M>И потом заботливо все символы преобразовали так, чтобы в явном виде нигде не вылезали текстовые строки API-функций, используемых для внедрения в sshd и работы. Собственно на этом и погорели в итоге — маскировка слишком медленно работала.
Спалились на неумении писать компактный код. Вот если б там весь код был пару килобайт (а ведь больше-то и не надо!), хрена бы кто заметил.
Атаку детально прорабатывали минимум три года.
Можно, конечно, предполагать, что это дело рук одиночки, а то и самого единственного мейнтейнера, который этим хотел [подставить по вкусу]
Но как-то слабо верится. Особенно если у человека есть основная работа и вообще жизнь.
L>> скорее всего, производителя ПО с закрытым кодом может просто убедительно попросить добавить такой бекдор. CC>Будет послана нахрен,
А если посылалка не отросла? CC>ибо никто не будет хоронить свою репутацию,
Примеров, когда компании хоронят свою репутацию абсолютно добровольно, более чем хватает. CC>на которой базируются ежегодные продажи, ради смешной суммы, которая тут была потрачена.
У тебя включен режим повышенной наивности. Разве кто-то упоминал деньги? L>>При этом то, что source был таки open, сильно помогло в раскрытии замысла. CC>Не. Разница довольно таки незначительная.
Здравствуйте, netch80, Вы писали:
N>В прошлые разы спрашивали "ну где тот миллион глаз который высмотрит всё?"
Что я понял (поправьте если не так):
а. Бэкдор попал в несколько дистрибов
б. Был обнаружен случайно. Если бы не его прожорливость, то и мысли что-то там искать ни у кого бы не возникло
в. Был обнаружен пользователем, т.е. человеком не связанным с проектом
Но по итогу — ура опенсорсу?
L>Атаку детально прорабатывали минимум три года. L>Можно, конечно, предполагать, что это дело рук одиночки, а то и самого единственного мейнтейнера, который этим хотел [подставить по вкусу] L>Но как-то слабо верится. Особенно если у человека есть основная работа и вообще жизнь.
А что ты в этом видишь сложного или трудоемкого? По мне, так самое сложное в этой цепочке было стать майнтейнером.
Здравствуйте, Stanislaw K, Вы писали:
SK>Какими "такими" ресурсами? непосредственно наследил один неизвестный с нескольких аккаунтов. код с багами и не оттестирован.
Атака в активной фазе продолжалась три года. Кто знает сколько времени она планировалась. Мне сложно поверить в то, что один исполнитель просто прикола ради (или по каким-то другим личным причинам) будет скрупулезно продолжать операцию.
SK>Мне кажется, я даже уверен, у организации (с ресурсами) и неизвестных исполнителей было бы больше и код оттестирован в лабе и бы изменения коллективно внесли бы быстрее.
Я вот не уверен. весьма вероятно, что за механизм внедрения бекдора и за код собственно бекдора отвечали совершенно разные люди. Причем, последние вообще могли не знать, в чем именно принимауют участие, а круг первых должен быть ограничен и в идеале состоять только из одного человека.
SK>И фиг бы вообще тысячи глаз его заметили, как это было в те разы.
Так часть эксплойта заботливо спрятали от "тысяч глаз":
The m4 modification was only made in the github tarball, somewhat later, and it's not checked into git.
Оно там обфуцировано, конечно, но все же.
L>>При этом то, что source был таки open, сильно помогло в раскрытии замысла. SK>"Раскрытие замысла", это его предотвращение _до_ совершения.
Ну, я бы не был так категоричен. Бекдор успел попасть только на отедьные ветки отдельных дистрибутивов. Если цель замысла была — каждому линуксу по бекдору, то вышел облом.
Правда, замысел мог быть в чем-то совсем другом.
SK>А тут расследование постфактум, уже свершенного. Исходники просто незначительно облегчили работу.
Значительно — виртуальная личность "злоумышленника" уже известна. В случае с ПО с закрытым кодом концы можно запрятать.
Впрочем, я могу бредить и все это — дипломная работа студента по специальности "кибербезопасность". Или научное исследование, привзанное показать, что любой процесс может скомпрометирован применением social engineering.
Здравствуйте, rFLY, Вы писали:
L>>Но как-то слабо верится. Особенно если у человека есть основная работа и вообще жизнь. FLY>А что ты в этом видишь сложного или трудоемкого? По мне, так самое сложное в этой цепочке было стать майнтейнером.
Время. Исхожу из предположения, что у человека, способного такое спланировать в одиночку, без дополнительной мотивации на подобные шалости просто не будет времени.
А тут нужно было быть активным мейнтейнером, код коммитить и т.п.
Здравствуйте, landerhigh, Вы писали:
L>Время. Исхожу из предположения, что у человека, способного такое спланировать в одиночку, без дополнительной мотивации на подобные шалости просто не будет времени.
Да какие шалости, понятно что хотел заработать либо сам, на эксплуатации уязвимости, либо продать ее.
L>А тут нужно было быть активным мейнтейнером, код коммитить и т.п.
Если это устоявшаяся библиотека, то не думаю, что часто приходилось что-то добавлять или изменять.
Здравствуйте, landerhigh, Вы писали:
L>Ощущение, что либо поторопились, либо недотестировали, либо банально экспертизы хватило только на социальную инженерию и обфускацию. Почти удалось внедрить бекдор, который можно было внезапно активировать.
Еще не расчитывали на "психа", которого стала раздражать полусекундная(!) задержка при авторизации, причем настолько, что он полез разбираться из-за чего она, правда думая не на бекдор, а просто на говнокодинг.
M>>Так или иначе, но побеспокоились. CC>Миллионы мух на ревью кода ничегошеньки не заметили.
На ревью собственно кода ничего и не было, вот в чем фишка-то. А в мутные простыни автогенеренных скриптов для сборки, еще и разных на разной системе, никто заглядывать не стал. Тем более там в них малвари даже и не было, а всего лишь очень тихо восстанавливался битый тестовый архив и извлекался скрипт из него. Задумано было красиво, что ни говори.
M>> И без открытых исходников было бы все намного проще CC>Как ты себе представляешь добавление подобного в закрытые исходники со стороны?
Устроиться на работу, получить права на коммиты. Или думаешь в закрытой разработке точно такой же трюк не прошел бы ревью? Это одна сторона вопроса, другая, что с точки зрения юзера вообще непонятно, что из его данных в каких объемах сливается или может быть слито при каких условиях и кому.
Здравствуйте, landerhigh, Вы писали:
L>Атака в активной фазе продолжалась три года.
Подавляющее время ничего не происходило. Над было просто выжидать и писать письма имитируя гневных пользователей, требующих поскорее "принять патч который им нужен"
L> Кто знает сколько времени она планировалась.
Какое это имеет отношение к требуемым ресурсам?
L> Мне сложно поверить в то, что один исполнитель просто прикола ради (или по каким-то другим личным причинам) будет скрупулезно продолжать операцию.
А что тут было такого, что не может провернуть один чел с целью и лёгким аутизмом?
L>Значительно — виртуальная личность "злоумышленника" уже известна.
И как это поможет? Виртуал этож как презерватив, порвался — выкинули.
L> В случае с ПО с закрытым кодом концы можно запрятать.
Чтоб что то в закрытый софт добавить надо устроиться в компанию работать и внутри получить доступ к коду конкретной подсистемы.
Виртуалом это не получится.
... << RSDN@Home 1.3.110 alpha 5 rev. 62>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, landerhigh, Вы писали:
CC>>Какими ресурсами? L>Image: XZ-backdoor.png
А где там про ресурсы, которые понадобились атакующему?
L>Атаку детально прорабатывали минимум три года.
Ты часом не путаешь "прорабатывали" и "реализовывали"?
L>Но как-то слабо верится. Особенно если у человека есть основная работа и вообще жизнь.
Вообще не вижу проблемы.
CC>>Будет послана нахрен, L>А если посылалка не отросла?
Ну вон Apple регулярно посылает.
CC>>ибо никто не будет хоронить свою репутацию, L>Примеров, когда компании хоронят свою репутацию абсолютно добровольно, более чем хватает.
Например? Только релевантное обсуждаемому раскладу "заставили" а не просто тупорылые решения верхнего манагемента.
L>У тебя включен режим повышенной наивности.
У меня всегда включен режим циничности.
L>Разве кто-то упоминал деньги?
Основная цель любой коммерческой компании — зарабатывание денег.
... << RSDN@Home 1.3.110 alpha 5 rev. 62>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, Michael7, Вы писали:
M>Задумано было красиво, что ни говори.
+1
M>Устроиться на работу, получить права на коммиты.
Надо пройти все интервью, засветив себя реального, устроиться, на в нужный подотдел, получить доступ в нужную репу...
M> Или думаешь в закрытой разработке точно такой же трюк не прошел бы ревью?
У нас такое QA отловил бы, ещё до того как интеграторы пустили бы это в master
M>с точки зрения юзера вообще непонятно, что из его данных в каких объемах сливается или может быть слито при каких условиях и кому.
Опять эти байки.
Юзер ни ухом ни рылом что тут что там.
Да и в целом никто не читает все сурсы того, что он себе тока шо поставил.
... << RSDN@Home 1.3.110 alpha 5 rev. 62>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, Michael7, Вы писали:
L>>Ощущение, что либо поторопились, либо недотестировали, либо банально экспертизы хватило только на социальную инженерию и обфускацию. Почти удалось внедрить бекдор, который можно было внезапно активировать. M>Еще не расчитывали на "психа", которого стала раздражать полусекундная(!) задержка при авторизации, причем настолько, что он полез разбираться из-за чего она, правда думая не на бекдор, а просто на говнокодинг.
Прошляпили "задержку". Это косвенно говорит в пользу теории, что внедрение бекдора и сам бекдор делали разные люди, причем авторы кода бекдора вообще были не в курсе.
Псих, который заметил полусекундную задержку, тоже на первый взгляд выглядит подозрительно. Но, скорее всего, так дело и было.
Здравствуйте, CreatorCray, Вы писали:
CC>OpenSource по определению особенно vulnerable к таким атакам
А кто не особенно? В гугле и фейсбуке норм тема аппрувить коммиты друг друга. Я видел как два китаца таким образом затащили лютый говнокод в фейсбучную монорепу.
Здравствуйте, netch80, Вы писали:
N>В прошлые разы спрашивали "ну где тот миллион глаз который высмотрит всё?" N>Ожидаю, что все расслабятся и будут надеяться на соседа.
Времена "all bugs are shallow" давно прошли. Даже Линус ничего не смог сказать, когда SJW его "на место поставили".
Здравствуйте, landerhigh, Вы писали:
SK>>Какими "такими" ресурсами? непосредственно наследил один неизвестный с нескольких аккаунтов. код с багами и не оттестирован.
L>Атака в активной фазе продолжалась три года.
Скорее полтора, но не больше двух.
L>Кто знает сколько времени она планировалась. Мне сложно поверить в то, что один исполнитель просто прикола ради (или по каким-то другим личным причинам) будет скрупулезно продолжать операцию.
Мне сложно представить что организация годами будет тратить деньги за иллюзорную возможность в отдаленном будущем.
SK>>Мне кажется, я даже уверен, у организации (с ресурсами) и неизвестных исполнителей было бы больше и код оттестирован в лабе и бы изменения коллективно внесли бы быстрее.
L>Я вот не уверен. весьма вероятно, что за механизм внедрения бекдора и за код собственно бекдора отвечали совершенно разные люди. Причем, последние вообще могли не знать, в чем именно принимауют участие, а круг первых должен быть ограничен и в идеале состоять только из одного человека.
Если верить интернет экспертам, собственно бэкдор примитивный, и даже "заморочное" скрытие бэкдора уровня школьника познавшего uuencode\base64.
SK>>И фиг бы вообще тысячи глаз его заметили, как это было в те разы.
L>Так часть эксплойта заботливо спрятали от "тысяч глаз": L>
L>The m4 modification was only made in the github tarball, somewhat later, and it's not checked into git.
L>Оно там обфуцировано, конечно, но все же.
зипованный бинарник "закодированный" uuencode в текстовые файлы и собираемый из фрагментов. это поможет пройти автоматические анализаторы, но настолько необычно что должно привлекать внимание "тысячи глаз" как красная тряпка.
L>>>При этом то, что source был таки open, сильно помогло в раскрытии замысла. SK>>"Раскрытие замысла", это его предотвращение _до_ совершения.
L>Ну, я бы не был так категоричен. Бекдор успел попасть только на отедьные ветки отдельных дистрибутивов. Если цель замысла была — каждому линуксу по бекдору, то вышел облом. L>Правда, замысел мог быть в чем-то совсем другом.
