0.0
Cincocentos milissegundos.
1.84
Meio segundo.
3.379
A margem pela qual a internet não era
6.559
sequestrado.
6.919
Março, 2024.
10.039
São Francisco.
11.56
Um engenheiro da Microsoft de 38 anos chamado Andres Freund é o
15.298
benchmarking PostgreSQL em um sistema de desenvolvimento Debian.
18.306
É uma tarefa de rotina.
20.454
Freund é um comitê no projeto PostgreSQL.
23.893
Ele testa o desempenho da base de dados contra distribuições de Linux pré-lançadas.
27.332
como parte regular do seu trabalho.
30.339
Algo está errado com o ambiente de teste.
33.2
Falha tentativa de login SSH o tipo que
36.863
Cada servidor público está constantemente a ser atingido por bots automatizados tentando atingir.
40.228
Combinações de nome de usuário e senha aleatórias estão usando
43.591
Muito mais CPU do que deveria.
46.115
Um login falhado deve terminar rapidamente.
48.637
Estes não estão terminando rapidamente.
50.74
O Freund notifica.
52.32
Ele investiga mais.
53.926
Logins SSH bem-sucedidos, em sua própria máquina local,
57.406
estão levando quinhentos milissegundos mais tempo do que o
60.889
linha de base de aproximadamente cem milissegundos.
63.5
Meio segundo.
64.92
Freund executa a conexão sob Valgrind, um sistema de depuração de memória.
69.763
Ferramenta. Ferramenta.
70.17
Valgrind lança erros apontando para liblzma a
73.414
biblioteca de compressão que o daimônio SSH não tem
76.658
Razão legítima para invocar.
78.28
É então que a investigação se torna urgente.
81.299
Nos próximos dias, Freund acompanha os dados.
84.772
erros. Erros.
85.168
Ele descobre que o processo sshd em seu computador é um processo de transmissão de dados.
88.34
A máquina de teste está executando código de liblzma durante o teste.
91.512
autenticação.
91.908
Ele disseca a fonte de xz-utils no git.
95.079
Repositório.
95.475
A fonte é limpa.
97.061
Mas a bola de lançamento a fonte comprimida
100.233
Arquivo que Debian realmente faz download e constrói a partir de
103.406
contém um arquivo chamado build-to-host.m4 que é
106.578
Não na fonte git.
108.56
Esse arquivo contém um script obfuscado.
111.801
O script decodifica um script bash escondido dentro
115.722
Um arquivo de teste chamado bad-3-corrupt_lzma2.xz um arquivo
119.644
que é disfarçado como uma entrada de teste quebrada
123.566
para o tratamento de erros da biblioteca de compressão.
126.507
O script bash decodifica um segundo arquivo, good-large_compressed.lzma,,
130.429
O uso de obfuscação personalizada combinada com decodificação RC4.
133.86
O que sai no final da versão
136.834
Uma cadeia de objetos compartilhados é uma cadeia de objetos compartilhados.
138.84
O objeto compartilhado é uma porta traseira.
141.979
Na noite de 29 de março de 2024,
146.679
Enquanto, por conta própria, ouvia um
149.778
Podcast de segurança durante um intervalo de cozinha Andres
152.877
Freund publica suas descobertas no mailing oss-security
155.978
lista em Openwall.
157.139
Em 24 horas, a Red Hat atribuiu-o.
160.9
Um número de CVE.
162.198
A pontuação de gravidade é de dez pontos zero.
165.224
O mais alto possível.
166.522
A CISA emite um aviso de emergência.
168.685
Debian, SUSE, Fedora, Arch e Kali todos revertem
172.145
Os pacotes afetados.
173.443
O GitHub suspende o perfil do administrador que mantém o serviço.
176.902
Comprometeu a porta traseira.
178.199
A porta traseira, segundo parece, estava programada para
181.644
Navio com distribuições Linux estáveis dentro de aproximadamente dois
184.787
semanas.
185.18
Freund pegou por acidente.
187.08
Este é o processo de caso sobre o que aconteceu.
191.578
Sobre o que quase aconteceu.
193.026
E sobre o que a operação foi.
195.199
O alvo do ataque foi o xz-utils.
199.06
xz-utils é um kit de ferramentas de compressão.
201.688
Sua principal ferramenta, o comando xz, produz .xz.
205.414
o equivalente Unix de arquivos .zip,
209.14
com maiores índices de compressão.
