نجات دنیا در تعطیلات؛ بزرگترین هک لینوکس چگونه خنثی شد؟
نجات دنیا در تعطیلات؛ بزرگترین هک لینوکس چگونه خنثی شد؟
خطر از بیخ گوش سیستمهای لینوکس و ویندوزی سراسر دنیا گذشت.چند روز پیش، یکی از توسعهدهندگان مایکروسافت که در تعطیلات عید پاک به سر میبرد، با کشف آسیبپذیری بسیار خطرناکی در ابزار فشردهسازی XZ Utils که تقریبا در تمام توزیعهای لینوکس و سیستمعاملهای شبهیونیکس حضور دارد و حتی در ویندوز نیز به کار برده میشود، دنیا را تکان داد. اگر این آسیبپذیری به موقع کشف نمیشد، فاجعهی امنیتی بسیار گستردهای رخ میداد و تعداد بیشماری از کامپیوترهای دنیا تا سالها در معرض هک بودند، بدون اینکه صاحبان آنها متوجه باشند. اسم این فرشتهی نجات آندرس فریوند (Andres Freund) است که در وقت استراحت خود و زمانی که درحال بهینهسازی عملکرد کامپیوترش بود، متوجه این آسیبپذیری فاجعهآمیز شد. این بکدور که در لایههای عمیق کد ابزار متنباز و رایگان XZ Utils کار گذاشته شده و ظاهرا سالها در دست توسعه بود، تنها در معرض یک کلید خاص آشکار میشد تا بدینترتیب بتواند از چشم حتی بهترین برنامههای آنتیویروس کامپیوترهای عمومی دور بماند.بهگفتهی مهندس نرمافزاری بهنام فیلیپو والسوردا، «این بکدور احتمالا بهترین حملهی زنجیره تامینی است که تاکنون از آن باخبر شدهایم و اگر کشف نمیشد، یک سناریوی کابوسوار تمامعیار را رقم میزد؛ یک آسیبپذیری مخرب و موثر در نسخهی مجاز آپاستریم ابزاری که قرار بود در کتابخانهای بهشدت پرکاربرد در دسترس همه قرار گیرد.»کپی لینکشروع ماجرا؛ نجات دنیا در اضافهکاریماجرای کشف بکدور XZ اوایل صبح روز ۲۹ مارس (۱۰ فروردین) شروع شد؛ زمانی که توسعهدهندهی مایکروسافت مستقر در سانفرانسیسکو بهنام آندرس فرویند در شبکهی اجتماعی ماستودن دربارهاش خبررسانی کرد و ایمیلی را هم باعنوان «بکدور در نسخهی آپاستریم xz/liblzma که سرور ssh را در معرض خطر قرار میدهد» به لیست پستی OpenWall فرستاد.
مجله خبری بیکینگ