0.0
Fünfhundert Millisekunden.
1.84
Eine halbe Sekunde.
3.379
Der Rand, an dem das Internet nicht war
6.559
Entführt.
6.919
März 2024.
10.039
San Francisco.
11.56
Ein 38-jähriger Microsoft-Ingenieur namens Andres Freund ist
15.298
Benchmarking von PostgreSQL auf einem Debian-Entwicklungssystem.
18.306
Es ist eine Routinearbeit.
20.454
Freund ist ein Kommitter am PostgreSQL-Projekt.
23.893
Er testet die Datenbank-Performance gegen vorveröffentlichte Linux-Distributionen.
27.332
als regelmäßiger Bestandteil seiner Arbeit.
30.339
Irgendetwas stimmt nicht mit der Testumgebung.
33.2
SSH-Loginversuche, die nicht gelungen sind, die Art, die
36.863
Auf jeden öffentlichen Server sind ständig automatisierte Bots, die versuchen, zu schlagen.
40.228
Zufällige Benutzernamen- und Passwortkombinationen verwenden
43.591
Weit mehr CPU als sie sollten.
46.115
Ein fehlgeschlagenes Login sollte schnell beendet werden.
48.637
Diese werden nicht schnell beendet.
50.74
Freund notiziert.
52.32
Er untersucht weiter.
53.926
Erfolgreiche SSH-Logins, auf seinem eigenen lokalen Computer,
57.406
Sie brauchen fünfhundert Millisekunden länger als die
60.889
Die Basiszeit beträgt etwa hundert Millisekunden.
63.5
Eine halbe Sekunde.
64.92
Freund führt die Verbindung unter Valgrind, einem Speicher-Debugging.
69.763
Das Tool.
70.17
Valgrind wirft Fehler auf Liblzma hin, die auf a
73.414
Komprimierungsbibliothek, die der SSH-Daemon nicht hat
76.658
Legittimer Grund, sich zu berufen.
78.28
Dann wird die Untersuchung dringend.
81.299
In den nächsten Tagen verfolgt Freund die .
84.772
Fehler. Fehler. Fehler.
85.168
Er findet heraus, dass der sshd-Prozess auf seinem
88.34
Die Testmaschine führt Code aus liblzma während aus.
91.512
Authentifizierung.
91.908
Er zerlegt die xz-utils-Quelle in der git
95.079
Repository.
95.475
Die Quelle ist sauber.
97.061
Aber der Freisetzungsball die komprimierte Quelle
100.233
Archiv, das Debian tatsächlich herunterladen und aus dem Archiv erstellt.
103.406
enthält eine Datei namens build-to-host.m4 die ist.
106.578
nicht in der Git-Quelle.
108.56
Diese Datei enthält ein obfuschiertes Skript.
111.801
Das Skript entschlüsselt ein bash-Skript, das sich darin versteckt hat.
115.722
Eine Testdatei namens bad-3-corrupt_lzma2.xz eine Datei
119.644
Das ist als gebrochener Test-Eingang verkleidet
123.566
für die Fehlerbearbeitung der Komprimierungsbibliothek.
126.507
Das bash-Skript dekodiert eine zweite Datei, good-large_compressed.lzma,,
130.429
Mit benutzerdefinierter Obfuscation in Kombination mit RC4-Entlüsslung.
133.86
Was am Ende der herauskommt
136.834
Eine Kompilierungshilfe ist eine gemeinsame Objektkette.
138.84
Das geteilte Objekt ist eine Hintertür.
141.979
Am Abend des 29. März 2024
146.679
Während er selbst nach eigenen Angaben auf ein hörte.
149.778
Podcast während einer Kochpause Andres
152.877
Freund veröffentlicht seine Ergebnisse an das oss-security mailing
155.978
Liste bei Openwall.
157.139
Innerhalb von 24 Stunden hat Red Hat es zugewiesen
160.9
Eine CVE-Nummer.
162.198
Die Schweregrad-Score ist zehn Punkte Null.
165.224
So hoch wie möglich.
166.522
Die CISA gibt einen Notfallberatungsblatt aus.
168.685
Debian, SUSE, Fedora, Arch und Kali reversieren sich alle.
172.145
Die betroffenen Pakete.
173.443
GitHub schaltet das Konto des Betreueres aus, der es unterhält.
176.902
Die Hintertür wurde verpfändet.
178.199
Die Hintertür war anscheinend auf
181.644
Schiff mit stabilen Linux-Distributionen innerhalb von etwa zwei
184.787
Wochen.
185.18
Freund hat es zufällig erwischt.
187.08
Dies ist die Fallakte zu dem, was passiert ist.
191.578
Über das, was fast passiert ist.
193.026
Und was die Operation war.
195.199
Das Ziel des Angriffs waren xz-utils.
199.06
xz-utils ist ein Komprimierungs-Toolkit.
201.688
Sein Hauptwerkzeug, der xz-Befehl, erzeugt .xz.
205.414
das Unix-Äquivalent von .zip-Dateien,
209.14
mit höheren Kompressionsraten.
211.003
Im Kommandozeilenwerkzeug befindet sich eine Bibliothek namens.
214.73
Es gibt eine neue Version von liblzma, die den Komprimierungsalgorithmus für andere libl bereitstellt.
218.456
Programme, die es brauchen.
220.319
Die liblzma wird direkt oder indirekt von einem lib geladen.
223.984
Eine enorme Menge an Linux-Systemsoftware.
226.507
Paketmanager verlinken sich dagegen.
228.609
System-Utilities verknüpfen sich dagegen.
230.711
Und durch eine Kette, die die Angreifer verursachen
234.075
Speziell konstruiert die OpenSSH-Daemon-Links gegen
237.439
Es ist es.
237.86
Die Kette läuft so.
240.689
Auf den meisten großen Linux-Distributionen ist sshd patched
244.736
Systemd unterstützt den Service-Notifikationsmechanismus, der sd_notify genannt wird.
248.784
Dieser Patch verursacht, dass sshd eine Bibliothek laden kann
252.831
Libsystemd. genannt.
253.843
Und libsystemd wiederum lädt liblzma.
256.879
Das Ergebnis: Auf den meisten Linux-Servern, die die Produktion betreiben, ist die
260.66
SSH-Daemon der Prozess, der den Fernbedienungsaktivität akzeptiert
264.139
Logins laden eine Komprimierungsbibliothek beim Startup,
267.62
Auch wenn SSH den Authentifizierungsverkehr nicht komprimiert.
271.1
Kompromizieren Sie die Komprimierungsbibliothek, und Sie kompromittieren die Komprimierungsbibliothek.
274.696
Daemon, der Remote-Zugriff auf jedes Linux-Lineux steuert
277.992
Server im Internet.
279.639
Im Moment der nahen Bereitstellung der Backdoor-Lineux wird Linux
283.206
Das Unternehmen lief etwa 96 Prozent des Tops.
286.471
Eine Million Webserver weltweit.
289.329
Alle fünfhundert der mächtigsten Männer der Welt
292.596
Supercomputer.
293.004
Etwa zweiundneunzig Prozent der virtuellen Maschinen in ganz Amazon
296.269
Web Services, Google Cloud und Microsoft Azure.
299.127
Android, das etwa fünfundvierzig Prozent des gesamten Netzwerks betreibt.
302.394
Die weltweit größten Smartphones basieren auf dem Linux-Kernel.
305.66
Die xz-utils backdoor, hatte es verschifft, um stabil
308.971
Verteilungen, wären in einer erheblichen Menge vorhanden gewesen
311.982
Der Bruchteil aller oben genannten.
314.24
Alex Stamos, der ehemalige Chief Security Officer von
317.766
Facebook beschrieb das beabsichtigte Ergebnis in einem Satz:
320.99
Ein Master Key zu jedem SSH-Server auf
324.216
Die Erde.
324.62
Deshalb wurde der CVE zehn Punkte erreicht
329.675
Punkt null.
330.54
Das technische Design der Hintertür ist es wert.
334.487
Verständnis genau.
335.399
Der Angreifer nutzte die Tatsache aus, dass die Freisetzung von Tarballs
338.867
Sie enthalten automatisch erzeugte Dateien, die in nicht existieren.
342.033
die version-kontrollierte Git-Quelle.
343.617
Insbesondere die build-to-host.m4-Datei im Tarball enthielt
346.783
Eine einzige Zeile, die auf geändert wurde.
349.949
Ein verschleiertes Skript in den Konfigurationsschritt injizieren
353.117
des Bauprozesses.
354.699
Dies bedeutete, dass jeder, der die git-Quelle liest,
357.783
Der Code konnte die Hintertür nicht sehen.
359.87
Jeder, der von git aus baut, konnte es nicht auslösen.
362.653
Nur Linux-Distributionen, die aus den veröffentlichten Versionen ausbauen
365.437
Tarballs , was praktisch alle sind
368.22
würde die Injektion ausführen.
369.959
Die Spritzgelenkkette bestand aus drei Stufen.
372.636
In Stufe eins wurde ein Bash-Skript aus einem extrahiert.
375.803
Die Datei ist als korrupte Kompressionsprüfung eingegeben.
378.971
In Stufe zwei wurde das Bash-Skript verwendet, um zu entschlüsseln
382.139
Eine zweite Testdatei in eine kompilierte gemeinsame Version zu verwandeln
385.307
Objekt. Objekt.
385.704
Stufe drei verknüpfte das geteilte Objekt mit dem .
388.872
Er hat ein binäres liblzma-Library zusammengestellt.
390.06
Das geteilte Objekt nutzte eine legitime glibc-Funktion.
394.492
IFUNC indirekte Funktion genannt Resolver zu
398.624
Sie haben eine spezifische OpenSSH-Funktion namens RSA_public_decrypt entführt.
402.24
RSA_public_decrypt ist die OpenSSH-Funktion, die RSA valideert
406.473
Unterschriften während der Zertifikat-Authentifizierung.
408.439
Jedes Mal, wenn ein Client versucht, mit zu verbinden,
412.372
Bei einem RSA-Zertifikat ruft sshd diese Funktion auf
416.305
Überprüfen Sie die Signatur.
417.779
Mit der Backdoor aktiviert, rief sshd den
421.92
Stattdessen ist der Angreifercode.
423.36
Der Angreifer-Code untersuchte den RSA-Public-Modulus
427.163
der große ganze Wert, der in der
430.668
Das Zertifikat des Kunden.
431.543
Normalerweise wird dieser Wert in Standard-RSA verwendet.
435.048
Überprüfung.
435.485
Im Hintertür war es eigentlich eine Nutzlast
438.99
Ein Container.
439.427
Der Code entschlüsselte die Nutzlast mit einem hart verschlüsselten
442.932
ChaCha20 symmetrischer Schlüssel.
444.245
Dann überprüfte es die Signatur der entschlüsselten Nutzlast mit Hilfe von.
447.75
Ein hart kodiertes Ed448 Public Key.
449.939
Wenn die Unterschrift verifiziert wurde, bedeutet das die Nutzlast.
453.107
wurde vom Privatschlüssel des Angreiferen unterschrieben.
455.973
Der Code hat die eingebetteten Shell-Befehlen als ausgeführt.
458.841
Root. Root.
459.199
Das ist, was Sicherheitsforscher als geschlossenes Fernbedienungssystem bezeichnen.
464.192
Code-Ausführung.
465.04
Die Hintertür wird nur aktiviert, wenn der Angreifer sich präsentiert
468.432
Eine gültige kryptographische Signatur.
470.127
Ein gewöhnlicher Angreifer, der durch die Hintertür gestolpert ist.
473.519
konnte es nicht ausnutzen.
475.216
Nur der Inhaber des Ed448-Private-Key
478.608
könnte es auslösen.
479.879
Dieses Detail zählt.
481.367
Ein krimineller Schauspieler, der eine Sicherheitsanfälligkeit zum Verkauf baut
484.536
Damit kann es von jedem benutzt werden, der es kauft.
487.307
Ein staatlicher Akteur, der eine stetige Zugangskapazität aufbaut
490.475
macht es exklusiv.
491.663
Nur sie und jeder, den sie ausdrücklich autorisieren, können
494.831
Verwenden Sie den Schlüssel.
496.019
Die xz-utils backdoor wurde für den ausschließlichen Gebrauch konzipiert.
499.875
Es war keine Verwundbarkeit.
502.098
Es war ein strategischer Asset.
504.319
Die Operation, die die Hintertür produzierte, begann am
508.721
Der sechszigste Januar 2021
510.259
An diesem Tag wurde ein GitHub-Konto erstellt
514.092
Unter dem Benutzernamen JiaT75.
515.859
Der Ausstellungsname war Jia Tan.
518.508
Das Konto hatte keinen vorherigen digitalen Fußabdruck.
521.599
Keine Social-Media-Präsenz unter diesem Namen.
524.69
Keine Konferenzgespräche.
526.014
Keine früheren Open-Source-Beiträge.
527.78
Keine Auftritte bei Datenverletzungen.
529.989
Der Name scheint ein Pseudonym zu sein.
533.08
JiaT75s erster öffentlicher Beitrag zu xz-utils erfolgte am .
537.379
Am 29. Oktober 2021 - neun Monate nach dem Tod des Mannes -
541.379
Die Erstellung des Kontos.
542.379
Es war ein kleiner Patch für einen Editor
546.379
Konfigurationsdatei.
547.379
Unschuldig.
547.879
Unwichtig.
548.379
Die Art von Beitrag, der die Präsenz ohne erzeugt.
552.379
Die Zeichnung der Prüfung.
553.379
In den nächsten zwei Jahren und fünf Monaten
557.476
JiaT75 ist Autor von mehr als fünfhundert Kommissionsarbeiten für
561.274
Open-Source-Projekte.
562.222
Die überwiegende Mehrheit waren legitime Verbesserungen Code.
566.019
Übersetzungen, Kontinuitäts-Integrations-Wartung, Fehlerbehebungen.
569.341
Nützliche Arbeit.
570.291
Echt hilfreich.
571.24
Etwa acht dieser Kommitte waren bösartig.
574.34
Das Verhältnis zählt.
575.889
Sechzig zu eins.
577.138
Für jeden bösartigen Kommit erzeugte der Betreiber sechzig.
580.47
Stücke echtes, nützliches Werk.
582.551
Das ist es, was das Muster unmöglich machte, zu verändern
585.883
Erkennen Sie durch statistische Anomalienanalyse.
587.965
Der Angreifer verbrachte zweieinhalb Jahre.
591.296
Durch engagierte Anstrengungen, um wirklich wertvolle Beiträge zu erzielen, rein
594.626
Um das Vertrauen zu sammeln, das erforderlich ist, um die Verpflichtung zu erfüllen,
597.957
Acht Änderungen, die letztendlich wichtig waren.
600.039
Die Operation funktionierte nicht alleine.
603.919
Ab April 2022 wird ein Benutzer, der sich selbst nennt,
607.337
Jigar Kumar erschien auf der xz-devel Mailing List.
610.456
Kumar hatte noch nie eine Geschichte auf der Liste.
613.575
April 2022.
614.355
Seine gesamte Präsenz bestand aus Druck-E-Mails an
617.472
Der Lead-Mantiner des Projekts beschwert sich über die langsame Reaktion.
620.591
Zeiten und verlangen, dass ein neuer Wartungsbeauftragter erstellt wird.
623.71
Hinzugefügt.
624.1
Im Mai 2022 wurde ein zweiter Account Dennis
627.798
Es erschien Ens, der sich nach dem Wartungsstatus fragte.
631.197
Die Java-Version von xz-utils und die folgenden
634.596
Mit zusätzlichen Drucknachrichten.
636.72
Beide Konten hatten das gleiche Profil.
639.62
Keine digitale Präsenz vor 2022.
641.787
Keine Aktivität außerhalb der Xz-Devel-Mailingliste.
644.82
Keine Beteiligung an einem anderen Projekt zuvor oder zuvor.
648.287
Nach der Druckkampagne.
650.019
Im Februar 2024 Wochen vor der Hintertür
653.788
ein drittes Konto erschien.
656.823
Hans Jansen.
657.691
Jansens Aufgabe war es, Debian-Macher unter Druck zu setzen.
661.159
Die kompromittierte Version von xz-utils wird so bald wie möglich übernommen
664.629
so weit wie möglich.
665.495
Am 25. März 2024 hat Hans Jansen einen Antrag gestellt.
668.965
Debian gibt einen Fehlerbericht, der explizit das Upgrade anfordert.
672.0
Vier Tage später veröffentlichte Andres Freund seine Ergebnisse.
676.043
zu oss-security.
676.98
Zwei weitere unterstützende Konten krygorin4545 und misoeater91
682.991
hat den Hintergrunddruck in verschiedenen Threads bereitgestellt, folgender
687.403
Das gleiche Muster.
689.058
Keine Präsenz vor der Operation.
690.712
Teilnahme nur während bestimmter Druckfenster.
694.022
Verschwinden nach Erreichung der Ziele.
696.779
Kasperskys Analyse nach dem Vorfall stellte fest, dass das geographische Styling
701.02
Die Namen der Sockenpuppen waren nicht konsistent Singapurisch,
704.962
Europäer, Inder, was darauf hindeutet, dass der Betreiber eine
708.903
Die Cover-Identitäten wurden absichtlich verstreut, um die zu vermeiden.
712.845
Das Auftreten von Koordination.
714.322
Aber das Verhaltensmuster Zeit des Auftretens,
718.264
Synchronisierte Druckpunkte, kollektive Verschwinden nach jedem Ziel
722.206
empfohlen einen einzigen Betreiber oder eng koordiniert
726.147
Das Team.
726.639
Der Druck funktionierte.
728.299
Am 29. Juni 2022 wird der führende Unterhalter von
731.697
xz-utils ein finnischer Softwareentwickler namens Lasse
734.796
Collin antwortete auf die Mailingliste und
737.894
Jia Tan erklärte, dass er einen größeren haben würde.
740.99
Die Rolle im Projekt geht weiter und war:
744.089
In der Praxis funktioniert er bereits als Co-Maintainer.
746.799
Das war die Übergabe.
748.82
Um zu verstehen, was gerade passiert ist, ist es
752.299
Notwendig, um zu verstehen, was Lasse Collins Position war.
755.48
Collin hatte xz-utils seit 2009 allein unterhalten.
758.51
Das Projekt war unbezahlt.
760.072
Er arbeitete daran in seiner Freizeit.
763.192
Anfang desselben Monats, im Juni 2022
766.315
In der Mailingsliste hatte Collin öffentlich zugegeben, dass er
769.436
Er hatte langfristige psychische Probleme.
772.557
Er verwies auf das Projekt, in seinem eigenen Text.
775.678
Words, als unbezahltes Hobbyprojekt.
778.019
Lasse Collin ist nicht verantwortlich für das, was passiert ist.
782.432
Die Sicherheitsgemeinschaft war einig darüber
785.245
Punkt. Punkt.
785.596
Collin war unbezahlte Hobbyarbeit tätig.
787.706
Er hatte mit dokumentierten Gesundheitsproblemen zu tun.
790.168
Er war unter anhaltendem, koordiniertem Druck von dem, was er tat.
792.98
Es stellte sich heraus, dass es sich um eine Geheimdienstoperation auf staatlicher Ebene handelte.
795.793
Das System, das ihn in diese Position gebracht hat
798.606
Er hat ihn versagt.
799.309
Er hat das System nicht versagt.
801.419
Was die Operation ausnutzte, war nicht Collins Zuständigkeit.
805.279
Es war seine strukturelle Position allein, unbezahlt,
808.84
Die Aufgabe ist es, mit realen Stressoren umzugehen und die Infrastruktur zu pflegen.
812.399
Von Milliarden von Menschen ohne institutionelle Unterstützung genutzt.
815.96
Der professionelle Angreifer identifizierte diese Struktur und zielte darauf ab.
819.993
Es ist es.
820.46
Sobald die Übergabe abgeschlossen war, wurde die Infrastruktur vorbereitet.
824.635
begann. begann.
825.12
Im Oktober 2022 wurde Jia Tan zu hinzugefügt.
828.985
Die Tukaani Organisation auf GitHub.
831.214
Im Dezember 2022 schuf er die Organisations- des Repository.
834.779
Struktur und machte seine erste Veröffentlichung.
837.453
Im März 2023 änderte er die primäre Sicherheit.
841.019
E-Mail an Googles OSS-Fuzz die automatisierten Kontaktkontakte
844.586
Die Schwachstellen-Scanning-Plattform von Lasse Collins Adresse zu
848.15
Seine eigenen.
849.043
Von diesem Zeitpunkt an werden alle sicherheitsrelevanten Bug-Berichte veröffentlicht
852.609
Jia Tan würde erreichen, bevor er jemanden erreicht
856.173
Andererseits.
856.62
Im Juni 2023 führte Jia Tan den IFUNC-Reserver ein.
860.393
Infrastruktur in die Welt.
861.695
Die Commits schien eine legitime Performance-Optimierung zu sein
865.168
Arbeit.
865.601
Im Nachhinein waren es die Haken, durch die
869.075
Die Hintertür würde schließlich injiziert werden.
871.679
Im Juli 2023 eröffnete Jia Tan einen Pull-Up.
875.525
Auf der OSS-Fuzz-Anfrage, IFUNC-Fuszen für zu deaktivieren, wurde
879.072
xz.
879.514
Die Änderung war dazu bestimmt, die Fuzz-Testing zu verhindern
883.061
Die Pipeline von der Erkennung von Anomalien in der IFUNC-basierten Backdoor
886.606
als es schließlich verschifft wurde.
888.379
Im Februar 2024 brach ein separater Commitment die
891.836
Die Systemerkennung von Landlock ein Linux-Kernel zu bauen
894.99
Sicherheitsfunktion, die Prozessberechtigungen einschränkt.
897.357
Die commit-disabled xz's own sandbox on systems
900.513
Ansonsten hätte sie sie durchgesetzt.
902.879
Am 23. Februar und am 9. März 2024 wird die "Frauen" stattfinden.
906.546
Die Backdoor selbst wurde in zwei Phasen verpackt.
