一个后门是如何出现在 Linux xz 库中的故事,将我们的开源世界变成了一个引人入胜的人类戏剧,就像所有的小说一样。
译自 The Linux xz Backdoor Episode: An Open Source Mystery,作者 Alex Williams。
Linux xz 库中的恶意代码危及 SSH 的故事将我们的开源世界变成了引人入胜的人类戏剧,就像任何小说一样。
我们的故事始于一个神秘的维护者,他植入了后门。后门仅在特定情况下才会起作用,但当它起作用时,它会授予进入他们根本不应该进入的地方的权限。
正如 Joab Jackson 所写,想象一下有人被抢劫了。除了他们不知道什么时候发生的或被偷了什么。
但没有秘密可以永远保守,特别是当一个勤奋的人的好奇心导致一个奇怪的发现时。
这相当于某人在一个城堡(企业)中工作。他们正在做他们的工作,组织、维护和清理。有一天,他们注意到一个大橱柜放错了地方。他们撞了一下橱柜,一扇门出现了。
这一发现令人震惊和不安。是谁制造了那扇门? 门后的道路通向哪里?城堡里是否有小偷? 门在那里多久了?
现在,威胁是真实的。城堡不再感觉安全,危险也变得明显。有一些线索。在城堡里呆过一段时间的人站出来讲述他们的故事。工作人员检查了记录。他们得知有一名员工化名在他们手下工作。
我们现在在关于 Linux xz 后门的新兴故事中看到了这一点。随着每一天的过去,复杂性都在加深。
我们听到很多关于信任的内容,但如果没有故事,这个概念就毫无意义。犯罪剧、冒险故事和奇幻故事——都取决于角色、故事情节和关系。在 Linux 世界中也是如此,我们现在看到了欺骗和操纵的更深远影响,以及在针对受害者以深入城堡时这种组合如何发挥作用。
我能看到这个节目:
“简,我们封锁了周边吗?”侦探苏珊·詹金斯问道。
“是的,但我们遇到了一个问题,侦探,”督察简·富兰克林说。
“那是什么?”
“首先,我们已经弄清楚是什么触发了后门,”富兰克林说。
“那很好,”詹金斯说。
“嗯,我们不知道这是否是唯一的后门,”富兰克林说。“而且这座城堡和新泽西州一样大。”
“该死,”詹金斯说。“还有什么?”
“像这样的城堡还有成千上万座,”富兰克林说。“而且它们可能都有后门。”
“不可能,”詹金斯说。“该死——我甚至不想开始为每个该死的城堡主人下载他们新门铃的手册而感到不安,谁在乎它是否能更快地压缩图像。”
“该死的注入向量,”富兰克林说。“直接扫描它们!”
“我们得和谁谈谈?”詹金斯问道。
“嗯,这就是奇怪的地方,侦探,”富兰克林说。“看起来我们有一个家伙在城堡里做了所有工作,但被严重烧伤。”
“被谁?”詹金斯问道。
“我们不确定。看起来像一个重大的犯罪网络——甚至是一个民族国家。”
未完待续…