कैसे एक दुर्भावनापूर्ण Xz Utils अपडेट ने दुनिया भर में लिनक्स सिस्टम पर लगभग एक भयावह साइबर हमले का कारण बना

xz Utils में किए गए दुर्भावनापूर्ण अपडेट के कारण, हाल ही में सामने आई एक बैकडोर घटना से दुनिया संक्रमित होने के करीब थी। इस प्रभाव में 2020 में सोलरविंड्स हमले के समान तबाही मचाने की क्षमता थी, जिसने रूसी हैकर्स को कई संयुक्त राज्य अमेरिका की सरकारी एजेंसियों के मूल में घुसने की अनुमति दी थी।

आर्स टेक्निका की रिपोर्ट के अनुसार, यह हमला सफलता के "बेहद करीब" था, और सॉफ्टवेयर और क्रिप्टोग्राफी इंजीनियर फिलिपो वाल्सोर्डा ने इसे शायद "सबसे अच्छा निष्पादित आपूर्ति श्रृंखला हमला" बताया, जो आज तक देखा गया था।

इंटरनेट के क्राउडसोर्स कोड का अधिकांश हिस्सा बुरे लोगों और राष्ट्र-राज्यों द्वारा घुसपैठ के लिए असुरक्षित है। ओपन सोर्स सॉफ्टवेयर "इंटरनेट के दिल" में है, इसे बड़े पैमाने पर मुट्ठी भर स्वयंसेवकों द्वारा बनाए रखा जाता है और यह इसे निगमों और सरकारों के लिए एक बड़ा सुरक्षा जोखिम बनाता है, द इकोनॉमिस्ट ने रिपोर्ट किया। ओपन-सोर्स सॉफ्टवेयर को आमतौर पर इसकी कम लागत के कारण डिजिटल बुनियादी ढांचे में तैनात किया जाता है। वह बुनियादी ढांचा, जो डिजिटल दुनिया में अंतर्निहित है, विभिन्न दुश्मन राष्ट्र-राज्यों द्वारा हमला किया जा रहा है।

हाल ही में xz Utils ओपन सोर्स का डर

29 मार्च, 2024 को, माइक्रोसॉफ्ट के एक सॉफ्टवेयर इंजीनियर एंड्रेस फ्रंड ने "लिनक्स ऑपरेटिंग सिस्टम के एक हिस्से में छिपे हुए एक बैकडोर को पाया।" यह बैकडोर xz Utils के सोर्स कोड से आया था, जिसके साथ छेड़छाड़ की गई थी, और प्रभावित संस्करणों का उपयोग करने वाले सिस्टम तक अनधिकृत पहुँच की अनुमति दी थी। जिस सोर्स कोड से छेड़छाड़ की गई थी, वह लिनक्स सिस्टम में xz Utils ओपन-सोर्स डेटा कम्प्रेशन यूटिलिटी का था। न्यूयॉर्क टाइम्स ने लिखा कि इंजीनियर ने "संभावित ऐतिहासिक साइबर हमले" को रोका।

चूंकि xz Utils एक खुला स्रोत सॉफ्टवेयर है, इसलिए कोई भी इसका कोड देख सकता है क्योंकि यह सार्वजनिक है और इसमें क्या परिवर्तन किए गए हैं।

जिया टैन नामक एक डेवलपर ने परियोजना में सहायक कोड योगदान देना शुरू किया और धीरे-धीरे विश्वास अर्जित किया। फिर समय के साथ, बुरे अभिनेता ने मैलवेयर की तस्करी की। रूस की विदेशी खुफिया सेवा, एसवीआर, जो हमलों के पीछे संदिग्ध है, सोलरविंड्स हमले के पीछे वही खुफिया सेवा है।

ओपन सोर्स सिक्योरिटी फाउंडेशन (OSSF) ने xz Utils हमले के बारे में चेतावनी दी है क्योंकि यह कोई अलग-थलग घटना नहीं है। बुरे लोगों को इसी तरह की सोशल इंजीनियरिंग रणनीति का इस्तेमाल करके अन्य परियोजनाओं जैसे कि जावास्क्रिप्ट परियोजनाओं के लिए OpenJS फाउंडेशन पर कब्ज़ा करने की कोशिश करते हुए पकड़ा गया था।

ओपन सोर्स सॉफ्टवेयर की भेद्यता

फ्रंटसाइट मीडिया से बात करते हुए, ओपन सोर्स सॉफ्टवेयर विशेषज्ञ रयान वेयर ने जोखिमों की व्यापकता के बारे में बताया:

वेयर के अनुसार, "हमारा डिजिटल इंफ्रास्ट्रक्चर बहुत कमज़ोर है।" "आज तक, 177,914 CVE प्रकाशित किए गए हैं। तर्क के लिए मान लें कि ओपन सोर्स में कोड की 1 बिलियन लाइनें हैं (यह बहुत ज़्यादा है, लेकिन हम इस तर्क को किसी और दिन के लिए छोड़ देंगे)। तर्क के लिए मान लें कि उनमें से आधे CVE ओपन सोर्स के लिए हैं (90,000 एक अच्छी संख्या है)। इसका मतलब है कि ओपन सोर्स कोड के लिए हमें कोड की हर 11,111 लाइनों के लिए केवल एक कमज़ोरी मिली है," उन्होंने कहा।

