Из-за   обновлений, внесенных в xz Utils, мир был близок к заражению   Это воздействие могло привести к таким же разрушениям, что и   в 2020 году, которая позволила российским хакерам проникнуть в ядро многих правительственных учреждений США. вредоносных недавно обнаруженным бэкдорным инцидентом. атака SolarWinds  Атака была «ужасно близка» к успеху и была описана инженером по программному обеспечению и криптографии Филиппо Вальсорда как, возможно, «самая совершенная атака на цепочку поставок», которая наблюдалась на сегодняшний день, сообщает Ars Technica.  Большая часть краудсорсингового кода Интернета уязвима для проникновения злоумышленников и национальных государств. Программное обеспечение с открытым исходным кодом находится в «сердце Интернета», его в основном поддерживают горстка добровольцев, и это делает его серьезным риском безопасности как для корпораций, так и для правительств, сообщает   .   обычно развертывается в цифровой   из-за его низкой стоимости. Эта инфраструктура, встроенная в цифровой мир, подвергается атакам со стороны различных враждебных национальных государств. The Economist Программное обеспечение с открытым исходным кодом инфраструктуре   Недавняя паника по поводу открытого исходного кода xz Utils  29 марта 2024 года Андрес Фройнд, инженер-программист   , обнаружил «бэкдор, скрытый в программном обеспечении, которое является частью операционной системы Linux». Этот бэкдор был взят из исходного кода xz Utils, который был подделан и позволял несанкционированный доступ к системам, использующим затронутые версии. Скомпрометированный исходный код принадлежал   в системах Linux. The   написала, что инженер предотвратил «потенциально историческую кибератаку». Microsoft утилите сжатия данных с открытым исходным кодом xz Utils New York Times  Поскольку xz Utils является программным обеспечением с открытым исходным кодом, каждый может увидеть общедоступный код и узнать, какие изменения были в него внесены.  Разработчик по имени Цзя Тан начал вносить полезный код в проект и постепенно завоевывал доверие. Затем со временем злоумышленник тайно пронес вредоносное ПО. Российская внешняя разведка СВР, предположительно стоящая за атаками, является той же самой разведывательной службой, которая стояла за атакой SolarWinds.  Фонд безопасности открытого исходного кода (OSSF)   , что атака xz Utils, скорее всего, не является изолированным инцидентом. Злоумышленники были пойманы на использовании аналогичной тактики социальной инженерии, чтобы попытаться захватить другие проекты, такие как   для проектов JavaScript. предупредил OpenJS Foundation   Уязвимость программного обеспечения с открытым исходным кодом  В беседе с Frontsight Media Райан Уэр, эксперт по программному обеспечению с открытым исходным кодом, объяснил масштабы существующих рисков:  «Наша цифровая инфраструктура очень уязвима», — считает Уэр. «На сегодняшний день опубликовано 177 914 CVE. Допустим, в качестве аргумента, что в открытом исходном коде имеется 1 миллиард строк кода (это гораздо больше, но мы оставим этот аргумент на другой день). Давайте также в качестве аргумента скажем, что половина этих CVE относится к открытому исходному коду (90 000 для красивого круглого числа). Это означает, что в открытом исходном коде мы нашли только одну уязвимость на каждые 11 111 строк кода», — сказал он.  «Компании готовы на все, чтобы иметь настолько чистый код, чтобы на каждые 11 000 строк кода обнаруживалась только одна уязвимость», «Кроме того, хотя сейчас наблюдается небольшой спад в объеме написанного программного обеспечения с открытым исходным кодом, мы все еще на рекордно высоком уровне объема написанного кода», — объяснил Уэр. Он описал сценарий, в котором на каждую найденную уязвимость приходится найти еще 5-10 уязвимостей, прежде чем код станет работоспособным.   Урок от xz Utils  Масштаб ситуации с XZ Utils служит ярким напоминанием о хрупкости краудсорсингового программного обеспечения и острой необходимости в отказоустойчивых установках, как далее объясняет Уэр:  «Мы абсолютно точно знаем, что национальные государства стремятся подорвать безопасность программного обеспечения. Все, что вам нужно сделать, это просмотреть список существующих   ». Уэр сказал, далее пояснив, что «исторически эти субъекты угроз были сосредоточены на использовании уязвимостей нулевого дня для достижения своих целей». Однако он также отметил, что «в оперативном плане эти злоумышленники не просто находят нулевой день и сразу же начинают его эксплуатировать. Они накапливают уязвимости нулевого дня (обнаруженные в результате собственных исследований или приобретенные), а затем используют их, когда им нужна уязвимость, которая удовлетворяет их оперативным целям». APT  Между тем, Уэр указал на длительный промежуток времени между существованием уязвимости и временем, которое требуется разработчикам программного обеспечения для исправления своих систем. Злоумышленники могут копить уязвимости в течение длительного времени, поскольку задержка в ремонте продолжается.   Неясное видение манипулирования программным обеспечением  Что в течение долгого времени оставалось незамеченным, так это то, что субъекты национальных государств делали для манипулирования программным обеспечением. «Весь инцидент с xz дал некоторое представление об этом, в том числе показал, какие ресурсы могут использовать эти национальные государства», — сказал Уэр. Однако инцидент с xz — не единственное свидетельство того, что такая изощренная   была опробована. «Честно говоря, меня беспокоит то, что было сделано национальными государствами как в области программного обеспечения с открытым исходным кодом, так и в области коммерческого программного обеспечения, о котором мы сейчас не знаем», - подчеркнул Райан. социальная инженерия  Когда его спрашивают, исчез ли из недавних воспоминаний инцидент с SolarWinds, по мнению Уэра, это зависит от того, кого вы спрашиваете:  «Я не думаю, что уроки SolarWinds остались в стороне от правительственных чиновников. Большая часть работы по обеспечению безопасности цепочки поставок программного обеспечения в OpenSSF (например, SLSA и GUAC) ведется потому, что CISA хочет видеть решения в этой области», — сказал он.  «Я думаю, что это определенно выпало из общественного сознания, но в то же время я не знаю, насколько оно проникло в общественное сознание», — добавил Уэр, подчеркнув перспективу, имеющую последствия для среднего разработчика программного обеспечения-любителя, часто члена «общественное сознание».

This story contains new, firsthand information uncovered by the writer.

Read My Stories

Этот звук создан на языке оригинала истории!

Слишком долго; Читать

Boost your HackerNoon story @ $159.99! 🚀

Как вредоносное обновление Xz Utils едва не привело к катастрофической кибератаке на Linux-системы по всему миру

About Author

КОММЕНТАРИИ

БИРКИ

ЭТА СТАТЬЯ БЫЛА ПРЕДСТАВЛЕНА В

Related Stories

Цифровые кочевники слушают: что нужно знать о новой визе DTV в Таиланде

Хотите выиграть конкурс HackerNoon? Вот что рекомендуют победители конкурса #crypto-api

Краткое введение в теорию мозга Больцмана

Плавание по водам: разработка RAG-приложений промышленного уровня с использованием озер данных

Цифровые кочевники слушают: что нужно знать о новой визе DTV в Таиланде

Хотите выиграть конкурс HackerNoon? Вот что рекомендуют победители конкурса #crypto-api

Краткое введение в теорию мозга Больцмана

Плавание по водам: разработка RAG-приложений промышленного уровня с использованием озер данных

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps