Do các bản cập nhật   được thực hiện cho xz Utils, thế giới gần như bị lây nhiễm bởi một   Tác động này có khả năng gây ra sự tàn phá tương tự như   năm 2020 cho phép tin tặc Nga xâm nhập vào lõi của nhiều cơ quan chính phủ Hoa Kỳ. độc hại sự cố cửa hậu mới được phát hiện gần đây. vụ tấn công SolarWinds  Theo báo cáo của Ars Technica, cuộc tấn công “rất gần” thành công và được kỹ sư phần mềm và mật mã Filippo Valsorda mô tả có lẽ là “cuộc tấn công chuỗi cung ứng được thực hiện tốt nhất” từng được quan sát cho đến nay.  Phần lớn mã nguồn cộng đồng của Internet rất dễ bị các tác nhân xấu và các quốc gia xâm nhập.   đưa tin, phần mềm nguồn mở là “trái tim của Internet”, phần lớn nó được duy trì bởi một số ít tình nguyện viên và điều đó khiến nó trở thành rủi ro bảo mật lớn đối với các tập đoàn cũng như chính phủ.   thường được triển khai trên   kỹ thuật số vì chi phí thấp. Cơ sở hạ tầng đó, được nhúng trong thế giới kỹ thuật số, đang bị tấn công bởi nhiều quốc gia đối địch. The Economist Phần mềm nguồn mở cơ sở hạ tầng   Xz gần đây sử dụng sự sợ hãi mã nguồn mở  Vào ngày 29 tháng 3 năm 2024, Andres Freund, một kỹ sư phần mềm tại   , đã tìm thấy một “cửa hậu ẩn trong một phần mềm thuộc hệ điều hành Linux”. Cửa hậu này đến từ mã nguồn của xz Utils, đã bị giả mạo và cho phép truy cập trái phép vào các hệ thống sử dụng các phiên bản bị ảnh hưởng. Mã nguồn bị xâm phạm là của   trong hệ thống Linux. Tờ   viết rằng kỹ sư này đã ngăn chặn một “cuộc tấn công mạng có khả năng mang tính lịch sử”. Microsoft tiện ích nén dữ liệu nguồn mở xz Utils New York Times  Vì xz Utils là phần mềm nguồn mở nên bất kỳ ai cũng có thể xem mã vì nó được công khai và những thay đổi đã được thực hiện sau đó.  Một nhà phát triển tên Jia Tan bắt đầu đóng góp mã hữu ích cho dự án và dần dần nhận được sự tin tưởng. Sau đó theo thời gian, kẻ xấu đã đưa phần mềm độc hại vào. Cơ quan tình báo nước ngoài của Nga, SVR, bị nghi ngờ đứng sau vụ tấn công, cũng chính là cơ quan tình báo đứng sau vụ tấn công SolarWinds.  Tổ chức Bảo mật Nguồn Mở (OSSF)   về cuộc tấn công xz Utils có thể không phải là một sự cố riêng lẻ. Những kẻ xấu đã bị phát hiện khi sử dụng các chiến thuật kỹ thuật xã hội tương tự để thử và tiếp quản các dự án khác như   cho các dự án JavaScript. đã cảnh báo OpenJS Foundation   Lỗ hổng của phần mềm nguồn mở  Phát biểu với Frontsight media, Ryan Ware, một chuyên gia phần mềm nguồn mở, đã giải thích mức độ nghiêm trọng của các rủi ro đang diễn ra:  Theo Ware, “Cơ sở hạ tầng kỹ thuật số của chúng tôi rất dễ bị tổn thương”. “Cho đến nay, có 177.914 CVE đã được xuất bản. Giả sử để tranh luận rằng có 1 tỷ dòng mã trong nguồn mở (con số này còn nhiều hơn nữa, nhưng chúng ta sẽ để lại lập luận đó vào một ngày khác). Cũng có thể nói để tranh luận rằng một nửa số CVE đó là dành cho nguồn mở (90.000 cho một con số tròn đẹp). Điều đó có nghĩa là đối với mã nguồn mở, chúng tôi chỉ tìm thấy một lỗ hổng trong mỗi 11.111 dòng mã,” ông nói.  “Các công ty sẽ rất nỗ lực để có mã sạch đến mức cứ 11.000 dòng mã chỉ tìm thấy một lỗ hổng,” “Ngoài ra, mặc dù số lượng phần mềm nguồn mở được viết hiện nay có chút sụt giảm, nhưng chúng tôi vẫn đang ở mức cao nhất mọi thời đại về số lượng mã được viết,” Ware giải thích. Ông mô tả một kịch bản trong đó, với mỗi lỗ hổng được tìm thấy, sẽ có thêm 5-10 lỗ hổng nữa được tìm thấy trước khi mã được phát ra.   