كيف أوقف أحد المتطوعين بابًا خلفيًا من كشف أنظمة Linux حول العالم

نجا نظام Linux، نظام التشغيل مفتوح المصدر الأكثر استخدامًا في العالم، بأعجوبة من هجوم إلكتروني ضخم خلال عطلة عيد الفصح، وذلك بفضل أحد المتطوعين.

تم إدراج الباب الخلفي في إصدار حديث من تنسيق ضغط Linux المسمى XZ Utils، وهي أداة غير معروفة خارج عالم Linux ولكنها متوفرة في كل توزيعات Linux تقريبًا والتي تعمل على ضغط الملفات الكبيرة وتسهيل تحويلها. ولو كان الأمر أكثر انتشارا، لكان من الممكن اختراق عدد لا يحصى من الأنظمة على مر السنين.

وما إلى ذلك وهلم جرا آرس تكنيكا المذكورة فيه مراجعة كاملةوكان المتهم منخرطا في أعمال المشروع في العراء.

نظرًا لأنه موصول بثغرة أمنية لتسجيل الدخول عن بُعد في Linux، فإنه يعرض نفسه لمفتاح واحد فقط حتى يتمكن من الاختباء من عمليات فحص أجهزة الكمبيوتر العامة. مثل يكتب بن طومسون إستراتيجية. “معظم أجهزة الكمبيوتر في العالم معرضة للخطر ولا أحد يعلم.”

تبدأ قصة اكتشاف الباب الخلفي XZ في الساعات الأولى من يوم 29 مارس، عندما قام مطور Microsoft ومقره سان فرانسيسكو أندريس فرويند ماستودون و أرسلت بريدا إلكترونيا “يؤدي الباب الخلفي في المنبع xz/liblzma إلى اختراق خادم ssh،” وفقًا لقائمة بريدية الأمان الخاصة بـ OpenWall.

فرويند، الذي يتطوع بصفته “مشرفًا” على قاعدة بيانات PostgreSQL، وهي قاعدة بيانات تعتمد على Linux، لاحظ بعض الأشياء الغريبة أثناء إجراء الاختبارات خلال الأسابيع القليلة الماضية. تستخدم عمليات تسجيل الدخول المشفرة إلى liblzma، وهي جزء من مكتبة التجريد XZ، قدرًا كبيرًا من وحدة المعالجة المركزية. كتب فرويند في ماستودون: لم تكشف أي من أدوات الأداء التي استخدمها عن أي شيء. أثار هذا الأمر شكوكه على الفور، وتذكر “شكوى غريبة” من أحد مستخدمي Postgres قبل أسبوعين بشأن Valgrind، وهو برنامج Linux يتحقق من أخطاء الذاكرة.

وبعد بعض المناورات، اكتشف فرويند أخيرًا ما هو الخطأ. وأشار فرويند في بريده الإلكتروني إلى أن “تخزين المنبع xz وكرات القطران xz موجودة في باب خلفي”. كانت التعليمات البرمجية الضارة موجودة في الإصدارين 5.6.0 و5.6.1 من أدوات ومكتبات xz.

بعد ذلك بوقت قصير، أرسلت شركة البرمجيات مفتوحة المصدر Red Hat أ تنبيه السلامة في حالات الطوارئ لمستخدمي Fedora Rawhide وFedora Linux 40. في النهاية، توصلت الشركة إلى أن الإصدار التجريبي من Fedora Linux 40 يحتوي على نسختين متأثرتين من مكتبات xz. قد تكون إصدارات Fedora Rawhide قد تلقت الإصدارات 5.6.0 أو 5.6.1.

يرجى التوقف فورًا عن استخدام أي من مثيلات Fedora Ravite للعمل أو النشاط الشخصي. ستتم ترقية Fedora Rawhide قريبًا إلى xz-5.4.x، وبمجرد الانتهاء من ذلك، يمكن إعادة استخدام مثيلات Fedora Rawhide بأمان.

على الرغم من أن الإصدار التجريبي من Debian، وهو توزيع Linux مجاني، يحتوي على حزم مخترقة، إلا أن فريق الأمان الخاص به عملت بسرعة لتعديلها. كتب سلفاتوري بوناكورسو من دبيان في تنبيه أمني للمستخدمين مساء الجمعة: “لم تتأثر أي إصدارات دبيان المستقرة حاليًا”.

