকাছি" ছিল, এবং সফ্টওয়্যার এবং ক্রিপ্টোগ্রাফি ইঞ্জিনিয়ার ফিলিপ্পো ভালসোর্দা এটিকে "সেরা-সম্পাদিত সাপ্লাই চেইন আক্রমণ" হিসাবে বর্ণনা করেছিলেন যা আজ অবধি পর্যবেক্ষণ করা হয়েছিল, আরস টেকনিকা রিপোর্ট করেছে৷

ইন্টারনেটের ক্রাউডসোর্সড কোডের বেশিরভাগই খারাপ অভিনেতা এবং জাতি-রাষ্ট্র দ্বারা অনুপ্রবেশের জন্য ঝুঁকিপূর্ণ। ওপেন সোর্স সফ্টওয়্যারটি "ইন্টারনেটের কেন্দ্রস্থলে", এটি মূলত কিছু স্বেচ্ছাসেবক দ্বারা রক্ষণাবেক্ষণ করা হয় এবং এটি কর্পোরেশন এবং সরকারগুলির জন্য একইভাবে একটি বড় নিরাপত্তা ঝুঁকি তৈরি করে, দ্য ইকোনমিস্ট রিপোর্ট করেছে। ওপেন-সোর্স সফ্টওয়্যার কম খরচের কারণে সাধারণত ডিজিটাল অবকাঠামো জুড়ে স্থাপন করা হয়। সেই অবকাঠামো, যা ডিজিটাল বিশ্ব জুড়ে এমবেড করা হয়েছে, বিভিন্ন শত্রু দেশ-রাষ্ট্র দ্বারা আক্রমণের মুখে রয়েছে।

সাম্প্রতিক xz ব্যবহার করে ওপেন সোর্স ভীতি

29 শে মার্চ, 2024-এ, মাইক্রোসফ্টের একজন সফ্টওয়্যার প্রকৌশলী আন্দ্রেস ফ্রেউন্ড "লিনাক্স অপারেটিং সিস্টেমের অংশ সফ্টওয়্যারের একটি অংশে লুকানো একটি ব্যাকডোর" খুঁজে পান। এই ব্যাকডোরটি xz Utils-এর সোর্স কোড থেকে এসেছে, যেটির সাথে টেম্পার করা হয়েছে এবং প্রভাবিত সংস্করণ ব্যবহার করে সিস্টেমে অননুমোদিত অ্যাক্সেসের অনুমতি দেওয়া হয়েছে। যে সোর্স কোডটি আপস করা হয়েছিল সেটি ছিল লিনাক্স সিস্টেমে xz Utils ওপেন-সোর্স ডেটা কম্প্রেশন ইউটিলিটি । নিউ ইয়র্ক টাইমস লিখেছে যে ইঞ্জিনিয়ার একটি "সম্ভাব্য ঐতিহাসিক সাইবার আক্রমণ" প্রতিরোধ করেছিলেন।

যেহেতু xz Utils হল ওপেন সোর্স সফ্টওয়্যার, যে কেউ কোডটি দেখতে পারে কারণ এটি সর্বজনীন এবং তখন কী পরিবর্তন করা হয়েছে।

জিয়া ট্যান নামে একজন বিকাশকারী প্রকল্পে সহায়ক কোড অবদান রাখতে শুরু করেছেন এবং ধীরে ধীরে বিশ্বাস অর্জন করেছেন। তারপর সময়ের সাথে সাথে, খারাপ অভিনেতা ম্যালওয়্যারে পাচার করে। রাশিয়ার বিদেশী গোয়েন্দা পরিষেবা, এসভিআর, হামলার পিছনে সন্দেহভাজন, সোলারউইন্ডস হামলার পিছনে একই গোয়েন্দা পরিষেবা।

ওপেন সোর্স সিকিউরিটি ফাউন্ডেশন (ওএসএসএফ) xz ইউটিলস আক্রমণের বিষয়ে সতর্ক করেছে কারণ সম্ভবত এটি একটি বিচ্ছিন্ন ঘটনা নয়। জাভাস্ক্রিপ্ট প্রজেক্টের জন্য OpenJS ফাউন্ডেশনের মতো অন্যান্য প্রজেক্টের চেষ্টা এবং দখল করার জন্য একই ধরনের সামাজিক প্রকৌশল কৌশল ব্যবহার করে খারাপ অভিনেতারা ধরা পড়ে।

ওপেন সোর্স সফটওয়্যারের দুর্বলতা

ফ্রন্টসাইট মিডিয়ার সাথে কথা বলার সময়, রায়ান ওয়্যার, একজন ওপেন-সোর্স সফ্টওয়্যার বিশেষজ্ঞ, খেলার ঝুঁকিগুলির নিছক মাত্রা ব্যাখ্যা করেছেন:

"আমাদের ডিজিটাল অবকাঠামো খুবই দুর্বল," ওয়্যারের মতে। “আজ পর্যন্ত, 177,914টি CVE প্রকাশিত হয়েছে। যুক্তির খাতিরে বলা যাক যে ওপেন সোর্সে কোডের 1 বিলিয়ন লাইন রয়েছে (এটি আরও অনেক বেশি, তবে আমরা সেই যুক্তিটি অন্য দিনের জন্য ছেড়ে দেব)। তর্কের খাতিরে এটাও বলি যে সেই CVE-এর অর্ধেক ওপেন সোর্সের জন্য (একটি চমৎকার রাউন্ড নম্বরের জন্য 90,000)। এর মানে হল ওপেন সোর্স কোডের জন্য আমরা প্রতি 11,111 লাইন কোডের জন্য শুধুমাত্র একটি দুর্বলতা খুঁজে পেয়েছি,” তিনি বলেছিলেন।

