Evo kako priča slična onoj iznad moće da dovede do kraha potpunoga........
Ovo je Veritasium video o XZ Utils backdoor-u (CVE-2024-3094) jednom od najozbiljnijih napada na Linux ikada.
Brzi sažetak jer dave 30 minuta dok ne dođu na konkretnu stvar.
Poenta je ova: gomila ključnih Linux stvari (tipa xz / liblzma za kompresiju) održavaju likovi volonteri. Znači nema plata, nema firma iza, nego dobra volja i entuzijazam. Sistem je bukvalno verujemo ti jer si tu dugo. Bitno je da si dobar magarac i da te jašu (ovo znam iz ličnoga iskustva)
I tu kreće zajeb.
Šta se desilo (2021–2024):
Pojavi se neki lik ........Jia Tan....pitanje je ko je on..... možda država iza(Kina ili Rusija) možda ne ........ali nije ni bitno.
Krene polako.........
prvo sitni fixovi.........
pa bug reportovi.........
pa sve korisniji..........
pa svima gotivan.........
I mic po mic.........postane nezamenljiv.
Originalni maintainer? Pregoreo, nema vremena, zatrpan. Plus nije imao kinte od ovoga.....
I na kraju ................ajde ti brate preuzmi.
I ovaj preuzme.
I ubaci backdoor u xz 5.6.0 i 5.6.1.
Kako je backdoor radio (tehnički deo):
Ciljao OpenSSH............ znači ulaz u server, srce sistema.
Iskoristio systemd da ubaci liblzma u sshd proces (tiho, bez buke).
Najluđe:
malicious kod NIJE bio u git-u
nego sakriven u tarball-u kao “test fajlovi”
Znači ako gledaš source..........sve čisto........
ako builduješ release .....upao si u septičku jamu punu govana............
xz je SVUDA
svaki distro skoro
Da ovo nije provaljeno imali bi milione servera otvorenih ko trafika
Špijunaža, ransomware, gašenje infrastrukture… sve moguće.
Kako je otkriven (srećom)...........Andres Freund (Microsoft inženjer) primetio je da SSH login traje ~500ms duže nego inače.
Počeo da debuguje............našao čudno ponašanje u liblzma i digao uzbunu.
Backdoor je imao bug (segfault u ranijim buildovima), što je pomoglo otkrivanju.
Ovo nije hakovanje u fazonu “upao sam kroz firewall”.
Ovo je ljudska psihologija...........strpljenje.....sistem bez kontrole.....
Projekat održava 1–2 čoveka (burnout zona)
Niko ne plaća........nema odgovornosti....samo dobra volja.
Lično sam učestvovao u sličnim stvarima. Pregoriš kao licna....
Pojavi se “super koristan lik”
Postaje nezamenljiv
Ostali počnu da zavise od njega
Preuzme kontrolu
To nije hakovanje. To je ljudska priroda + sistemska slabost.
Napadač ne mora da bude genije
mora da bude strpljiv i socijalno inteligentan..............
Elem.........Linux ne sme da zavisi od dobrote.
Mora da zavisi od procesa i verifikacije.
kompanije koje koriste (cloud, infra) moraju da plaćaju
održavanje = infrastruktura, ne hobi