XZ-Backdoor: Zeiten, verfluchte Zeiten und Betrügereien

 (rheaeve.substack.com)
2 Punkte von GN⁺ 2024-04-01 | 1 Kommentare | Auf WhatsApp teilen

XZ-Backdoor: Zeiten, verfluchte Zeiten und Betrügereien

  • Kürzlich wurde ein verstecktes Backdoor im xz/liblzma-Tarball entdeckt.
  • Dies könnte eine der größten Verletzungen des Vertrauens im Ökosystem freier Software sein.
  • Es wird vermutet, dass das Backdoor von Jia Tan, einem langjährigen Maintainer von xz, eingefügt wurde.
  • Während seiner Tätigkeit als Maintainer blieb Jia eine vergleichsweise rätselhafte Figur, und über seine tatsächliche Identität ist kaum etwas bekannt.
  • Im Bereich freier Software wird Anonymität im Allgemeinen positiv gesehen, doch in diesem Fall ist es interessant herauszufinden, wer nach langem Aufbau von Community-Vertrauen dieses missbraucht hat.
  • Anhand der Metadaten aus Jias Aktivitäten lässt sich mehr über ihn herausfinden.

Was kann man aus der Zeit lernen?

  • Es lohnt sich, über die Bedingungen nachzudenken, unter denen Software entsteht.
  • Die Bandbreite dessen, was uns Zeitmuster sagen können, ist sehr groß.
  • Unter den Menschen, die Code schreiben, gibt es sowohl Berufstätige als auch Hobbyentwickler.
  • Je nach Region schreiben Menschen zu unterschiedlichen Zeiten Code.
  • Feiertage, Schlafrhythmus, Work-Life-Balance und Ähnliches beeinflussen auch das Schreiben von Code.
  • Zu verstehen, wann jemand Code schreibt, hilft dabei zu verstehen, warum und wo diese Person Code schreibt.

Analyse von Jias Commits

  • Es wurde eine Analyse der Commits von JiaT75 im XZ-Repository und ihrer Zeitstempel durchgeführt.
  • Git-Zeitstempel lassen sich zwar beliebig ändern, aber Zeitdaten glaubwürdig zu manipulieren, ist in der Praxis schwierig.
  • Es ist einfacher, nur die Zeitzone zu ändern, als die tatsächliche Uhrzeit zu verändern.
  • Jia Tan wollte offenbar, dass die Leute ihn für einen Asiaten, insbesondere einen Chinesen, halten, und die meisten seiner Commits (440) tragen Zeitstempel in UTC+08.
  • Tatsächlich stammt er jedoch vermutlich aus einer Region in UTC+02 (Winter) bzw. UTC+03 (Sommerzeit).
  • Manchmal vergaß er offenbar, die Zeitzone zu ändern, was mit den Umstellungen auf Sommerzeit in Osteuropa übereinstimmt.
  • Jias Arbeitsrhythmus und Feiertage scheinen eher zu Osteuropa als zu China zu passen.

Meinung von GN⁺

  • Dieser Artikel bietet ein interessantes Fallbeispiel zur Bedeutung von Vertrauen und Anonymität in der Softwareentwicklungs-Community.
  • Sicherheitsbedrohungen wie ein Backdoor können der Vertrauenswürdigkeit von Open-Source-Projekten erheblich schaden, was bedeutet, dass Entwickler Code-Reviews und Sicherheitsaudits mehr Aufmerksamkeit widmen sollten.
  • Solche Vorfälle erinnern Entwickler an die Bedeutung von Commit-Logs und Metadaten. Die Identität vertrauenswürdiger Mitwirkender zu verifizieren, kann für die Sicherheit eines Projekts essenziell sein.
  • Andere Open-Source-Projekte mit ähnlicher Funktionalität sind GitLab und GitHub; sie stärken Sicherheitsprotokolle und Nutzerauthentifizierung, um das Vertrauen der Community aufrechtzuerhalten.
  • Dieser Artikel zeigt, wie wichtig es ist, innerhalb der Tech-Community ein Gleichgewicht zwischen Anonymität und Vertrauen zu finden. Projektverantwortliche und Mitwirkende sollten aus solchen Vorfällen lernen und Maßnahmen ergreifen, um Transparenz und Sicherheit des Codes zu stärken.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-04-01
Hacker-News-Kommentare

  • Zusammenfassung des ersten Kommentars:

    • Der Verfasser glaubt nicht, dass der Hacker aus Osteuropa stammt, und erwähnt europäische Länder sowie den Nahen Osten, die in die Zeitzonen UTC+0200/+0300 fallen.
    • Im Fall eines staatlich unterstützten Cyberangriffs könnten die Abteilung, die den eigentlichen Code schreibt, und die Abteilung, die sich mit dem Internet verbindet, getrennt sein; Letztere könnte dann die Aufgabe haben, die Zeiten so anzupassen, dass die Absenderinformationen zu einer bestimmten Story passen.

  • Zusammenfassung des zweiten Kommentars:

    • Der Verfasser erwähnt, dass die Zeitzone GMT+8, ein mit Chinesisch vermischter Name und Verbindungen über einen Server in Singapur auf eine singapurische Identität hindeuten könnten.
    • Er merkt außerdem an, dass Menschen aus dem chinesischen Festland möglicherweise nicht viel über chinesische Communities im Ausland wissen, sodass auch die Einschätzung, der Name klinge gefälscht, durchaus Anlass zu Zweifeln gibt.
    • Er schlägt vor, dass die Analyse anderer Beiträge von Jia Tan helfen könnte, zwischen einem Singapurer, einer Person vom chinesischen Festland oder einem Sprecher einer slawischen Sprache zu unterscheiden.

  • Zusammenfassung des dritten Kommentars:

    • Der Verfasser reist viel und möchte seinen Reiseplan nicht in öffentlichen Repositories offenlegen; deshalb verwendet er ein Mapping des gc-Befehls auf TZ=UTC0 git commit.

  • Zusammenfassung des vierten Kommentars:

    • Unabhängig vom Ernst des Vorfalls findet der Verfasser den Prozess, die im Internet entstehenden Rätsel aufzuklären, äußerst faszinierend.

  • Zusammenfassung des fünften Kommentars:

    • Der Verfasser richtet aufmunternde Worte an Jia und sagt, dass man ohne einen Versuch nicht einmal die Chance auf Erfolg hat.

  • Zusammenfassung des sechsten Kommentars:

    • Der Verfasser weist darauf hin, dass der Unterschied zwischen den Zeitpunkten zweier Commits eher etwa 1 Stunde als ungefähr 9 Stunden beträgt.

  • Zusammenfassung des siebten Kommentars:

    • Der Verfasser erwähnt, dass auch er früh am Morgen arbeitet, sagt aber, es wirke plausibler, dass Hacker oder junge Leute eher am Nachmittag oder spät in der Nacht arbeiten.

  • Zusammenfassung des achten Kommentars:

    • Der Verfasser schlägt vor, auch die Zeitstempel der Antworten in der Mailingliste einzubeziehen.

  • Zusammenfassung des neunten Kommentars:

    • Der Verfasser stellt die Hypothese auf, dass ein Amerikaner (oder jemand von einem anderen Ort) sich als Osteuropäer ausgeben und zugleich so tun könnte, als sei er Chinese.