"कंपनियाँ कोड को इतना साफ-सुथरा बनाने के लिए कुछ भी कर सकती हैं कि कोड की हर 11,000 पंक्तियों में केवल एक ही भेद्यता पाई जाए," "इसके अलावा, जबकि अभी लिखे जा रहे ओपन सोर्स सॉफ़्टवेयर की मात्रा में थोड़ी गिरावट आई है, हम अभी भी लिखे जा रहे कोड की मात्रा में सर्वकालिक उच्चतम स्तर पर हैं," वेयर ने बताया। उन्होंने एक परिदृश्य का वर्णन किया, जहाँ, प्रत्येक भेद्यता के लिए, कोड के सही होने से पहले 5-10 अतिरिक्त भेद्यताएँ पाई जाती हैं।

XZ यूटिलिटीज से सबक

एक्सजेड यूटिलिटीज की निकट चूक की भयावहता क्राउडसोर्स्ड सॉफ्टवेयर की नाजुकता और फेलसेफ इंस्टॉलेशन की तत्काल आवश्यकता की स्पष्ट याद दिलाती है, जैसा कि वेयर आगे बताते हैं:

"हम पूरी तरह जानते हैं कि राष्ट्र-राज्य सॉफ़्टवेयर की सुरक्षा को नष्ट करने की कोशिश करते हैं। आपको बस वहाँ मौजूद APT की सूची को देखना है।" वेयर ने आगे बताया कि "ऐतिहासिक रूप से, ये ख़तरा पैदा करने वाले अपने लक्ष्यों को प्राप्त करने के लिए ज़ीरो-डे कमज़ोरियों का उपयोग करने पर केंद्रित रहे हैं।" हालाँकि, उन्होंने यह भी कहा कि "संचालन के मामले में, ये ख़तरा पैदा करने वाले सिर्फ़ ज़ीरो-डे नहीं ढूँढ़ते और फिर तुरंत उसका फ़ायदा उठाने निकल पड़ते हैं। वे ज़ीरो-डे कमज़ोरियों (अपने स्वयं के शोध के माध्यम से खोजी गई या खरीदी गई) को जमा करके रखते हैं और फिर जब उन्हें अपने परिचालन लक्ष्यों को पूरा करने वाली किसी कमज़ोरी की ज़रूरत होती है, तो उनका उपयोग करते हैं।"

इस बीच, वेयर ने किसी कमज़ोरी के अस्तित्व और सॉफ़्टवेयर डेवलपर्स द्वारा अपने सिस्टम को पैच करने में लगने वाले समय के बीच की लंबी अवधि की ओर इशारा किया। मरम्मत में देरी जारी रहने पर ख़तरा पैदा करने वाले लोग कमज़ोरियों को लंबे समय तक बनाए रख सकते हैं।

सॉफ्टवेयर हेरफेर के लिए अस्पष्ट दृष्टिकोण

समय के साथ इस बात पर बहुत अधिक स्पष्टता नहीं रही है कि राष्ट्र-राज्य अभिनेता सॉफ्टवेयर में हेरफेर करने के लिए क्या कर रहे हैं। "xz के साथ पूरी घटना ने इस बारे में कुछ जानकारी दी है, जिसमें यह दिखाना भी शामिल है कि ये राष्ट्र-राज्य किस तरह के संसाधनों का उपयोग कर सकते हैं," वेयर ने कहा। हालाँकि, xz घटना इस बात का एकमात्र सबूत नहीं है कि इस तरह की सामाजिक इंजीनियरिंग परिष्कार की कोशिश की गई है। "ईमानदारी से, मेरी चिंता यह है कि राष्ट्र-राज्यों ने ओपन सोर्स सॉफ्टवेयर के साथ-साथ वाणिज्यिक सॉफ्टवेयर के क्षेत्र में क्या किया है, जिसके बारे में हम अभी नहीं जानते हैं," रयान ने बताया।

जब उनसे पूछा गया कि क्या सोलरविंड्स घटना हाल की यादों से मिट चुकी है, तो वेयर के अनुसार, यह इस बात पर निर्भर करता है कि आप किससे पूछ रहे हैं:

उन्होंने कहा, "मुझे नहीं लगता कि सोलरविंड्स के सबक सरकारी अधिकारियों पर फीके पड़ गए हैं। ओपनएसएसएफ (जैसे एसएलएसए और जीयूएसी) में सॉफ्टवेयर सप्लाई चेन सुरक्षा के आसपास का अधिकांश काम इसलिए किया जा रहा है क्योंकि सीआईएसए इस क्षेत्र में समाधान देखना चाहता है।"

"मुझे लगता है कि यह निश्चित रूप से सार्वजनिक चेतना से बाहर हो गया है, लेकिन साथ ही मुझे नहीं पता कि यह सार्वजनिक चेतना में कितना व्याप्त है," वेयर ने कहा, औसत शौकिया सॉफ्टवेयर डेवलपर के लिए निहितार्थ के साथ एक परिप्रेक्ष्य पर प्रकाश डालते हुए, जो अक्सर "सार्वजनिक चेतना" का सदस्य होता है।