0.0
Cinq cents millisecondes.
1.84
Une demi-seconde.
3.379
La marge par laquelle Internet n'était pas disponible
6.559
Enlevé.
6.919
Mars, 2024.
10.039
San Francisco.
11.56
Un ingénieur Microsoft de trente-huit ans nommé Andres Freund est
15.298
benchmarking PostgreSQL sur un système de développement Debian.
18.306
C'est une tâche de routine.
20.454
Freund est un délégué au projet PostgreSQL.
23.893
Il teste les performances de la base de données contre les distributions Linux pré-libérées.
27.332
comme une partie régulière de son travail.
30.339
Quelque chose ne va pas avec l'environnement de test.
33.2
Faillite des tentatives de connexion SSH le type qui
36.863
Chaque serveur public est constamment attaqué par des robots automatisés qui tentent de frapper.
40.228
Les combinaisons de nom d'utilisateur et de mot de passe aléatoires sont utilisées
43.591
Beaucoup plus de CPU qu'ils ne devraient.
46.115
Un login raté devrait se résilier rapidement.
48.637
Ces derniers ne se terminent pas rapidement.
50.74
Freund note.
52.32
Il enquête plus en détail.
53.926
Les connexions SSH réussies, sur sa propre machine locale,
57.406
Ils prennent cinq cents millisecondes de plus que le temps de la lecture.
60.889
Une ligne de base d'environ cent millisecondes.
63.5
Une demi-seconde.
64.92
Freund exploite la connexion sous Valgrind, un débogage de mémoire.
69.763
outil.
70.17
Valgrind lance des erreurs en pointant vers liblzma a
73.414
bibliothèque de compression que le daemon SSH n'a pas
76.658
Une raison légitime d'invoquer.
78.28
C'est à ce moment-là que l'enquête devient urgente.
81.299
Au cours des prochains jours, Freund suit le tracé de la famille.
84.772
Il y a des erreurs.
85.168
Il constate que le processus sshd sur son appareil est en train de se produire.
88.34
La machine de test exécute du code liblzma pendant la période de test.
91.512
authentification.
91.908
Il dissécte la source xz-utils dans le git
95.079
Le référentiel.
95.475
La source est propre.
97.061
Mais le tarball de libération la source comprimée
100.233
l'archivage que Debian télécharge et construit à partir de
103.406
contient un fichier appelé build-to-host.m4 qui est
106.578
pas dans la source git.
108.56
Ce fichier contient un script obscurci.
111.801
Le script décode un script bash caché à l'intérieur
115.722
Un fichier de test appelé bad-3-corrupt_lzma2.xz un fichier
119.644
qui est déguisé en une entrée de test cassée
123.566
pour la gestion des erreurs de la bibliothèque de compression.
126.507
Le script bash décode un deuxième fichier, good-large_compressed.lzma,
130.429
L'utilisation de l'obscurcissement personnalisé combiné avec le déchiffrement RC4.
133.86
Ce qui sort à la fin de la phrase
136.834
La chaîne d'objets partagés est une chaîne d'objets partagés.
138.84
L'objet partagé est une porte arrière.
141.979
Le soir du vingt-neuvième mars 2024,
146.679
Alors qu'il écoutait, selon son propre compte, un
149.778
Le podcast de sécurité pendant une pause de cuisine Andres
152.877
Freund publie ses résultats à l'envoi de courrier de sécurité oss
155.978
Liste à l'Openwall.
157.139
Dans les 24 heures qui suivent, Red Hat l'a affecté à l'entreprise.
160.9
Un numéro de CVE.
162.198
Le score de gravité est de dix points zéro.
165.224
Le plus haut possible.
166.522
La CISA émet un avis d'urgence.
168.685
Debian, SUSE, Fedora, Arch et Kali sont tous réversibles
172.145
les paquets affectés.
173.443
GitHub suspend le compte du responsable du maintien qui
176.902
Il a engagé la porte arrière.
178.199
La porte arrière, il s'avère, était programmée pour
181.644
Nous avons des distributions Linux stables dans les deux prochains mois.
184.787
Des semaines.
185.18
Freund l'a attrapé par accident.
187.08
Voici le dossier de ce qui s'est passé.
191.578
Sur ce qui était sur le point de se passer.
193.026
Et sur la nature de l'opération.
195.199
La cible de l'attaque était xz-utils.
199.06
xz-utils est un kit d'outils de compression.
201.688
Son outil principal, la commande xz, produit .xz.
205.414
l'équivalent Unix de fichiers .zip,
209.14
avec des ratios de compression plus élevés.
211.003
Sous l'outil de ligne de commande se trouve une bibliothèque appelée.
214.73
liblzma, qui fournit l'algorithme de compression à d'autres lib
218.456
Les programmes qui en ont besoin.
220.319
liblzma est chargé, directement ou indirectement, par un lib
223.984
Une énorme quantité de logiciels système Linux.
226.507
Les gestionnaires de colis se sont opposés à cela.
228.609
Les utilitaires du système s'y opposent.
230.711
Et à travers une chaîne que les attaquants
234.075
Il a spécialement conçu les liens de daemon OpenSSH contre .
237.439
Il l'a fait.
237.86
La chaîne fonctionne comme ceci.
240.689
Sur la plupart des distributions Linux majeures, l'essd est corrigé.
244.736
Le système prend en charge le mécanisme de notification de service de systèmed, appelé sd_notify.
248.784
Ce patch fait en sorte que sshd charge une bibliothèque
252.831
libsystemd. est appelé libsystemd..
253.843
Et libsystemd, à son tour, charge liblzma.
256.879
Le résultat: sur la plupart des serveurs Linux de production, le
260.66
Daemon SSH le processus qui accepte la télécommande
264.139
Les connexions chargent une bibliothèque de compression à la démarrage,
267.62
même si SSH ne comprime pas le trafic d'authentification.
271.1
Compromettez la bibliothèque de compression et vous compromettez la bibliothèque de compression.
274.696
Daemon qui contrôle l'accès à distance à chaque Linux
277.992
serveur sur Internet.
279.639
Au moment où le backdoor est presque déployé, Linux est disponible.
283.206
était en train de faire environ quatre-vingt-seize pour cent du top
286.471
Un million de serveurs Web dans le monde.
289.329
Les cinq cents hommes les plus puissants du monde
292.596
Les superordinateurs.
293.004
Environ 92% des machines virtuelles sur Amazon sont connectées.
296.269
Les services Web, le Cloud Google et le Microsoft Azure.
299.127
Android, qui alimente environ quatre-vingt-cinq pour cent du système d'exploitation
302.394
Les smartphones du monde entier sont basés sur le noyau Linux.
305.66
Le xz-utils backdoor, avait été expédié à stable
308.971
Les distributions auraient été présentes dans une quantité substantielle
311.982
fraction de tout ce qui précède.
314.24
Alex Stamos, ancien chef de la sécurité de l'entreprise
317.766
Facebook, décrit le résultat prévu en une phrase:
320.99
Une clé maîtresse de n'importe quel serveur SSH sur
324.216
La Terre.
324.62
C'est pourquoi le CVE a été marqué dix
329.675
point zéro.
330.54
Le design technique de la porte arrière en vaut la peine.
334.487
Compréhension précisément.
335.399
L'attaquant a exploité le fait que les balles de tir soient libérées.
338.867
Il contient des fichiers générés automatiquement qui n'existent pas dans.
342.033
la source git contrôlée par version.
343.617
Plus précisément, le fichier build-to-host.m4 dans le tarball contenait
346.783
Une seule ligne qui avait été modifiée en
349.949
Injecter un script obfusqué dans l'étape de configuration
353.117
du processus de construction.
354.699
Cela signifiait que quiconque lisait la source git
357.783
Le code ne pouvait pas voir la porte arrière.
359.87
N'importe qui construisant à partir de git ne pouvait pas le déclencher.
362.653
Uniquement les distributions Linux, qui sont basées sur les versions libérées.
365.437
des tarballs, ce qui est effectivement tout le monde.
368.22
exécuterait l'injection.
369.959
La chaîne d'injection était en trois étapes.
372.636
La première étape a été extraite d'un script bash à partir d'un.
375.803
Le fichier déguisé en entrée de test de compression corrompue.
378.971
La deuxième étape a utilisé ce script bash pour décoder.
382.139
Un deuxième fichier de test est transformé en un fichier partagé compilé
385.307
Objet. Objet.
385.704
La troisième étape a lié l'objet partagé à l'objet .
388.872
liblzma binary a été compilé.
390.06
L'objet partagé utilisait une fonctionnalité glibc légitime
394.492
IFUNC fonction indirecte appelée résolvateurs à
398.624
Il a enlevé une fonction OpenSSH spécifique appelée RSA_public_decrypt.
402.24
RSA_public_decrypt est la fonction OpenSSH qui valide le RSA
406.473
Les signatures lors de l'authentification du certificat.
408.439
Chaque fois qu'un client tente de se connecter à l'aide de
412.372
Dans un certificat RSA, sshd appelle cette fonction à .
416.305
Vérifiez la signature.
417.779
Avec la porte arrière active, le sshd appelait le .
421.92
Le code de l'attaquant à la place.
423.36
Le code de l'attaquant a inspecté le module public RSA
427.163
la grande valeur entière passée dans le
430.668
Le certificat du client.
431.543
Normalement, cette valeur est utilisée dans la norme RSA.
435.048
La vérification.
435.485
Dans la porte arrière, c'était en fait une charge utile
438.99
Un conteneur.
439.427
Le code décryptait la charge utile à l'aide d'un code dur codé
442.932
ChaCha20 est une clé symétrique.
444.245
Puis il a vérifié la signature de la charge utile décryptée en utilisant.
447.75
Une clé publique hardcodée Ed448.
449.939
Si la signature est vérifiée, cela signifie que la charge utile est confirmée.
453.107
a été signé par la clé privée de l'attaquant
455.973
Le code a exécuté les commandes de shell intégrées comme.
458.841
La racine.
459.199
C'est ce que les chercheurs en sécurité appellent une télécommande fermée.
464.192
L'exécution du code.
465.04
La porte arrière ne s'active que lorsque l'attaquant présente
468.432
une signature cryptographique valide.
470.127
Un attaquant ordinaire qui a trébuché à travers la porte arrière
473.519
ne pouvait pas l'exploiter.
475.216
Seul le titulaire de la clé privée Ed448
478.608
pourrait le déclencher.
479.879
Ce détail compte.
481.367
Un acteur criminel construisant une vulnérabilité à vendre
484.536
Cela rend utilisable par quiconque l'achète.
487.307
Un acteur de l'État qui construit une capacité d'accès persistante
490.475
Cela rend exclusif.
491.663
Seuls eux et toute personne qu'ils autorisent explicitement peuvent le faire.
494.831
Utilisez la clé.
496.019
La porte arrière xz-utils a été conçue pour un usage exclusif.
499.875
Ce n'était pas une vulnérabilité.
502.098
C'était un atout stratégique.
504.319
L'opération qui a produit la porte arrière a commencé le 1er janvier.
508.721
Le vingt-sixième janvier 2021.
510.259
À cette date, un compte GitHub a été créé
514.092
sous le nom d'utilisateur JiaT75.
515.859
Le nom de l'affichage était Jia Tan.
518.508
Le compte n'avait pas d'empreinte numérique antérieure.
521.599
Pas de présence sur les réseaux sociaux sous ce nom.
524.69
Aucune conférence de conférence.
526.014
Aucune contribution antérieure à l'open source.
527.78
Aucune apparition dans les violations de données.
529.989
Le nom semble être un pseudonyme.
533.08
La première contribution publique de JiaT75 aux xz-utils a eu lieu le 1er janvier.
537.379
Le 29 octobre 2021 neuf mois après le décès de la victime
541.379
Création du compte.
542.379
C'était un patch mineur pour un éditeur
546.379
Le fichier de configuration.
547.379
Innocents.
547.879
Peu importe.
548.379
Le genre de contribution qui établit une présence sans
552.379
Le tirage au sort.
553.379
Au cours des deux prochains ans et cinq mois,
557.476
JiaT75 a écrit plus de cinq cents commissions pour
561.274
Des projets open-source.
562.222
La grande majorité étaient des améliorations légitimes code.
566.019
Des commentaires, des traductions, une maintenance continue de l'intégration, des corrections de bugs.
569.341
Un travail utile.
570.291
Vraiment utile.
571.24
Environ huit de ces commissions étaient malveillantes.
574.34
Le ratio compte.
575.889
Soixante à un.
577.138
Pour chaque commande malveillante, l'opérateur produisait soixante.
580.47
Des pièces de vrai travail utile.
582.551
C'est ce qui rend impossible le modèle à utiliser.
585.883
détecter par l'analyse des anomalies statistiques.
587.965
L'attaquant a passé deux ans et demi à l'assaut.
591.296
d'efforts dévoués pour produire des contributions vraiment précieuses, purement
594.626
Pour accumuler la confiance nécessaire à l'engagement de la
597.957
Huit changements qui ont finalement compté.
600.039
L'opération n'a pas fonctionné seule.
603.919
À partir d'avril 2022, un utilisateur s'appelle lui-même
607.337
Jigar Kumar est apparu sur la liste de diffusion xz-devel.
610.456
Kumar n'avait pas d'histoire sur la liste avant
613.575
Avril 2022.
614.355
Toute sa présence consistait en des courriels de pression adressés à
617.472
Le responsable principal du projet, se plaignant d'une réponse lente
620.591
Les temps sont passés et ils exigent qu'un nouveau maintien soit mis en place.
623.71
Il a ajouté.
624.1
En mai 2022, un deuxième compte Dennis
627.798
Ens est apparu, en train de se renseigner sur l'état de maintenance.
631.197
de la version Java des xz-utils, et suivante:
634.596
avec des messages de pression supplémentaires.
636.72
Les deux comptes avaient le même profil.
639.62
Pas de présence numérique avant 2022.
641.787
Aucune activité en dehors de la liste de diffusion xz-devel.
644.82
Aucune participation à d'autres projets avant ou après.
648.287
Après la campagne de pression.
650.019
En février 2024, quelques semaines avant la porte arrière.
653.788
Un troisième compte est apparu.
656.823
Hans Jansen.
657.691
Le rôle de Jansen était de faire pression sur les entretenants de Debian pour qu'ils fassent pression sur eux.
661.159
adopter la version compromise des xz-utils dès que possible
664.629
autant que possible.
665.495
Le 25 mars 2024, Hans Jansen a déposé une demande de régularisation.
668.965
Le rapport de bug Debian demande explicitement la mise à niveau.
672.0
Quatre jours plus tard, Andres Freund a publié ses résultats.
676.043
à la sécurité de l'OSS.
676.98
Deux comptes de soutien supplémentaires krygorin4545 et misoeater91
682.991
a fourni une pression de fond dans divers fils, suivant
687.403
Le même schéma.
689.058
Aucune présence pré-opération.
690.712
La participation est réservée aux fenêtres à pression spécifique.
694.022
Disparu après que les objectifs aient été atteints.
696.779
L'analyse post-incident de Kaspersky a noté que le style géographique
701.02
Les noms des poupées de chaussettes étaient incompatibles Singapourien,
704.962
Européen, indien suggérant que l'opérateur avait
708.903
Ils ont délibérément dispersé les identités de couverture pour éviter la propagation des informations.
712.845
l'apparence de la coordination.
714.322
Mais le comportement de l'homme, le timing des apparences,
718.264
Des points de pression synchronisés, une disparition collective après chaque objectif
722.206
suggéré un seul opérateur ou étroitement coordonné
726.147
équipe.
726.639
La pression a fonctionné.
728.299
Le vingt-neuvième juin 2022, le directeur principal du maintien de la
731.697
xz-utils un développeur de logiciels finlandais nommé Lasse
734.796
Collin a répondu à la liste de diffusion et
737.894
Jia Tan a déclaré qu'il aurait un plus grand
740.99
Le rôle dans le projet à l'avenir, et était,
744.089
En pratique, il fonctionne déjà comme co-maintainer.
746.799
C'était la remise.
748.82
Pour comprendre ce qui venait de se passer, c'est
752.299
Il est nécessaire de comprendre quelle était la position de Lasse Collin.
755.48
Collin avait entretenu xz-utils, seul, depuis 2009.
758.51
Le projet n'a pas été payé.
760.072
Il y travaillait dans son temps libre.
763.192
Plus tôt ce même mois, en juin 2022
766.315
En réponse à la liste de diffusion, Collin avait reconnu publiquement que
769.436
Il avait à faire avec des problèmes de santé mentale à long terme.
772.557
Il a fait référence au projet, dans sa propre langue.
775.678
mots, comme un projet de passe-temps non payé.
778.019
Lasse Collin n'est pas responsable de ce qui s'est passé.
782.432
La communauté de la sécurité a été unanime à ce sujet
785.245
point.
785.596
Collin faisait du travail de hobby non rémunéré.
787.706
Il traitait de défis de santé documentés.
790.168
Il était sous une pression soutenue et coordonnée de ce qui l'a poussé à se défaire de ses activités.
792.98
Il s'est avéré qu'il s'agissait d'une opération de renseignement au niveau de l'État.
795.793
Le système qui l'a placé dans cette position
798.606
Il a échoué.
799.309
Il n'a pas échoué dans le système.
801.419
Ce que l'opération a exploité n'était pas la compétence de Collin.
805.279
C'était sa position structurelle, seule, non payée,
808.84
Traitant des facteurs de stress réels, responsable du maintien des infrastructures
812.399
Il est utilisé par des milliards de personnes sans aucun soutien institutionnel.
815.96
L'attaquant professionnel a identifié cette structure et a ciblé
819.993
Il l'a fait.
820.46
Une fois la remise terminée, les préparatifs de l'infrastructure ont été effectués.
824.635
commencèrent.
825.12
En octobre 2022, Jia Tan a été ajoutée à.
828.985
Nous avons trouvé l'organisation Tukaani sur GitHub.
831.214
En décembre 2022, il a créé le référentiel organisationnel du référentiel.
834.779
structure et a fait sa première sortie.
837.453
En mars 2023, il a changé la sécurité primaire.
841.019
Le courrier électronique de contact sur le système OSS-Fuzz de Google est l'automatisé.
844.586
Plateforme de numérisation de vulnérabilité de l'adresse de Lasse Collin à
848.15
Le sien.
849.043
À partir de ce moment, tout rapport de bug pertinent pour la sécurité sera publié.
852.609
Jia Tan atteindrait Jia Tan avant qu'il n'atteigne quiconque
856.173
autre chose.
856.62
En juin 2023, Jia Tan a introduit le résolveur IFUNC.
860.393
L'infrastructure est devenue une source de liblzma.
861.695
Les engagements semblaient être une optimisation légitime des performances
865.168
Le travail.
865.601
En arrière-plan, ce sont les crochets à travers lesquels
869.075
La porte arrière serait finalement injectée.
871.679
En juillet 2023, Jia Tan a ouvert une pull.
875.525
À la demande d'OSS-Fuzz de désactiver le fuzzing IFUNC pour
879.072
xz.
879.514
Le changement était destiné à empêcher le fuzz-testing
883.061
Le pipeline de détection des anomalies dans le backdoor basé sur l'IFUNC
886.606
quand il a finalement été expédié.
888.379
En février 2024, un engagement séparé a brisé le lien.
891.836
Détection du système de construction de Landlock un noyau Linux construit
894.99
Une fonctionnalité de sécurité qui restreint les privilèges de processus.
897.357
Le comit a désactivé le propre sandbox de xz sur les systèmes
900.513
autrement, il aurait été appliqué.
902.879
Le vingt-troisième février et le neuvième mars 2024, le
906.546
La porte arrière elle-même a été réalisée en deux étapes, enveloppée
909.913
dans le cadre des xz-utils 5.6.0 et 5.6.1
913.278
des sorties.
913.7
Dix-neuf jours plus tard, Andres Freund a remarqué une note de 500 millisecondes.
918.703
Le retard SSH.
919.879
Les chercheurs analysant les métadonnées de comit laissé par
924.019
L'opération a remarqué un schéma.
926.419
Les timestamps de commissions de Jia Tan se sont regroupés principalement dans le
930.125
Dans les fuseaux horaires d'Europe centrale ou orientale.
933.106
Les heures de travail correspondent à environ neuf heures dans le
936.513
de cinq heures de l'après-midi au matin d'Europe centrale
939.918
Le temps.
940.345
L'activité a continué pendant les principales fêtes publiques chinoises et les jours fériés.
943.75
Il a fait une pause pendant plusieurs périodes européennes.
945.879
Le nom et la géographie opérationnelle revendiquée étaient.
949.679
Asie de l'Est.
950.554
Le modèle de travail réel était européen.
953.179
C'est ce que les analystes du commerce de renseignement appellent la signature
956.735
Des fuites.
957.14
Un opérateur a passé plus de trente mois à maintenir une bonne circulation.
960.395
Une couverture d'identité.
961.21
Mais les timestamps automatiques intégrés dans chaque git
964.464
Le comit a révélé périodiquement l'emplacement réel de l'appareil.
967.719
La machine qui faisait le commande.
970.159
Trois attributs de candidats ont été présentés dans l'analyse publique
975.53
Des chercheurs en sécurité avec une expertise pertinente.
978.36
Dave Aitel, chercheur américain en sécurité, ancien NSA
982.128
informatique, a publiquement évalué que l'opération correspond à la
985.596
le modèle attribué à APT29 le modèle avancé
989.065
Le groupe de menaces persistantes attribué par les États-Unis
992.533
Les gouvernements du Royaume-Uni et du Royaume-Uni ont confié à la Russie le renseignement extérieur
996.0
Le service.
996.434
APT29 est connu pour ses campagnes d'espionnage de longue durée, y compris
999.903
Le compromis de la chaîne d'approvisionnement SolarWinds a été révélé en 2020.
1003.37
Les heures de travail alignées avec le match de la zone horaire de Moscou
1006.839
Le modèle de Jia Tan.
1008.139
Costin Raiu, ancien directeur de Kaspersky, est à l'origine de la rédaction de la série.
1012.192
Une équipe mondiale de recherche et d'analyse, avec trois décennies d'expérience
1015.945
L'expérience d'attribuer des opérations sophistiquées a été identifiée à trois.
1019.697
des candidats plausibles dans un podcast de février 2026 interview.
1023.448
L'APT29 de la Russie en était un.
1025.325
L'APT41 de la Chine, associé au ministère de l'État
1029.076
La sécurité, c'était une seconde.
1030.953
Le groupe Lazarus de Corée du Nord, déjà présenté dans des précédents articles
1034.705
La couverture de Fragment Zero, était une troisième.
1037.519
En avril 2026, aucun service de renseignement n'a été mis en place.
1041.03
a publiquement attribué l'opération.
1042.635
Aucune accusation n'a été portée.
1044.643
Aucune arrestation n'a été faite.
1046.648
L'identité réelle de Jia Tan reste inconnue.
1049.859
Ce qui n'est pas contesté, parmi les chercheurs avec
1053.861
L'expertise pertinente des métiers, est que la patience de l'opération,
1057.561
La sécurité opérationnelle, la sophistication cryptographique et l'engagement des ressources sont les éléments les plus importants.
1061.262
Conformément à un service de renseignement national ou national,
1064.962
un équivalent fonctionnel proche et sont incohérents
1068.663
avec une activité criminelle ou hacktiviste individuelle.
1071.44
Ce n'était pas l'œuvre d'un seul homme.
1074.336
Un pirate.
1074.66
L'opération xz-utils a été possible grâce à une
1079.203
Une caractéristique structurelle de la façon dont la civilisation technologique moderne construit
1083.448
son infrastructure critique.
1085.039
Le logiciel qui gère Internet a été construit,
1088.229
Dans une large mesure, par des bénévoles travaillant sur
1091.117
Leur propre temps.
1092.201
Les entreprises qui profitent de ce logiciel ont
1095.089
a contribué à une petite fraction de son revenu économique
1097.979
La valeur.
1098.339
xz-utils était lié à toutes les distributions Linux majeures
1102.17
et a couru sur une fraction énorme de la planète
1105.7
Les serveurs.
1106.141
Son entretenu n'était pas payé.
1107.905
OpenSSL, la bibliothèque qui fournit la cryptographie à la plupart des utilisateurs
1111.435
Le réseau internet était notoirement sous-staffé avant la fin de l'ère de l'Internet.
1114.965
Heartbleed a été victime d'une vulnérabilité en 2014.
1116.73
Log4j, la bibliothèque de dépistage Java derrière le Log4Shell
1120.26
La vulnérabilité en 2021, a été maintenue par une poignée de personnes.
1123.79
Les bénévoles sont à la base de l'infrastructure d'entreprise à l'échelle mondiale.
1126.88
Dans tous les cas, une bibliothèque a été traitée comme critique
1131.227
L'infrastructure de plusieurs milliards de dollars de sociétés a été maintenue avec des projets de passe-temps
1135.273
Les ressources.
1135.779
L'opération xz-utils n'a pas inventé cette structure
1140.532
La vulnérabilité.
1141.089
Il l'a exploité.
1142.759
Le 11 avril 2024 deux semaines après
1148.166
La divulgation de Freund par les États-Unis
1150.547
L'Agence de sécurité du cybersecurity et de l'infrastructure a publié un communiqué officiel.
1154.355
Déclaration reconnaissant le problème structurel.
1156.733
La position de la CISA: le fardeau de la sécurité des infrastructures open source
1160.541
ne peut pas être attribué à des maintien non rémunérés individuels, et aux entreprises
1164.348
Les logiciels open source doivent contribuer, financièrement ou en consommant
1168.156
ou par le temps des développeurs, pour produire un développement durable
1171.963
écosystème.
1172.44
Les recommandations étaient non contraignantes.
1174.653
Ce sont des pratiques exemplaires.
1176.567
Ils étaient soumis à l'adoption volontaire par des entreprises dont les entreprises étaient responsables.
1180.393
La structure des incitations n'avait pas récompensé l'investissement historiquement.
1184.22
En un mois, la Fondation Linux et le groupe Linux ont lancé leur projet.
1187.789
La Fondation de sécurité Open Source a publié une alerte commune
1191.058
Avertissement que des tentatives de prise de contrôle similaires de l'ingénierie sociale ont été
1194.328
déjà en cours contre plusieurs autres projets open-source.
1197.598
La Fondation OpenJS qui maintient Node.js, jQuery,
1200.868
JavaScript et les infrastructures connexes ont publiquement révélé que
1204.137
Elle avait reçu une campagne de pression coordonnée à la suite de la
1207.407
Le même schéma que xz-utils, et avait rejeté
1210.678
uniquement parce que la divulgation xz-utils l'avait enseignée
1213.948
la communauté à quoi rechercher.
1216.4
Un rapport de la Fondation Linux 2026 a documenté le plus large éventail de problèmes.
1220.178
Un schéma dans l'écosystème.
1221.916
Le principal constat du rapport: ce qui est arrivé aux xz-utils
1225.394
n'était pas un incident singulier.
1227.567
C'était une méthode.
1229.307
La méthode est actuellement tentée à grande échelle.
1232.349
La plupart des détections réussis se produisent parce que
1235.827
Le cas xz-utils a fourni une signature pour correspondre
1239.305
contre. contre.
1239.74
Combien de détections infructueuses y a-t-il eues ? Opérations
1242.836
Des travaux en cours qui n'ont pas encore été réalisés.