Bài học từ xz Utils  Tầm quan trọng của việc Xperia Utils suýt bị trượt đóng vai trò như một lời nhắc nhở rõ ràng về tính mong manh của phần mềm nguồn lực cộng đồng và nhu cầu cấp thiết về việc cài đặt an toàn dự phòng, như Ware giải thích thêm:  “Chúng tôi hoàn toàn biết rằng các quốc gia đang tìm cách phá hoại tính bảo mật của phần mềm. Tất cả những gì bạn cần làm là nhìn vào danh sách   hiện có.” Ware cho biết, giải thích thêm rằng “trong lịch sử, những kẻ đe dọa này đã tập trung vào việc sử dụng các lỗ hổng zero-day để đạt được mục tiêu của chúng”. Tuy nhiên, ông cũng lưu ý rằng “về mặt hoạt động, những kẻ đe dọa này không chỉ tìm ra lỗ hổng zero-day và ngay lập tức khai thác nó. Họ tích trữ các lỗ hổng zero-day (được phát hiện thông qua nghiên cứu của chính họ hoặc được mua) và sau đó sử dụng chúng khi họ cần một lỗ hổng đáp ứng mục tiêu hoạt động của họ.” các APT  Trong khi đó, Ware đã chỉ ra khoảng thời gian dài giữa sự tồn tại của lỗ hổng và thời gian để các nhà phát triển phần mềm vá hệ thống của họ. Các tác nhân đe dọa có thể tích trữ các lỗ hổng trong một thời gian dài vì sự chậm trễ trong việc sửa chữa này vẫn tiếp tục.   Tầm nhìn không rõ ràng về thao tác phần mềm  Điều mà theo thời gian không được thấy nhiều là những gì các tác nhân quốc gia đã và đang làm để thao túng phần mềm. Ware cho biết: “Toàn bộ sự việc xảy ra với xz đã hé mở một phần về vấn đề này, bao gồm cả việc cho thấy những loại tài nguyên mà các quốc gia-dân tộc này có thể mang lại”. Tuy nhiên, sự cố xz không phải là bằng chứng duy nhất cho thấy thứ gì đó phức tạp về   này đã được thử nghiệm. Ryan nhấn mạnh: “Thành thật mà nói, mối lo lắng của tôi là những gì đã được các quốc gia-nhà nước thực hiện trong cả lĩnh vực phần mềm nguồn mở cũng như phần mềm thương mại mà hiện tại chúng tôi chưa biết đến”. kỹ thuật xã hội  Khi được hỏi liệu sự cố SolarWinds có mờ dần trong bộ nhớ gần đây hay không, theo quan điểm của Ware, điều đó phụ thuộc vào người bạn hỏi:  “Tôi không nghĩ những bài học về SolarWinds đã phai mờ đối với các quan chức chính phủ. Phần lớn công việc xung quanh vấn đề bảo mật chuỗi cung ứng phần mềm trong OpenSSF (như SLSA và GUAC) đang được thực hiện vì CISA muốn thấy các giải pháp trong lĩnh vực này,” ông nói.  “Tôi nghĩ nó chắc chắn đã bị loại bỏ khỏi ý thức cộng đồng, nhưng đồng thời tôi không biết nó đã thấm vào ý thức cộng đồng đến mức nào,” Ware nói thêm, nhấn mạnh một quan điểm có ý nghĩa đối với nhà phát triển phần mềm có sở thích trung bình, thường là thành viên của “ý thức cộng đồng”.

This story contains new, firsthand information uncovered by the writer.

Read My Stories

Nghe bài viết này bằng Tiếng Anh, đọc bởi robot thông minh của HackerNoon

dài quá đọc không nổi

Boost your HackerNoon story @ $159.99! 🚀

Làm thế nào một bản cập nhật ứng dụng Xz độc hại gần như gây ra một cuộc tấn công mạng thảm khốc trên các hệ thống Linux trên toàn thế giới

About Author

BÌNH LUẬN

chuyên mục

BÀI VIẾT NÀY CŨNG CÓ MẶT TẠI

Related Stories

72 Stories To Learn About Adam Smith

145 Stories To Learn About Book

85 Stories To Learn About Travel

94 Stories To Learn About John Locke

72 Stories To Learn About Adam Smith

145 Stories To Learn About Book

85 Stories To Learn About Travel

94 Stories To Learn About John Locke

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps