No mundo da segurança cibernética, a recente revelação de um backdoor que quase se funde com o onipresente xz Utils, uma ferramenta de compressão de dados amplamente usada em sistemas Linux e semelhantes ao Unix, enviou ondas de choque pela comunidade tecnológica. As consequências potencialmente catastróficas deste quase acidente sublinham a importância da vigilância e da transparência no desenvolvimento de software de código aberto.
O que são utilitários xz?
xz Utils é um conjunto de utilitários de compactação de dados de código aberto projetados para sistemas operacionais do tipo Unix, especialmente Linux. Ele fornece compactação sem perdas, o que significa que os dados podem ser compactados e descompactados sem qualquer perda de informações.
Basicamente, o xz Utils gira principalmente em torno do formato xz, que é conhecido por sua alta taxa de compactação e uso eficiente dos recursos do sistema. É comumente usado para compactar arquivos ou arquivos grandes, tornando-o uma ferramenta essencial para distribuição de software, backups de sistema e armazenamento de dados.
Além do formato xz, o xz Utils também suporta o formato legado .lzma, que foi seu antecessor. Essa compatibilidade com versões anteriores garante que sistemas e softwares mais antigos ainda possam interagir com arquivos compactados usando xz Utils.
No geral, xz Utils é um componente crucial de sistemas do tipo Unix, fornecendo recursos de compactação de dados eficientes e confiáveis, essenciais para várias tarefas de computação, como serviços SSH (Secure Shell).
O que é SSH?
SSH, que significa Secure Shell, é um protocolo de rede criptográfico usado para comunicação segura em uma rede insegura. Ele permite que os usuários acessem e gerenciem com segurança sistemas e dispositivos remotos em uma rede, como a Internet. O SSH oferece uma alternativa segura aos protocolos tradicionais como o Telnet, que transmite dados em texto simples, tornando-os suscetíveis à interceptação e ao acesso não autorizado.
Aqui estão alguns recursos e funções principais do SSH:
Acesso remoto seguro: o SSH permite que os usuários façam login em sistemas remotos com segurança e executem comandos remotamente nesses sistemas. Isso é comumente usado por administradores de sistema para gerenciar servidores e dispositivos de rede.
Criptografia de dados: o SSH criptografa todos os dados transmitidos entre o cliente e o servidor, incluindo nomes de usuário, senhas e comandos, usando algoritmos criptográficos. Isso garante que informações confidenciais permaneçam confidenciais e não possam ser interceptadas por invasores.
Autenticação: SSH oferece suporte a vários métodos de autenticação, incluindo autenticação baseada em senha, autenticação de chave pública e autenticação interativa de teclado. A autenticação de chave pública é considerada mais segura e muitas vezes preferida para processos automatizados e acesso seguro sem a necessidade de senhas.
Port Forwarding: SSH oferece suporte ao encaminhamento de porta, permitindo aos usuários encapsular conexões de rede com segurança entre sistemas locais e remotos. Este recurso é útil para acessar serviços executados em sistemas remotos com segurança ou contornar restrições de firewall.
Transferência segura de arquivos: SSH inclui utilitários como SCP (Secure Copy) e SFTP (SSH File Transfer Protocol) para transferência segura de arquivos entre sistemas. Esses utilitários criptografam as transferências de arquivos e fornecem autenticação para garantir a integridade e a confidencialidade dos dados.
SSH é uma ferramenta crítica para acessar e gerenciar sistemas remotos com segurança, fornecendo criptografia, autenticação e outros recursos de segurança para proteger informações confidenciais e garantir comunicação segura nas redes.
Descobrindo o backdoor do xz Utils
A descoberta do backdoor foi nada menos que um golpe de sorte, trazido à luz por Andres Freund, um desenvolvedor que trabalha nas ofertas PostgreSQL da Microsoft. Ao solucionar problemas de desempenho em um sistema Debian, Freund notou um comportamento anômalo em logins SSH (Secure Shell), rastreando o problema até atualizações maliciosas no xz Utils.
Após uma inspeção mais detalhada, foi revelado que as versões 5.6.0 e 5.6.1 do xz Utils continham um backdoor que adulterava o executável SSH, permitindo potencialmente que atores mal-intencionados executassem código arbitrário em sistemas comprometidos.
A linha do tempo do backdoor
A linha do tempo dos eventos que levaram a esta revelação pinta um quadro perturbador de infiltração deliberada em projetos de código aberto. Parece que um usuário identificado como JiaT75 iniciou mudanças sutis em projetos de código aberto, ganhando gradualmente credibilidade dentro da comunidade. Essas mudanças culminaram na inserção de um backdoor no xz Utils, alavancando a confiança e a colaboração inerentes ao desenvolvimento de código aberto.
2021:
Atividade inicial do JiaT75. Em 2021, um usuário com o nome de usuário JiaT75 fez seu primeiro commit conhecido em um projeto de código aberto. Uma mudança notável foi feita no projeto libarchive, substituindo o impressão_segura funcionar com uma variante menos segura. Essa mudança passou despercebida na época.
2022:
Introdução aos utilitários xz. JiaT75 enviou um patch na lista de discussão xz Utils, indicando envolvimento no desenvolvimento do xz Utils. Pouco depois, um participante inédito chamado Jigar Kumar juntou-se às discussões, expressando insatisfação com a manutenção do projeto.
Pressão para Mudança. Kumar, junto com apoiadores como Dennis Ens e outros novos na lista de discussão, pressionaram Lasse Collin, o mantenedor de longa data do xz Utils, a contratar desenvolvedores adicionais para manter o projeto. Essa pressão potencialmente abriu caminho para novas infiltrações.
2023 de janeiro:
Envolvimento ativo: JiaT75, agora usando o nome Jia Tan, fez seu primeiro compromisso com xz Utils. Nos meses seguintes, Tan tornou-se cada vez mais envolvido nos assuntos do xz Utils, tomando medidas como substituir as informações de contato de Collin pelas suas próprias no oss-fuzz, um projeto para verificar vulnerabilidades de software de código aberto.
Fevereiro 2024:
Implementação do Backdoor: Tan emitiu commits para as versões 5.6.0 e 5.6.1 do xz Utils, que incluíam a implementação do backdoor. Essas atualizações passaram despercebidas no início, já que o backdoor operava discretamente dentro do software.
Apelos à Integração: Após a implementação do backdoor, Tan ou seus cúmplices apelaram aos desenvolvedores das principais distribuições Linux, incluindo Ubuntu, Red Hat e Debian, para mesclar as atualizações em seus sistemas operacionais. Uma das atualizações finalmente chegou aos lançamentos das distribuições Debian e Red Hat.
Descoberta da porta dos fundos:
Investigação de Andres Freund: O backdoor foi revelado por Andres Freund, um desenvolvedor que trabalha nas ofertas PostgreSQL da Microsoft. Freund percebeu um comportamento anômalo em logins SSH em um sistema Debian e rastreou o problema até as atualizações dentro do xz Utils.
Revelação na lista de segurança de código aberto: Na sexta-feira, Freund divulgou a presença do backdoor na lista de segurança de código aberto, expondo o plantio intencional do backdoor no xz Utils.
Pós-descoberta:
Análise e Mitigação: Pesquisadores e desenvolvedores de segurança trabalharam diligentemente para analisar as atualizações maliciosas e desenvolver ferramentas para detectar e mitigar possíveis instâncias de backdoor. Várias ferramentas e métodos, incluindo análise comportamental e engenharia reversa, foram empregados para enfrentar a ameaça.
A linha do tempo destaca a infiltração e manipulação graduais de um projeto de código aberto, levando à implementação quase bem-sucedida de um backdoor em um utilitário de software amplamente utilizado, ressaltando a importância da vigilância e do escrutínio nos processos de desenvolvimento e manutenção de software.
Compreendendo a porta dos fundos
A sofisticação do backdoor reside na sua capacidade de evitar a detecção e executar cargas maliciosas com precisão. Ao manipular o executável SSH por meio do xz Utils, os invasores podem comprometer sistemas confidenciais e exfiltrar dados críticos.