1245.634
est pris par construction impossible à compter
1248.431
de sources publiques.
1249.48
Il y a deux épisodes sur Fragment Zero, le cas
1253.299
Le dossier sur l'hypothèse de la Forêt Noire a été fermé avec
1256.819
une observation.
1257.7
La doctrine de Liu Cixin a été formalisée en 2008
1261.22
Le silence comme survie, le cachement comme nécessité stratégique, la révélation
1264.74
comme danger existentiel est le plus ancien système opérationnel
1268.259
Principe de sécurité dans l'histoire des conflits humains.
1271.779
Chaque force qui a jamais opéré dans des conditions
1275.584
Des menaces incertaines et des capacités asymétriques ont convergé
1279.087
sur la même conclusion.
1280.839
Soyez calme.
1282.553
Mettez-vous en avant avec soin.
1283.967
En supposant une observation.
1285.38
L'opération xz-utils est l'exécution de la Forêt noire
1291.164
à l'intérieur d'une relation de confiance humaine.
1293.779
L'attaquant n'a pas enfreint un pare-feu.
1296.971
L'attaquant n'a pas exploité un jour zéro.
1299.862
L'attaquant n'a pas contourné la protection cryptographique.
1303.164
L'attaquant a fait quelque chose de beaucoup plus simple.
1305.643
L'attaquant s'est caché à la vue des autres pendant trois jours.
1308.946
Des années, produisant du travail utile, construisant une vraie crédibilité, se comportant bien.
1312.25
Comme tout autre contributeur utile, tout en préparant
1315.555
silencieusement, patiemment, à une patience stratégique inimaginable à
1318.857
La plupart des organisations techniques le moment où
1322.162
L'infrastructure préparée serait utilisée.
1324.64
L'attaque a réussi presque entièrement parce qu'elle était
1328.385
silencieux.
1328.817
Il n'a pas été détecté par aucun outil de sécurité,
1332.262
Par une vérification, pas par une institution
1335.709
La défense, mais par l'observation accidentelle d'un ingénieur de la défense.
1339.154
Cinq cents millisecondes de latence inexpliquée.
1341.74
La déclaration d'Andres Freund sur sa propre découverte, publiée
1345.057
à Mastodon dans les semaines qui suivent la divulgation,
1348.074
devrait fermer le dossier de l'affaire.
1349.96
Se fier à la chance dans le futur est une bonne chose.
1353.172
Une mauvaise stratégie.
1353.9
La porte arrière xz-utils a été prise.
1358.22
La version de l'opération dans la Forêt Noire
1361.625
Celui qui vise les relations de confiance plutôt que
1364.731
Des systèmes informatiques sont actuellement en cours d'essai,
1367.838
À ce stade, contre un nombre indéterminé de
1370.944
d'autres projets critiques en open source.
1372.498
Le modèle fonctionne.
1373.663
Les incitations économiques qui le rendent efficace ont
1376.769
pas changé de manière significative.
1377.933
Les réponses institutionnelles ont été réelles mais insuffisantes.
1381.039
L'ingénieur qui en trouve le prochain le fera.
1383.832
Ils ont aussi besoin de chance.
1384.766
Ils devront regarder le
1387.258
Le bon indicateur de référence au bon moment sur le bon marché
1389.75
Le système de droite.
1390.373
Ils devront être assez soigneux pour pouvoir les tracer.
1392.865
une anomalie à sa source.
1394.422
Ils devront publier leurs résultats avant
1396.913
Le directeur de l'opération a déjà expédié la charge utile
1399.405
à des sorties stables.
1400.339
Ils auront besoin, en particulier, des cinq cents millisecondes.
1404.4
C'est cet intervalle qui a séparé Internet
1409.019
En mars 2024, et avec une seule clé cryptographique
1412.039
Tenue par un acteur inconnu qui aurait eu
1415.059
Il a déverrouillé tous les serveurs Linux exécutant SSH sur Terre.
1418.079
Fragment Zero suivra le dossier de l'affaire.
1422.24
Le dossier de l'affaire ne se ferme pas.
1424.579
Il attend.