"কোম্পানিগুলি এত পরিষ্কার কোড রাখতে মেরে ফেলবে যে কোডের প্রতি 11,000 লাইনের জন্য শুধুমাত্র একটি দুর্বলতা পাওয়া গেছে," "অতিরিক্ত, এই মুহূর্তে ওপেন সোর্স সফ্টওয়্যার লেখার পরিমাণে কিছুটা হ্রাস পেলেও, আমরা এখনও আছি কোড লেখার পরিমাণ সর্বকালের উচ্চতায়,” ওয়্যার ব্যাখ্যা করেছেন। তিনি এমন একটি দৃশ্যের বর্ণনা দিয়েছেন যেখানে, প্রতিটি দুর্বলতার জন্য, কোডটি সাউন্ড হওয়ার আগে আরও 5-10টি আরও দুর্বলতা খুঁজে পেতে হবে।

xz Utils থেকে পাঠ

মিসের কাছাকাছি XZ Utils এর মাত্রা ক্রাউডসোর্সড সফ্টওয়্যারের ভঙ্গুরতা এবং ফেইলসেফ ইন্সটলেশনের জরুরী প্রয়োজনের একটি প্রখর অনুস্মারক হিসাবে কাজ করে, যেমন ওয়্যার আরও ব্যাখ্যা করে:

“আমরা পুরোপুরি জানি যে জাতি-রাষ্ট্রগুলি সফ্টওয়্যারের নিরাপত্তা নষ্ট করতে চায়। আপনাকে যা করতে হবে তা হল এপিটিগুলির তালিকাটি দেখতে যা সেখানে রয়েছে।" ওয়্যার বলেন, আরও ব্যাখ্যা করে যে "ঐতিহাসিকভাবে, এই হুমকি অভিনেতারা তাদের লক্ষ্য অর্জনের জন্য শূন্য-দিনের দুর্বলতা ব্যবহার করার উপর দৃষ্টি নিবদ্ধ করেছে।" যাইহোক, তিনি এও উল্লেখ করেছেন যে "অপারেশনালভাবে, এই হুমকি অভিনেতারা কেবল একটি শূন্য-দিন খুঁজে পায় না এবং তারপরে অবিলম্বে এটি শোষণ করে। তারা শূন্য-দিনের দুর্বলতাগুলি জমা করে (তাদের নিজস্ব গবেষণার মাধ্যমে আবিষ্কৃত বা কেনা) এবং তারপরে যখন তাদের কর্মক্ষম লক্ষ্যগুলি পূরণ করে এমন একটি প্রয়োজন তখন সেগুলি ব্যবহার করে।"

ইতিমধ্যে, ওয়্যার একটি দুর্বলতার অস্তিত্ব এবং সফ্টওয়্যার বিকাশকারীদের তাদের সিস্টেমগুলি প্যাচ করতে যে সময় লাগে তার মধ্যে দীর্ঘ-টেইল সময়কাল নির্দেশ করে। মেরামতের এই বিলম্ব অব্যাহত থাকায় হুমকি অভিনেতারা দীর্ঘ সময়ের জন্য দুর্বলতা জমা করতে পারে।

সফটওয়্যার ম্যানিপুলেশনের জন্য দৃষ্টির একটি অস্পষ্ট লাইন

সময়ের সাথে সাথে যা খুব বেশি দৃশ্যমান হয়নি তা হ'ল জাতি-রাষ্ট্র অভিনেতারা সফ্টওয়্যার ম্যানিপুলেট করার জন্য যা করছে। "এক্সজেড-এর সাথে পুরো ঘটনাটি এই জাতীয় রাষ্ট্রগুলি কী ধরণের সংস্থান বহন করতে পারে তা দেখানো সহ এর মধ্যে কিছু জানালার একটি বিট দিয়েছে," ওয়্যার বলেছেন। যাইহোক, xz ঘটনাটি একমাত্র প্রমাণ নয় যে এই সামাজিক প্রকৌশল পরিশীলতার কিছু চেষ্টা করা হয়েছে। "সত্যিই, আমার উদ্বেগের বিষয় হল ওপেন সোর্স সফ্টওয়্যার এবং বাণিজ্যিক সফ্টওয়্যার উভয় ক্ষেত্রেই দেশ-রাষ্ট্র দ্বারা যা করা হয়েছে যা আমরা এখনই জানি না," রায়ান হাইলাইট করেছেন।

সোলারউইন্ডস ঘটনাটি সাম্প্রতিক স্মৃতি থেকে বিবর্ণ হয়েছে কিনা জিজ্ঞাসা করা হলে, ওয়্যারের দৃষ্টিতে, এটি আপনি কাকে জিজ্ঞাসা করছেন তার উপর নির্ভর করে:

“আমি মনে করি না যে সরকারী কর্মকর্তাদের কাছ থেকে SolarWinds এর পাঠ বিবর্ণ হয়েছে। OpenSSF (যেমন SLSA এবং GUAC) সফ্টওয়্যার সাপ্লাই চেইন সুরক্ষার আশেপাশে বেশিরভাগ কাজ করা হচ্ছে কারণ CISA এই ক্ষেত্রে সমাধান দেখতে চায়,” তিনি বলেছিলেন।

"আমি মনে করি এটি অবশ্যই জনসাধারণের চেতনা থেকে বাদ পড়েছে, কিন্তু একই সাথে আমি জানি না এটি জনসাধারণের চেতনাকে কতটা প্রসারিত করেছিল," ওয়্যার যোগ করেছেন, গড় শখের সফ্টওয়্যার বিকাশকারীর জন্য প্রভাব সহ একটি দৃষ্টিভঙ্গি তুলে ধরে, প্রায়শই এর সদস্য "জনচেতনা।"