Это возможно.
Например, теперь свободолюбивые анонимные хомячки будут добровольно показывать свои ID перед входом в интернет
SK>>А тут расследование постфактум, уже свершенного. Исходники просто незначительно облегчили работу. L>Значительно — виртуальная личность "злоумышленника" уже известна. В случае с ПО с закрытым кодом концы можно запрятать.
Нужно еще заставить линуксоидов массово пользоваться этим закрытым ПО.
Здравствуйте, rFLY, Вы писали:
FLY>Что я понял (поправьте если не так): FLY>а. Бэкдор попал в несколько дистрибов FLY>б. Был обнаружен случайно. Если бы не его прожорливость, то и мысли что-то там искать ни у кого бы не возникло FLY>в. Был обнаружен пользователем, т.е. человеком не связанным с проектом
Всё верно.
FLY>Но по итогу — ура опенсорсу?
Приятный способ приписать заслугу "раз я линуксоид, значит я тоже причастен к этой победе".
Здравствуйте, CreatorCray, Вы писали:
L>>Атака в активной фазе продолжалась три года. CC>Подавляющее время ничего не происходило. Над было просто выжидать и писать письма имитируя гневных пользователей, требующих поскорее "принять патч который им нужен"
Да, как два пальца ап асфальт.
L>> Кто знает сколько времени она планировалась. CC>Какое это имеет отношение к требуемым ресурсам?
Самое прямое
L>> Мне сложно поверить в то, что один исполнитель просто прикола ради (или по каким-то другим личным причинам) будет скрупулезно продолжать операцию. CC>А что тут было такого, что не может провернуть один чел с целью и лёгким аутизмом?
Тем, что это не Голливуд, например.
L>>Значительно — виртуальная личность "злоумышленника" уже известна. CC>И как это поможет? Виртуал этож как презерватив, порвался — выкинули.
Тем, что в случае с closed source концы можно надежно спрятать так, что разматывать будет вообще нечего.
L>> В случае с ПО с закрытым кодом концы можно запрятать. CC>Чтоб что то в закрытый софт добавить надо устроиться в компанию работать и внутри получить доступ к коду конкретной подсистемы. CC>Виртуалом это не получится.
Здравствуйте, Stanislaw K, Вы писали:
L>>Атака в активной фазе продолжалась три года. SK>Скорее полтора, но не больше двух.
Аккаунт на гитхабе был создан в 21 году. Это уже активная фаза операции.
L>>Кто знает сколько времени она планировалась. Мне сложно поверить в то, что один исполнитель просто прикола ради (или по каким-то другим личным причинам) будет скрупулезно продолжать операцию. SK>Мне сложно представить что организация годами будет тратить деньги за иллюзорную возможность в отдаленном будущем.
"Организации", о которых идет речь, операции прорабатвают десятилетиями.
L>>Я вот не уверен. весьма вероятно, что за механизм внедрения бекдора и за код собственно бекдора отвечали совершенно разные люди. Причем, последние вообще могли не знать, в чем именно принимауют участие, а круг первых должен быть ограничен и в идеале состоять только из одного человека.
SK>Если верить интернет экспертам, собственно бэкдор примитивный, и даже "заморочное" скрытие бэкдора уровня школьника познавшего uuencode\base64.
Еще вчера вечером были известны только общие детали работы бекдора.
А вот механизм внедрения с возможностью расширения — явно не уровня школьника.
SK>зипованный бинарник "закодированный" uuencode в текстовые файлы и собираемый из фрагментов. это поможет пройти автоматические анализаторы, но настолько необычно что должно привлекать внимание "тысячи глаз" как красная тряпка.
Этот бинарник был добавлен как "сломаный архив для тестов". А проверять, чем там в итоге make занимается никаких тысяч глаз не хватит.
Замечу, что без m4 файла, который отличался от того, что в репозитории, внедрение не работает. Но, как пишут, то, что содержание таболла для сборки зачастую отличается от репы, и это принятая практика(!). То есть есть уявзимость собственно в процессе.
SK>Нужно еще заставить линуксоидов массово пользоваться этим закрытым ПО.
Хватит уже про "линуксоидов". Линукс сейчас вообще везде. Даже в утюгах, без преувеличения.