909.913
als Teil der xz-utils 5.6.0 und 5.6.1
913.278
Releases.
913.7
Neunzehn Tage später bemerkte Andres Freund eine 500-Millisekunden-Lösung.
918.703
SSH-Verzögerung.
919.879
Forscher analysieren die von hinterlassenen commit-Metadaten.
924.019
Die Operation bemerkte ein Muster.
926.419
Jia Tan's Commit-Zeitstempel sind hauptsächlich in den
930.125
Zentraleuropäische oder osteuropäische Zeitzonen.
933.106
Die Arbeitszeit entsprach etwa neun Stunden im
936.513
Von fünf Uhr nachmittags bis zum mittleren europäischen Morgen
939.918
Zeit.
940.345
Die Aktivität setzte sich während der großen chinesischen Feiertage und Feiertage fort.
943.75
Während mehrerer europäischer Pausen.
945.879
Der Name und die behauptete Betriebsgeographie waren .
949.679
Ostasiatisch.
950.554
Das eigentliche Arbeitsmuster war europäisch.
953.179
Das ist, was die Analysten des Geheimdienstes als Signatur bezeichnen.
956.735
Leckage.
957.14
Ein Betreiber verbrachte mehr als dreißig Monate damit, eine zu erhalten.
960.395
Identität. Cover Identität.
961.21
Aber die automatischen Zeitstempel, die in jedem Git eingebettet sind, sind automatisch.
964.464
Die Kommit-Verbindung offenbarte periodisch den tatsächlichen Standort des
967.719
Die Maschine, die das Commit machte.
970.159
Drei Kandidatenzuweisungen sind in der öffentlichen Analyse erschienen
975.53
von Sicherheitsforschern mit entsprechender Expertise.
978.36
Der amerikanische Sicherheitsforscher Dave Aitel, ehemaliger NSA-Arbeiter
982.128
Ein Informatiker, der öffentlich bewertete, dass die Operation passend ist.
985.596
Das Muster, das APT29 das fortgeschrittene zugeschrieben werden kann.
989.065
Die von den Vereinigten Staaten zugeschriebene Persistent-Threat-Group
992.533
Die Regierungen des Vereinigten Königreichs und der Vereinigten Königreichs haben Russlands Foreign Intelligence-Bericht übermittelt
996.0
Service. Service.
996.434
APT29 ist bekannt für langjährige Spionage-Kampagnen, einschließlich
999.903
Der SolarWinds-Lieferkettenkompromiss wurde im Jahr 2020 bekannt gegeben.
1003.37
Arbeitszeiten in Übereinstimmung mit Moskauer Zeitzonen-Match
1006.839
Das Muster von Jia Tan.
1008.139
Costin Raiu, der ehemalige Direktor von Kaspersky,
1012.192
Das globale Forschungs- und Analyseteam, das drei Jahrzehnte lang tätig ist
1015.945
Erfahrung mit der Vergabe von anspruchsvollen Operationen identifiziert drei
1019.697
Plausible Kandidaten in einem Podcast-Interview im Februar 2026.
1023.448
Russlands APT29 war einer von ihnen.
1025.325
Chinas APT41, das mit dem Außenministerium verbunden ist.
1029.076
Sicherheit war eine zweite.
1030.953
Nordkoreas Lazarus Group, die bereits in früheren Jahren gezeigt wurde
1034.705
Fragment Zero-Bedeckung, war ein drittes.
1037.519
Seit April 2026 hat kein Geheimdienst
1041.03
öffentlich der Operation zugeschrieben.
1042.635
Es wurden keine Anklagen eingereicht.
1044.643
Keine Verhaftungen wurden vorgenommen.
1046.648
Die wahre Identität von Jia Tan bleibt unbekannt.
1049.859
Was nicht in Streit steht, ist bei Forschern mit
1053.861
Die relevante Fachkompetenz des Handwerks ist, dass die Geduld der Operation,
1057.561
Betriebssicherheit, kryptografische Raffinesse und Ressourcenbindung sind
1061.262
Dies entspricht einem nationalen Geheimdienst.
1064.962
ein nahes funktionelles Äquivalent und sind inkonsistent
1068.663
Individuelle kriminelle oder hacktivistische Aktivitäten.
1071.44
Das war nicht die Arbeit eines einsamen Menschen.
1074.336
Hacker. Hacker.
1074.66
Die xz-utils-Operation war möglich, weil ein
1079.203
Strukturelle Eigenschaft, wie die moderne Technologie Zivilisation baut
1083.448
Seine kritische Infrastruktur.
1085.039
Die Software, die das Internet betreibt, wurde entwickelt,
1088.229
In erheblichem Maße werden von Freiwilligen, die an diesem Projekt arbeiten,
1091.117
Ihre eigene Zeit.
1092.201
Die Unternehmen, die von dieser Software profitieren, haben
1095.089
Ein kleiner Bruchteil seiner wirtschaftlichen Ressourcen hat sich zurückgegeben.
1097.979
Wert. Wert.
1098.339
xz-utils war mit jeder großen Linux-Distribution verbunden
1102.17
und lief auf einem enormen Bruchteil der globalen
1105.7
Server.
1106.141
Sein Unterhalter war unbezahlt.
1107.905
OpenSSL, die Bibliothek, die die meisten Kryptographen zur Verfügung stellt.
1111.435
Das Internet war vor dem Jahr 2000 berüchtigt unterbesetzt.
1114.965
Heartbleed hat 2014 eine Schwachstelle gefunden.
1116.73
Log4j, die Java-Logging-Bibliothek hinter dem Log4Shell
1120.26
Die Schwachstelle im Jahr 2021 wurde von einer Handvoll von uns aufrechterhalten.
1123.79
Von Freiwilligen hinter der Unternehmensinfrastruktur weltweit.
1126.88
In jedem Fall wurde eine Bibliothek als kritisch behandelt
1131.227
Die Infrastruktur von mehreren Milliarden Dollar-Unternehmen wurde mit einem Hobby-Projekt erhalten.
1135.273
Ressourcen.
1135.779
Die xz-utils-Operation erfand diese strukturelle Funktion nicht.
1140.532
Verletzlichkeit.
1141.089
Es hat es ausgenutzt.
1142.759
Am 11. April 2024 zwei Wochen später
1148.166
Freund's Offenlegung die USA
1150.547
Die Cybersecurity and Infrastructure Security Agency veröffentlichte eine formelle Erklärung.
1154.355
Statement, das das strukturelle Problem anerkennt.
1156.733
Die Position der CISA: die Last der Sicherung einer Open-Source-Infrastruktur
1160.541
Es kann nicht auf unbezahlte Unterhalter und Unternehmen fallen.
1164.348
Open-Source-Software muss entweder finanziell zurückgekommen sein
1168.156
oder durch Entwicklerzeit, um eine nachhaltige zu produzieren.
1171.963
Ökosystem.
1172.44
Die Empfehlungen waren nicht verbindlich.
1174.653
Es waren Best Practices.
1176.567
Sie waren von der freiwilligen Adoption von Unternehmen abhängig, deren
1180.393
Die Anreizstruktur hatte die Investition historisch nicht belohnt.
1184.22
Innerhalb eines Monats wurden die Linux Foundation und die
1187.789
Die Open Source Security Foundation hat einen gemeinsamen Alarm veröffentlicht
1191.058
Eine Warnung, dass ähnliche Versuche der Übernahme von Social Engineering durchgeführt wurden, warnte.
1194.328
Es gibt bereits mehrere weitere Open-Source-Projekte im Gange.
1197.598
Die OpenJS Foundation , die Node.js, jQuery, unterhält.
1200.868
JavaScript und damit verbundene Infrastrukturen haben öffentlich bekannt gegeben, dass sie
1204.137
Es hatte eine koordinierte Druckkampagne nach erhalten.
1207.407
Das gleiche Muster wie xz-utils, und hatte abgelehnt
1210.678
Nur weil die xz-utils-Offenlegung es gelehrt hatte
1213.948
Die Gemeinschaft, was sie suchen soll.
1216.4
Ein 2026 Linux Foundation-Bericht dokumentierte die breitere
1220.178
Das Muster über das Ökosystem.
1221.916
Die Kernfindung des Berichts: Was ist mit xz-utils passiert?
1225.394
war kein einzigartiger Vorfall.
1227.567
Es war eine Methode.
1229.307
Die Methode wird in großem Maßstab versucht.
1232.349
Die meisten erfolgreichen Erkenntnisse finden statt, weil sie erfolgreich sind.
1235.827
Der xz-utils-Häuser lieferte eine Signatur, die zu dem Fall passt
1239.305
Gegen.
1239.74
Wie viele erfolglose Erkenntnisse gibt es Operationen
1242.836
Es gibt Fortschritte, die noch nicht bereits vorhanden sind.
1245.634
ist durch den Bau unmöglich zu zählen.
1248.431
aus öffentlichen Quellen.
