Бэкдор-атаки делают дистрибутивы Linux уязвимыми для хакеров, вот что делать

Вы являетесь пользователем одного из многих дистрибутивов Linux? Если да, то вам стоит заметить проблему безопасности, затрагивающую большое количество самых популярных дистрибутивов Linux, включая Arch, Debian, Fedora и другие.

Бэкдор XZ Utils — серьезная проблема, затрагивающая миллионы популярных дистрибутивов Linux. Здесь мы объясним, как вы можете обеспечить безопасность своих устройств. Проверять Что такое бэкдор-вирус? Как защититься от бэкдор-атак.

1tLbp M9xo3e1wvEkAGkg4Q DzTechs | Бэкдор-атаки делают дистрибутивы Linux уязвимыми для хакеров, вот что делать

Что такое задняя дверь XZ Utils?

1sZJvhelA0wcrdYIjm6ewRw DzTechs | Бэкдор-атаки делают дистрибутивы Linux уязвимыми для хакеров, вот что делать

XZ Utils — это набор утилит с открытым исходным кодом для сжатия и распаковки файлов, которые широко используются в дистрибутивах Linux, подобно ZIP. До того, как бэкдор был раскрыт, пакет имел репутацию в сообществе Linux за свою эффективность.

Бэкдор XZ Utils привлек большое внимание из-за повсеместного распространения инструмента и того, как злоумышленнику удалось проникнуть в экосистему с открытым исходным кодом.

Атака через черный ход представляет собой случай, когда хакер ведет долгую игру, на достижение которой уходят годы. Злоумышленник, который использовал имя «Джиа Тан», но чья истинная личность, по-видимому, неизвестна, связался с первоначальным разработчиком XZ, Лас Калленом, чей график обновлений для инструмента отставал. По словам Коллин, ссылаясь на проблемы с психическим здоровьем, в конце концов передал хакеру опеку после очевидного давления со стороны потенциального партнера. Роб Меншинг.

Затем подозреваемый хакер внедрил бэкдор SSH, который широко используется в системах Linux для удаленного доступа. Это могло бы остаться незамеченным, если бы разработчику Microsoft Андерсу Фройнду не понравилось, что производительность SSH оказалась хуже, чем должна была быть. Проблема вернулась к версиям 5.6.0 и 5.6.1.

Бэкдор позволяет хакеру получить контроль над удаленной системой, а учитывая повсеместное распространение XZ и SSH, это сделало бы возможной крупномасштабную атаку. После того, как бэкдор XZ был обнаружен, GitHub закрыл учетную запись основного разработчика, и домашняя страница проекта исчезла.

Очевидный успех хакера в зачистке своих следов и ловкость, с которой он взял на себя роль разработчика с открытым исходным кодом, привели к предположениям среди исследователей безопасности о том, что бэкдор мог быть реализован таким национальным государством, как Россия или Китай, хотя убедительных доказательств нет. все же, в зависимости от местоположения Проводная.

На какие дистрибутивы Linux влияет бэкдор XZ Utils?

Бэкдор XZ в первую очередь был нацелен на дистрибутивы Red Hat и Debian/Ubuntu, поскольку они наиболее распространены в корпоративных компаниях. Однако больше всего пострадали дистрибутивы с более новым программным обеспечением, такие как Arch Linux, Gentoo, Fedora, а также экспериментальные и нестабильные варианты Debian, поскольку они с большей вероятностью включали уязвимые версии XZ.

1fzLwS4E4v2obo4sFqxacEA DzTechs | Бэкдор-атаки делают дистрибутивы Linux уязвимыми для хакеров, вот что делать

Поскольку корпоративные развертывания Linux, как правило, отдают предпочтение стабильным дистрибутивам, на данный момент они, похоже, не затронуты. Debian заявил, что стабильная сборка, которая по умолчанию доступна для загрузки с веб-сайта, не пострадала. Red Hat Enterprise Linux и Ubuntu также не пострадали.

Как защитить вашу машину с Linux от бэкдора XZ Utils

Лучший способ защитить себя в краткосрочной перспективе, независимо от того, какой дистрибутив вы используете, — это обновлять его с помощью утилиты обновления вашего менеджера пакетов. Когда был обнаружен бэкдор XZ, дистрибутивы Linux действовали быстро, предлагая обновления системы для понижения версии XZ Utils, установленной в системе, при необходимости. Он также поощрял расширенные дистрибутивы, такие как Арка Его пользователям необходимо обновляться как можно быстрее.

Это нападение поднимает тревожные вопросы о... Управление проектами с открытым исходным кодом. Как и многие другие проекты с открытым исходным кодом, XZ Utils — это широко используемое программное обеспечение, которое поддерживается одним бесплатным разработчиком. Похожая проблема привела к ошибке Heartbleed, которая затронула OpenSSH в 2014 году.

1ID SG y2B9Xd1nKJB ppyg DzTechs | Бэкдор-атаки делают дистрибутивы Linux уязвимыми для хакеров, вот что делать

Такие проекты являются компонентом почти всех дистрибутивов Linux, и такие проекты с открытым исходным кодом также распространены в коммерческих проприетарных приложениях. Если вы изучите разделы «О программе» многих популярных приложений, таких как Spotify или Google Chrome, вы обнаружите, что они также используют множество компонентов с открытым исходным кодом. XZ Utils встроен в Chrome.

Разработчики используют эти инструменты, поскольку они значительно облегчают их работу, поскольку им не нужно писать каждую часть программного обеспечения с нуля.

В будущем пользователям и компаниям придется пересмотреть свои отношения с приложениями с открытым исходным кодом, на которые они полагаются. По его мнению, это может варьироваться от более тщательного изучения разработчиков открытого исходного кода, а также поиска способов компенсации разработчикам. Роб МеншингЧтобы они не страдали от усталости.

Кажется почти несомненным, что после этой атаки разработка ПО с открытым исходным кодом будет более тщательно проверяться. Теперь вы можете просмотреть Кибератаки на здравоохранение: как они происходят и что делать.

ДзТех

Я государственный инженер с большим опытом работы в области программирования, создания веб-сайтов, SEO и технического написания. Я увлечен технологиями и посвящаю себя предоставлению качественной информации общественности. Я могу стать более ценным ресурсом для пользователей, которые ищут точную и достоверную информацию об обзорах продуктов и специализированных приложениях в различных областях. Моя непоколебимая приверженность качеству и точности гарантирует, что предоставляемая информация заслуживает доверия и полезна для аудитории. Постоянное стремление к знаниям заставляет меня идти в ногу с новейшими технологическими разработками, гарантируя, что общие идеи будут передаваться в ясной и доступной форме.
Перейти к верхней кнопке