211.003
Abaixo da ferramenta de linha de comando está uma biblioteca chamada.
214.73
Liblzma, que fornece o algoritmo de compressão para outros lib
218.456
programas que precisam.
220.319
A liblzma é carregada, direta ou indiretamente, por um lib.
223.984
Uma enorme quantidade de software do sistema Linux.
226.507
Os gerentes de pacotes estão ligados contra isso.
228.609
Os utilitários do sistema se ligam contra ele.
230.711
E através de uma cadeia que os atacantes podem usar.
234.075
especificamente projetado os links do daemon OpenSSH contra
237.439
O que é que você está fazendo?
237.86
A cadeia funciona assim.
240.689
Na maioria das principais distribuições Linux, sshd é patchado.
244.736
O sistema d's service notification mechanism, chamado sd_notify.
248.784
Esse corrector faz com que o sshd carregue uma biblioteca
252.831
Libsystemd. chamado libsystemd.
253.843
E o libsystemd, por sua vez, carrega liblzma.
256.879
O resultado: na maioria dos servidores Linux de produção, o sistema operacional foi criado.
260.66
SSH daemon o processo que aceita o remoto
264.139
logins carrega uma biblioteca de compressão no início,
267.62
Embora o SSH não comprima o tráfego de autenticação.
271.1
Comprometer a biblioteca de compressão, e você comprometer a biblioteca de compressão.
274.696
um daemon que controla o acesso remoto a todos os Linux
277.992
servidor na internet.
279.639
No momento da quase implantação da porta traseira, Linux
283.206
O top estava a correr cerca de noventa e seis por cento do top
286.471
Um milhão de servidores web no mundo.
289.329
Todos os cincocentos dos mais poderosos do mundo
292.596
Supercomputadores.
293.004
Cerca de noventa e dois por cento das máquinas virtuais em toda a Amazon
296.269
Serviços Web, Google Cloud e Microsoft Azure.
299.127
O Android, que alimenta cerca de 85% do sistema operacional, é o Android.
302.394
Os smartphones do mundo, são construídos no kernel Linux.
305.66
O xz-utils backdoor, tinha-o enviado para estabilidade
308.971
distribuições, teriam estado presentes em uma distribuição substancial
311.982
fração de tudo o que foi dito acima.
314.24
Alex Stamos, ex-chefe de segurança da CIA
317.766
O Facebook, descreveu o resultado pretendido em uma frase:
320.99
Uma chave-mãe para qualquer servidor SSH em
324.216
Terra. Terra.
324.62
É por isso que o CVE foi marcado por dez
329.675
ponto zero.
330.54
O design técnico da porta traseira vale a pena
334.487
compreensão exatamente.
335.399
O atacante explorou o fato de libertar tarballs
338.867
Contém arquivos gerados automaticamente que não existem em.
342.033
a fonte git controlada por versões.
343.617
Especificamente, o arquivo build-to-host.m4 no tarball continha.
346.783
Uma única linha que tinha sido modificada para
349.949
Injetar um script obfuscado no passo de configuração
353.117
do processo de construção.
354.699
Isso significava que qualquer pessoa que pudesse ler a fonte git
357.783
O código não podia ver a porta traseira.
359.87
Qualquer pessoa que construísse a partir de git não poderia desencadeá-lo.
362.653
Apenas distribuições Linux, que se baseiam no lançado
365.437
tarballs que é efetivamente todos eles
368.22
executa a injeção.
369.959
A cadeia de injeção foi de três etapas.
372.636
O primeiro estágio extraiu um script bash de um.
375.803
O arquivo disfarçado como uma entrada de teste de compressão corrupta.
378.971
O segundo estágio usou esse script bash para decodificar.
382.139
Um segundo arquivo de teste em um compartilhado compilado
385.307
Objeto. Objeto.
385.704
O terceiro estágio ligou o objeto compartilhado ao .
388.872
compilado liblzma binário.
390.06
O objeto compartilhado usou uma característica glibc legítima.
394.492
IFUNC função indireta chamada resolvedores a
398.624
Seqüestrar uma função específica OpenSSH chamada RSA_public_decrypt.
402.24
RSA_public_decrypt é a função OpenSSH que valida RSA.
406.473
As assinaturas durante a autenticação de certificados.
408.439
Sempre que um cliente tenta se conectar usando
412.372
Em um certificado RSA, o sshd chama essa função para.
416.305
Verifique a assinatura.
417.779
Com a porta traseira ativa, o sshd estava chamando o
421.92
O código do atacante em vez disso.
423.36
O código do atacante inspecionou o módulo público RSA
427.163
o grande valor inteiro passado no
430.668
Certificado do cliente.
431.543
Normalmente, esse valor é usado em RSA padrão.
435.048
Verificação.
435.485
Na porta traseira, na verdade, era uma carga útil
438.99
Container.
439.427
O código decifrou a carga útil usando um código rígido
442.932
ChaCha20 chave simétrica.
444.245
Em seguida, verificou a assinatura da carga útil descifrada usando.
447.75
Uma chave pública Ed448 codificada em código duro.
449.939
Se a assinatura for verificada, significa a carga útil.
453.107
Foi assinado pela chave privada do atacante
455.973
O código executou os comandos shell incorporados como.
458.841
raiz. raiz.
459.199
Isto é o que os pesquisadores de segurança chamam de controle remoto fechado.
464.192
Execução de código.
465.04
A porta traseira só se activa quando o atacante se apresenta
468.432
Uma assinatura criptográfica válida.
470.127
Um atacante comum que tropeçou pela porta traseira.
473.519
Não poderia explorá-lo.
475.216
Somente o detentor da chave privada Ed448
478.608
poderia desencadeá-lo.
479.879
Este detalhe é importante.
481.367
Um ator criminoso que está construindo uma vulnerabilidade para venda
484.536
torna-o utilizável por quem quer que o compre.
487.307
Um ator do estado construindo uma capacidade de acesso persistente
490.475
torna-o exclusivo.
491.663
Somente eles e quem eles autorizam explicitamente podem fazê-lo.
494.831
Use a chave.
496.019
A porta traseira xz-utils foi projetada para uso exclusivo.
499.875
Não foi uma vulnerabilidade.
502.098
Era um ativo estratégico.
504.319
A operação que produziu a porta traseira começou em
508.721
26 de janeiro de 2021.
510.259
Naquela data, foi criado um conta GitHub
514.092
sob o nome de usuário JiaT75.
515.859
O nome da exibição era Jia Tan.
518.508
A conta não tinha nenhuma pegada digital anterior.
521.599
Nenhuma presença nas redes sociais sob esse nome.
524.69
Não há conferências.
526.014
Nenhum contribuição de código aberto anterior.
527.78
Não há aparições em violações de dados.
529.989
O nome parece ser um pseudônimo.
533.08
A primeira contribuição pública do JiaT75 para os xz-utils ocorreu em
537.379
Noventa e nove de outubro de 2021 - nove meses após o lançamento do livro.
541.379
A criação da conta.
542.379
Foi um patch menor para um editor
546.379
arquivo de configuração.
547.379
Innocente.
547.879
Não é importante.
548.379
O tipo de contribuição que estabelece presença sem.
552.379
desenho de escrutínio.
553.379
Nos próximos dois anos e cinco meses,
557.476
JiaT75 foi autor de mais de cincocentos compromissos com o
561.274
Projetos de código aberto.
562.222
A grande maioria foram melhorias legítimas código
566.019
avaliações, traduções, manutenção contínua de integração, correções de bugs.
569.341
Trabalho útil.
570.291
Genuinamente útil.
571.24
Cerca de oito desses compromissos foram maliciosos.
574.34
A relação importa.
575.889
Seixenta a um.
577.138
Para cada compromisso malicioso, o operador produziu sessenta.
580.47
Peças de trabalho real e útil.
582.551
É isso que torna o padrão impossível de ser feito.
585.883
Detectar através da análise de anomalias estatísticas.
587.965
O atacante passou dois anos e meio.
591.296
de esforço dedicado produzindo contribuições verdadeiramente valiosas, puramente
594.626
Acumular a confiança necessária para se comprometer com o
597.957
Oito mudanças que, em última análise, importaram.
600.039
A operação não funcionou sozinha.
603.919
A partir de abril de 2022, um usuário se chama
607.337
Jigar Kumar apareceu na lista de correio do xz-devel.
610.456
Kumar não tinha histórico na lista antes
613.575
Abril de 2022.
614.355
Toda a sua presença consistia em e-mails de pressão para
617.472
O principal responsável pelo projeto, queixa-se de resposta lenta
620.591
tempos e exigindo que um novo administrador seja
623.71
Adicionou.
624.1
Em maio de 2022, uma segunda conta Dennis
627.798
O Ens apareceu, perguntando sobre o estado da manutenção.
631.197
A versão Java de xz-utils, e a seguinte:
634.596
com mensagens adicionais de pressão.
636.72
Ambas as contas tinham o mesmo perfil.
639.62
Nenhuma presença digital antes de 2022.
641.787
Não há atividade fora da lista de correio do xz-devel.
644.82
Nenhuma participação em qualquer outro projeto antes ou depois.
648.287
Depois da campanha de pressão.
650.019
Em fevereiro de 2024 semanas antes da porta traseira
653.788
foi cometido um terceiro conta apareceu.
656.823
Hans Jansen.
657.691
O papel de Jansen era pressionar os mantenedores de Debian a se envolverem com o projeto.
661.159
Adotando a versão comprometida de xz-utils logo
664.629
o mais possível.
665.495
Em 25 de março de 2024, Hans Jansen apresentou um pedido de prisão.
668.965
O relatório de bugs de Debian solicita explicitamente a atualização.
672.0
Quatro dias depois, Andres Freund publicou suas descobertas.
676.043
para oss-security.
676.98
Dois contas de suporte adicionais krygorin4545 e misoeater91
682.991
forneceu pressão de fundo em vários fios, seguindo
687.403
O mesmo padrão.
689.058
Não há presença pré-operatória.
690.712
Participação apenas durante janelas de pressão específicas.
694.022
Desaparecimento após o cumprimento dos objetivos.
696.779
A análise pós-incidente da Kaspersky observou que o estilo geográfico
701.02
Os nomes dos bonecos de calça eram inconsistentes Singapura,
704.962
O europeu, o indiano sugere que o operador tinha
708.903
Dispersou deliberadamente as identidades de cobertura para evitar a
712.845
aparência de coordenação. Aparecimento de coordenação.
714.322
Mas o padrão de comportamento tempo das aparições,
718.264
pontos de pressão sincronizados, desaparecimento colectivo após cada objetivo
722.206
sugeriu um único operador ou coordenado estreitamente
726.147
equipe.
726.639
A pressão funcionou.
728.299
Em 29 de junho de 2022, o principal administrador de
731.697
xz-utils um desenvolvedor de software finlandês chamado Lasse
734.796
Collin respondeu à lista de correio e
737.894
A Jia Tan afirmou que teria um maior número.
740.99
O papel no projeto em frente, e foi,
744.089
Na prática, já funcionando como co-manutenente.
746.799
Esta foi a transferência.
748.82
Para entender o que tinha acabado de acontecer, é
752.299
necessário para entender qual era a posição de Lasse Collin.
755.48
Collin tinha mantido xz-utils, sozinho, desde 2009.
758.51
O projeto não foi pago.
760.072
Ele trabalhava nisso em seu tempo livre.
763.192
No início do mesmo mês, em junho de 2022.
766.315
Em resposta à lista de correio, Collin havia reconhecido publicamente que
769.436
Ele estava lidando com problemas de saúde mental de longo prazo.
772.557
Ele se referiu ao projeto, em seu próprio livro.
775.678
palavras, como um projeto hobby não pago.
778.019
Lasse Collin não é responsável pelo que aconteceu.
782.432
A comunidade de segurança tem sido unânime sobre isso
785.245
ponto. ponto.
785.596
Collin estava fazendo trabalho hobby não remunerado.
787.706
Ele estava lidando com desafios de saúde documentados.
790.168
Ele estava sob pressão constante e coordenada de o que ele estava fazendo.
792.98
Aconteceu ser uma operação de inteligência de nível estatal.
795.793
O sistema que o colocou nessa posição
798.606
Falhou-lhe.
799.309
Ele não falhou no sistema.
801.419
O que a operação explorou não era a competência de Collin.
805.279
Era sua posição estrutural sozinho, sem pagamento,
808.84
lidando com estressores do mundo real, responsável pela manutenção da infraestrutura
812.399
Usados por bilhões de pessoas, sem apoio institucional.
815.96
O atacante profissional identificou essa estrutura e alvejou
819.993
O que é que você está fazendo?
820.46
Uma vez que a transferência foi concluída, a preparação da infraestrutura foi iniciada.
824.635
começou.
825.12
Em outubro de 2022, Jia Tan foi adicionado a.
828.985
a organização Tukaani no GitHub.
831.214
Em dezembro de 2022, ele criou o repositório organizacional do repositório.
834.779
estrutura e fez seu primeiro lançamento.
837.453
Em março de 2023, ele mudou a segurança primária.
841.019
E-mail de contato no Google OSS-Fuzz o contato automatizado
844.586
Plataforma de digitalização de vulnerabilidade do endereço de Lasse Collin para
848.15
O seu próprio.
849.043
A partir desse momento, qualquer relatório de bugs relevantes para a segurança será enviado.
852.609
Chegaria a Jia Tan antes de chegar a qualquer um
856.173
Outra coisa.
856.62
Em junho de 2023, Jia Tan introduziu o resolutor IFUNC.
860.393
Infraestrutura em liblzma.
861.695
Os compromissos pareciam ser legítimos para otimizar o desempenho.
865.168
trabalho.
865.601
Em retrospectiva, eram os ganchos através dos quais
869.075
A porta traseira seria eventualmente injetada.
871.679
Em julho de 2023, Jia Tan abriu uma atração.
875.525
O pedido de OSS-Fuzz para desativar a fuzzing IFUNC para
879.072
xz.
879.514
A mudança foi feita para evitar o teste de fuzz
883.061
O pipeline de detecção de anomalias na porta traseira baseada no IFUNC
886.606
Quando finalmente foi enviado.
888.379
Em fevereiro de 2024, um compromisso separado quebrou o compromisso.
891.836
Detecção de sistema de construção de Landlock um núcleo de Linux
894.99
Uma característica de segurança que restringe os privilégios de processo.
897.357
O commit disabled xz's own sandbox on systems
900.513
De outra forma, isso teria sido aplicado.
902.879
Em 23 de fevereiro e 9 de março de 2024, o evento será realizado.
906.546
A própria porta traseira foi realizada em duas etapas, embalada.
909.913
como parte dos xz-utils 5.6.0 e 5.6.1
913.278
lançamentos.
913.7
Dezessete dias depois, Andres Freund notou um milissegundo de 500 milissegundos.
918.703
O atraso SSH.
919.879
Pesquisadores analisando os metadados de comitamento deixados por
924.019
A operação notou um padrão.
926.419
Os timestamps de compromisso de Jia Tan estão agrupados principalmente no período de transição.
930.125
As fusões horárias da Europa Central ou Oriental.
933.106
As horas de trabalho correspondiam a aproximadamente nove no período de transição.
936.513
Entre as cinco da tarde, na manhã da Europa Central
939.918
O tempo.
940.345
A atividade continuou durante os principais feriados e feriados chineses.
943.75
Pausa durante vários europeus.
945.879
O nome, e a geografia operacional reivindicada, foi.
949.679
Ásia Oriental.
950.554
O padrão de trabalho real era europeu.
953.179
É o que os analistas de inteligência chamam de assinatura.
956.735
vazamento.
957.14
Um operador passou mais de trinta meses mantendo uma
960.395
identidade. Cover identity.
961.21
Mas os timestamps automáticos incorporados em cada git
964.464
O commit revelou periodicamente a localização real do commit.
967.719
A máquina que estava fazendo o compromisso.
970.159
Três atribuições de candidatos apareceram na análise pública
975.53
de pesquisadores de segurança com experiência relevante.
978.36
O pesquisador de segurança americano Dave Aitel, ex-NSA
982.128
Cientista da computação, avaliou publicamente que a operação se encaixava.
985.596
O padrão atribuível ao APT29 o avançado
989.065
Grupo de ameaça persistente atribuído pelos Estados Unidos
992.533
Os governos do Reino Unido e do Reino Unido ajudaram a inteligência estrangeira russa
996.0
Serviço. Serviço.
996.434
APT29 é conhecido por campanhas de espionagem de longa duração, incluindo
999.903
O compromisso da cadeia de suprimentos SolarWinds divulgado em 2020.
1003.37
Horários de trabalho alinhados com a correspondência de fone horário de Moscou
1006.839
O padrão de Jia Tan.
1008.139
Costin Raiu, ex-diretor da Kaspersky, é um dos principais líderes da empresa.
1012.192
O Grupo Global de Pesquisa e Análise, com três décadas de experiência
1015.945
Experiência em atribuir operações sofisticadas identificou três.
1019.697
candidatos plausíveis em uma entrevista de podcast de fevereiro de 2026.
1023.448
O APT29 da Rússia foi um.
1025.325
APT41 da China, associado ao Ministério de Estado.
1029.076
Segurança, foi um segundo.
1030.953
O grupo Lazarus, da Coreia do Norte, já apareceu em um episódio anterior.
1034.705
A cobertura de Fragment Zero, foi uma terceira.
1037.519
A partir de abril de 2026, nenhum serviço de inteligência tem
1041.03
publicamente atribuído à operação.
1042.635
Não foram apresentadas acusações.
1044.643
Nenhum detento foi feito.
1046.648
A verdadeira identidade de Jia Tan permanece desconhecida.
1049.859
O que não é em disputa, entre os pesquisadores com
1053.861
A experiência relevante de uma empresa comercial, é que a paciência da operação,
1057.561
Segurança operacional, sofisticação criptográfica e compromisso com recursos são:
1061.262
consistente com um serviço de inteligência nacional-estado ou
1064.962
um equivalente funcional próximo e são inconsistentes
1068.663
com atividade criminosa ou hacktivista individual.
1071.44
Isto não foi obra de um solitário.
1074.336
Hacker. Hacker.
1074.66
A operação xz-utils foi possível devido a um.
1079.203
Característica estrutural de como a civilização moderna de tecnologia construi
1083.448
sua infraestrutura crítica.
1085.039
O software que opera a internet foi construído,
1088.229
A um nível substancial, por voluntários que trabalham em
1091.117
O seu próprio tempo.
1092.201
As empresas que se beneficiam deste software têm
1095.089
contribuiu para o retorno de uma pequena fração de sua economia
1097.979
valor. valor.
1098.339
xz-utils foi combinado com todas as principais distribuições Linux
1102.17
E foi executado em uma enorme fração da global
1105.7
Servidores.
1106.141
Seu administrador não foi pago.
1107.905
OpenSSL, a biblioteca que fornece criptografia para a maioria dos usuários.
1111.435
A internet, que era notoriamente insuficiente antes da Revolução Soviética, era conhecida por ser uma empresa de baixo custo.
1114.965
Heartbleed vulnerabilidade em 2014.
1116.73
Log4j, a biblioteca de registro Java por trás do Log4Shell
1120.26
A vulnerabilidade em 2021, foi mantida por um punhado de pessoas.
1123.79
de voluntários por trás da infraestrutura empresarial globalmente.
1126.88
Em todos os casos, uma biblioteca foi tratada como crítica
1131.227
A infraestrutura por empresas multimilionárias foi mantida com um projeto hobby.
1135.273
recursos.
1135.779
A operação xz-utils não inventou esta estrutura
1140.532
vulnerabilidade.
1141.089
Ele explorou.
1142.759
No dia 11 de abril de 2024 duas semanas depois
1148.166
A divulgação de Freund os EUA
1150.547
A Cybersecurity and Infrastructure Security Agency publicou um comunicado formal.
1154.355
Declaração reconhecendo o problema estrutural.
1156.733
A posição da CISA: o fardo de garantir a infraestrutura de código aberto
1160.541
Não pode cair sobre os empregados de manutenção não pagos, e as empresas
1164.348
O software de código aberto deve contribuir, financeiramente, para o consumo.
1168.156
ou através do tempo do desenvolvedor, para produzir um sustentável
1171.963
ecossistema.
1172.44
As recomendações não eram obrigatórias.
1174.653
Eram as melhores práticas.
1176.567
Eles dependem da adoção voluntária por empresas cujas
1180.393
A estrutura de incentivo não havia recompensado historicamente o investimento.
1184.22
Em um mês, a Linux Foundation e a Linux Foundation começaram a trabalhar.
1187.789
A Open Source Security Foundation publicou um alerta conjunto
1191.058
A advertença é que tentativas similares de tomada de posse de engenharia social foram
1194.328
Já está em andamento contra vários outros projetos de código aberto.
1197.598
A Fundação OpenJS que mantém Node.js, jQuery,
1200.868
JavaScript e infraestrutura relacionada publicaram publicamente que
1204.137
Recebeu uma campanha de pressão coordenada após o lançamento do projeto.
1207.407
O mesmo padrão que os xz-utils, e tinha rejeitado
1210.678
somente porque a divulgação do xz-utils o havia ensinado
1213.948
a comunidade o que procurar.
1216.4
Um relatório da Fundação Linux de 2026 documentou o mais amplo processo.