حدد فرويند لاحقًا الشخص الذي أرسل الكود الخبيث على أنه JiaT75، أو Jia Tan، أحد مطوري xz Utils الرئيسيين. “استنادًا إلى النشاط على مدار الأسابيع العديدة الماضية، فإما أن الضامن كان متورطًا بشكل مباشر أو كانت هناك بعض التسوية الخطيرة في نظامه. ولسوء الحظ، يبدو أن الأخير هو الأقل وصفًا، حيث أبلغت القوائم المختلفة عن “التصحيحات” المذكورة أعلاه. “، كتب فرويند في دخوله. تحليلبعد الجمع بين العديد من الأعمال التي طورتها JiaT75.

JiaT75 هو اسم مألوف: لقد عملوا لفترة من الوقت مع Lasse Collin، المطور الأصلي لتنسيق الملف .xz. كما أشار المبرمج روس كوكس في منشوره التسلسل الزمنيبدأ JiaT75 في أكتوبر 2021 بإرسال روابط تبدو مشروعة إلى القائمة البريدية لـ XZ.

وبعد بضعة أشهر، ظهرت الأذرع الأخرى للمخطط على شكل هويتين، هما جيجار كومار ودينيس إنز. بدأت بإرسال الشكاوى عبر البريد الإلكتروني لكولين حول الأخطاء والتطور البطيء للمشروع. لكن كما ذكر في التقارير إيفان بوس لم يتم رؤية الآخرين، “كومار” و”إنس”، خارج مجتمع XZ، مما دفع المحققين إلى الاعتقاد بأن كلاهما مزيفان لم يؤديا إلا إلى جعل جيا تان في وضع يسمح له بتوفير رمز الباب الخلفي.

وكتب في إحدى الرسائل: “أنا آسف بشأن مشكلات صحتك العقلية، ولكن من المهم أن تكون على دراية بقيودك. أدرك أن هذا مشروع ترفيهي لجميع المساهمين، لكن المجتمع يريد المزيد”، مضيفًا أن ” وقال كومار إن التقدم لن يحدث حتى يكون هناك مسؤول جديد.

كتب كولينز حول هذا الأمر ذهابًا وإيابًا: “لم أفقد الاهتمام، لكن قدرتي على الرعاية كانت محدودة للغاية بسبب مشاكل الصحة العقلية المزمنة وبعض الأشياء الأخرى”، كما اقترح جيا تان. في وعاء كبير. واختتم كلامه قائلاً: “من الجيد أن نتذكر أن هذا برنامج ترفيهي غير مدفوع الأجر”. استمرت رسائل البريد الإلكتروني من “Kumar” و”Ens” حتى تمت إضافة Dan كمشرف في وقت لاحق من ذلك العام، حيث قام بإجراء تغييرات ومحاولة جعل حزمة الباب الخلفي أكثر موثوقية على توزيعات Linux.

تعد حادثة الباب الخلفي xz وما أعقبها مثالاً على جمال المصدر المفتوح والضعف الكبير في البنية التحتية للإنترنت.

قام المطور الذي يقف خلف حزمة الوسائط مفتوحة المصدر الشهيرة FFmpeg بمعالجة هذه المشكلة في تغريدةقائلًا: “يُظهر الفشل الذريع لـ xz كيف يمكن أن يسبب الاعتماد على متطوعين غير مدفوعي الأجر مشاكل كبيرة. تتطلع الشركات التي تبلغ قيمتها تريليون دولار إلى المتطوعين للحصول على دعم مجاني وعاجل. لقد أحضروا إيصالات تشير إلى كيفية تعاملهم مع الخطأ “ذو الأولوية العالية” الذي يؤثر على Microsoft Teams.

على الرغم من اعتماد مايكروسوفت على برمجياتها، كتب المطور: “بعد أن طلبت بأدب عقد دعم من مايكروسوفت للصيانة طويلة الأجل، عرضوا دفعة لمرة واحدة بقيمة بضعة آلاف من الدولارات بدلاً من ذلك… الاستثمارات في الصيانة والاستقرار غير جذابة ومزعجة”. ربما لن يحصل المدير الأوسط على ترقيته، لكن على مر السنين سيدفع ذلك ألف ضعف.

من يقف وراء “JiaT75″، وكيف نفذوا مخططهم وحجم الضرر، يتم اكتشافه من قبل جيش من المطورين وخبراء الأمن السيبراني على وسائل التواصل الاجتماعي والمنتديات عبر الإنترنت. ولكن هذا يحدث بدون الدعم المالي المباشر من العديد من الشركات والمؤسسات التي قد تستفيد من استخدام البرامج الآمنة.