Mitigando a ameaça
Após esta descoberta, a comunidade de segurança cibernética se reuniu para avaliar e mitigar a ameaça representada pelo backdoor. Ferramentas como Binário e xzbot surgiram para ajudar na detecção e análise de possíveis instâncias de backdoor.
O papel de Valgrind
Valgrind, um utilitário para monitorar a memória do computador, desempenhou um papel crucial na descoberta de atualizações maliciosas no xz Utils. Ao identificar anomalias no uso da CPU e nas operações de memória, os desenvolvedores conseguiram identificar a origem do problema e evitar a exploração generalizada. Valgrind é um conjunto de ferramentas de programação de código aberto projetado para depuração e criação de perfil de aplicativos. Ele fornece uma variedade de ferramentas que ajudam os desenvolvedores a identificar vazamentos de memória, detectar erros de memória, criar perfil de uso de memória e analisar a execução do programa. Alguns recursos e componentes principais do Valgrind:
Detecção de erro de memória: Valgrind inclui ferramentas como Memcheck, que detecta vários erros relacionados à memória em programas, incluindo vazamentos de memória, acesso inválido à memória (como leitura ou gravação em memória não inicializada) e gerenciamento incorreto de alocação dinâmica de memória (por exemplo, liberação de memória que foi já foi libertado).
Detecção de erro de thread: A ferramenta ThreadSanitizer (TSan) do Valgrind detecta disputas de dados e outros erros de threading em programas multithread. Ajuda a identificar bugs de simultaneidade que podem levar a comportamentos imprevisíveis e problemas difíceis de depurar.
Perfilamento: Valgrind fornece ferramentas de criação de perfil como Callgrind e Cachegrind, que ajudam a analisar o desempenho do programa medindo frequências de chamadas de função, uso de cache e tempo de execução. Essas ferramentas ajudam os desenvolvedores a identificar gargalos e otimizar o desempenho de seus aplicativos.
Análise de Execução do Programa: As ferramentas do Valgrind também podem rastrear a execução de programas no nível de instrução, permitindo que os desenvolvedores analisem detalhadamente o comportamento do programa. Isso pode ser útil para compreender o fluxo do programa, identificar gargalos de desempenho e diagnosticar bugs difíceis de encontrar.
Suporte de Plataforma: Valgrind é usado principalmente em sistemas operacionais do tipo Unix, incluindo Linux, macOS e variantes BSD. Ele oferece suporte a uma ampla variedade de linguagens de programação e compiladores, incluindo C, C++ e Fortran, e pode ser integrado a vários ambientes de desenvolvimento e sistemas de construção.
Impacto no cenário do fornecedor
A descoberta do backdoor no xz Utils repercutiu em todo o cenário de fornecedores, gerando preocupações significativas e medidas proativas entre os fornecedores de software. Dada a ampla integração do xz Utils em várias distribuições Linux, as implicações potenciais da infiltração do backdoor são de longo alcance. Os fornecedores agora têm a tarefa de reavaliar suas cadeias de fornecimento de software, examinar dependências e fortalecer seus pipelines de desenvolvimento e distribuição contra ameaças semelhantes. O incidente sublinha a importância crítica da transparência, dos processos de revisão de código e das auditorias de segurança no desenvolvimento de software de código aberto. Além disso, serve como um forte lembrete da necessidade de vigilância e colaboração contínuas dentro da comunidade de software para proteção contra atores mal-intencionados que procuram explorar vulnerabilidades em componentes de software amplamente utilizados. Os fornecedores enfrentam agora o desafio de restaurar a confiança entre os utilizadores, implementar protocolos de segurança rigorosos e promover uma cultura de responsabilização para mitigar os riscos representados por tais vulnerabilidades no futuro.
RELIANOID Balanceador de carga atualizações foram fornecidas e o backdoor não foi afetado em nossas soluções. Contate os especialistas para obter mais informações.
Aproveite a experiência de confiabilidade do site!
Blogs Relacionados