1220.178
padrão em todo o ecossistema.
1221.916
A principal descoberta do relatório: o que aconteceu com os xz-utils
1225.394
não foi um incidente singular.
1227.567
Era um método.
1229.307
O método está sendo tentado em escala.
1232.349
A maioria das detecções bem sucedidas estão acontecendo porque
1235.827
O caso xz-utils forneceu uma assinatura para combinar
1239.305
contra. contra.
1239.74
Quantas detecções falhadas existem operações
1242.836
Em desenvolvimento que ainda não foram já realizadas.
1245.634
é por construção impossível de contar capturado
1248.431
de fontes públicas.
1249.48
Fragment Zero, o caso
1253.299
O arquivo sobre a hipótese da Floresta Negra foi fechado com.
1256.819
uma observação.
1257.7
A doutrina Liu Cixin formalizou em 2008
1261.22
Silêncio como sobrevivência, ocultação como necessidade estratégica, revelação
1264.74
Como perigo existencial é o mais antigo operativo
1268.259
Princípio de segurança na história dos conflitos humanos.
1271.779
Todas as forças que já operaram sob condições
1275.584
A ameaça incerta e a capacidade assimétrica convergem
1279.087
na mesma conclusão.
1280.839
Fique quieto.
1282.553
Mova-te com cuidado.
1283.967
Assuma a observação.
1285.38
A operação xz-utils é executada pela Floresta Negra
1291.164
dentro de um relacionamento de confiança humana.
1293.779
O atacante não quebrou um firewall.
1296.971
O atacante não explorou um dia zero.
1299.862
O atacante não contornou nenhuma proteção criptográfica.
1303.164
O atacante fez algo muito mais simples.
1305.643
O atacante se escondeu à vista de todos durante três anos.
1308.946
anos, produzindo trabalho útil, construindo genuína credibilidade, comportando-se bem
1312.25
Como qualquer outro colaborador útil, enquanto prepara
1315.555
silenciosamente, pacientemente, com paciência estratégica inimaginável.
1318.857
A maioria das organizações técnicas o momento em que
1322.162
A infraestrutura preparada seria usada.
1324.64
O ataque teve sucesso quase inteiramente porque foi o que foi feito.
1328.385
silencioso.
1328.817
Não foi detectado por nenhuma ferramenta de segurança,
1332.262
Não por qualquer auditoria, não por qualquer instituição
1335.709
Defesa, mas por uma observação acidental de um engenheiro de defesa.
1339.154
Cincocentos milissegundos de latência inexplicável.
1341.74
A declaração de Andres Freund sobre sua própria descoberta, publicada em
1345.057
para Mastodon nas semanas seguintes à divulgação,
1348.074
Deve fechar o processo.
1349.96
Confiar na sorte no futuro é uma boa maneira de se manter em paz.
1353.172
Má estratégia.
1353.9
A porta traseira do xz-utils foi apanhada.
1358.22
A versão da operação da Floresta Negra
1361.625
Aquele que visa relacionamentos de confiança em vez de
1364.731
Sistemas de computador estão sendo tentados agora,
1367.838
Neste momento, contra algum número indeterminado de
1370.944
outros projetos críticos de código aberto.
1372.498
O padrão funciona.
1373.663
Os incentivos econômicos que o fazem funcionar têm
1376.769
Não mudou significativamente.
1377.933
As respostas institucionais foram reais, mas insuficientes.
1381.039
O engenheiro que encontrar o próximo irá fazer o mesmo.
1383.832
Também precisam de sorte.
1384.766
Eles precisam estar olhando para o
1387.258
O ponto de referência certo no momento certo no mercado
1389.75
Sistema direito.
1390.373
Eles precisarão ter cuidado o suficiente para rastrear
1392.865
uma anomalia em sua fonte.
1394.422
Eles terão que publicar seus resultados antes
1396.913
O principal da operação já enviou a carga útil
1399.405
para lançamentos estáveis.
1400.339
Eles precisarão, especificamente, dos quinhentos milissegundos.
1404.4
Esse intervalo é o que se encontrava entre a internet
1409.019
Em março de 2024 e com uma única chave criptográfica
1412.039
Mantido por um ator desconhecido que teria sido
1415.059
Desbloqueou todos os servidores Linux executando SSH na Terra.
1418.079
Fragmento Zero irá rastrear o arquivo do caso.
1422.24
O processo não se fecha.
1424.579
Ele espera.