1249.48
Vor zwei Episoden auf Fragment Zero, der Fall
1253.299
Die Datei zur Hypothese des Dunklen Waldes wurde mit
1256.819
Eine Beobachtung.
1257.7
Die Lehre von Liu Cixin wurde 2008 formalisiert.
1261.22
Schweigen als Überleben, Verbergen als strategische Notwendigkeit, Offenbarung
1264.74
als existentielles Gefahr ist das
1268.259
Das Sicherheitsprinzip in der Geschichte der menschlichen Konflikte.
1271.779
Jede Kraft, die jemals unter Bedingungen gearbeitet hat
1275.584
Unsicherheit und asymmetrische Fähigkeiten sind konvergiert
1279.087
auf die gleiche Schlussfolgerung.
1280.839
Seien Sie still.
1282.553
Bewegen Sie sich vorsichtig.
1283.967
Nehmen wir an, dass man beobachtet.
1285.38
Die xz-utils-Operation ist der Dark Forest ausgeführt
1291.164
innerhalb einer menschlichen Vertrauensbeziehung.
1293.779
Der Angreifer hat keine Firewall durchbrochen.
1296.971
Der Angreifer hat keinen Nulltag ausgenutzt.
1299.862
Der Angreifer hat keinen kryptographischen Schutz umgangen.
1303.164
Der Angreifer tat etwas viel einfaches.
1305.643
Der Angreifer versteckte sich für drei Tage in Sichtweite.
1308.946
Jahre lang nützliche Arbeit produziert, echte Glaubwürdigkeit aufbaut, sich verhält.
1312.25
Genau wie jeder andere hilfreiche Mitarbeiter, während der Vorbereitung
1315.555
schweigend, geduldig, mit strategischem Geduld unvorstellbar.
1318.857
Die meisten technischen Organisationen den Moment, an dem
1322.162
Die vorbereitete Infrastruktur würde genutzt werden.
1324.64
Der Angriff war fast ausschließlich erfolgreich, weil er
1328.385
schweigen.
1328.817
Es wurde nicht von einem Sicherheitswerkzeug erkannt,
1332.262
Durch irgendeine Prüfung, nicht durch irgendeine institutionelle Organisation
1335.709
Verteidigung, aber durch eine versehentlich beobachtete Beobachtung eines Ingenieurs von Verteidigung
1339.154
Fünfhundert Millisekunden unerklärlicher Latenz.
1341.74
Andres Freunds Erklärung zu seiner eigenen Entdeckung, veröffentlicht
1345.057
Mastodon in den Wochen nach der Offenlegung,
1348.074
sollte die Falldatei schließen.
1349.96
Auf Glück in der Zukunft zu vertrauen, ist ein guter Weg.
1353.172
Eine schlechte Strategie.
1353.9
Die xz-utils-Backdoor wurde erwischt.
1358.22
Die Version des Dunklen Waldes der Operation
1361.625
Die, die auf Vertrauen bezieht, anstatt auf
1364.731
Computersysteme werden gerade versucht,
1367.838
Im Moment gegen eine unbestimmte Anzahl von
1370.944
andere kritische Open-Source-Projekte.
1372.498
Das Muster funktioniert.
1373.663
Die wirtschaftlichen Anreize, die es funktionieren lassen, haben eine
1376.769
Nicht bedeutungsvoll verändert.
1377.933
Die institutionellen Reaktionen waren real, aber nicht ausreichend.
1381.039
Der Ingenieur, der den nächsten findet, wird es tun.
1383.832
Sie brauchen auch Glück.
1384.766
Sie müssen sich die ansehen.
1387.258
Der richtige Benchmark zum richtigen Zeitpunkt auf dem
1389.75
Das richtige System.
1390.373
Sie müssen sorgfältig genug sein, um zu verfolgen
1392.865
Eine Anomalie an der Quelle.
1394.422
Sie müssen ihre Ergebnisse veröffentlichen, bevor sie
1396.913
Der Hauptverantwortliche des Betriebs hat bereits die Nutzlast versandt
1399.405
zu stabilen Releases.
1400.339
Sie werden speziell die fünfhundert Millisekunden benötigen.
1404.4
Das ist der Intervall zwischen dem Internet
1409.019
Im März 2024 und mit einem einzigen kryptographischen Schlüssel
1412.039
Gefangen von einem unbekannten Schauspieler, der hätte
1415.059
Ich habe jeden Linux-Server auf der Erde, der SSH läuft, entsperrt.
1418.079
Fragment Zero wird die Falldatei verfolgen.
1422.24
Die Falldatei wird nicht geschlossen.
1424.579
Es wartet.
