hátsó ajtó XZ
Az előző napokban itt a blogon osztottuk meg az esettel kapcsolatos híreket az XZ segédprogramban észlelt hátsó ajtó, amelyet számos Linux-disztribúcióban használnak, és ezért mindegyikre hatással van. Az ügy érdekessége sokak számára, köztük én is, hogy hogyan készült a hátsó ajtó beemelése és hogyan készült a gender, illetve a körülmények adottak a kódex bevezetéséhez, és figyelmen kívül hagyták.
Az Evan Boehs blogbejegyzése (programozó és hacker) megosztott egy kis kronológiai elemzést a hátsó ajtó esetéről az XZ-ben. A kiadványban ez említi Jia Tan fejlesztő volt a felelős a hátsó ajtó bevezetéséért XZ csomagban, Jia Tan óta 2022-ben karbantartói státuszt kapott, és megkezdte a verziók kiadását az XZ projekt 5.4.2. óta. Az XZ-n való munka mellett Jia Tan Hozzájárult az xz-java és az xz-beágyazott csomagokhoz is, és elismerték a Linux kernelben használt XZ Embedded projekt karbantartójaként.
Jia Tan mellett a további két felhasználó, Jigar Kumar és Hans Jansen részvétele, akik sokan azt feltételezik látszólag virtuális karakterek lehetnek. Jigar Kumar részt vett Jia Tan első foltjainak népszerűsítésében az XZ-n nyomást gyakorolt az akkori fenntartó Lasse Collinra 2022 áprilisában fogadja el a hasznos változtatásokat és vezesse be a karakterlánc-szűrők támogatását.
2022 júniusában Lasse Collin lemondott a fenntartói szerepről Jia Tannak, elismerve a kiégést és a mentális egészségügyi problémákat. Ezen események után Jigar Kumar többé nem jelent meg a projekt levelezőlistáján.
Az új állapottal a fenntartó, Jia Tan elkezdett aktívan változtatni az XZ projekten és a statisztikák szerint két éve a második helyen végzett a fejlesztők között a változtatások számát tekintve.
2023 márciusában Lasse Collin az oss-fuzz szolgáltatásban az XZ csomag teszteléséért felelős személyt Jia Tanra cserélte, júniusban pedig változtatásokat hajtottak végre az XZ összetételében, beleértve az IFUNC mechanizmus támogatását a liblzmában, amelyet aztán a funkciók lehallgatásának megszervezésére használtak a hátsó ajtón. A módosítást Hans Jansen javasolta, akinek fiókja közvetlenül a módosításokhoz kapcsolódó lekérési kérelem benyújtása előtt jött létre.
En 2023 júliusában Jia Tan arra kérte az oss-fuzz fejlesztőit, hogy tiltsák le az ifunc ellenőrzést összeférhetetlensége miatt a «-fsanitize=address”. 2024 februárjában megváltozott az XZ projekt weboldalára mutató hivatkozás az oss-fuzz-on és a tukaani.org-on, a fő tartományról egy aldomainre költözve. Ezt az utolsó aldomaint a GitHub oldalakon tárolták, és személyesen Jia Tan irányította.
Február 23-án a dekóder tesztelésére szolgáló fájlokat, beleértve a hátsó ajtóval rendelkező fájlokat, közzétették a webhelyen, de azok a .gitignore fájlban jelentek meg.
Március 17-én Hans Jansen korábban részt vett az IFUNC támogatással rendelkező javításokban, regisztrált a Debian projekt közreműködőjeként. Március 25, kapott egy kérést az xz-utils csomag verziójának frissítésére a tárolóban a Debiantól. Érdemes megemlíteni, hogy hasonló kérések érkeztek Fedora és Ubuntu fejlesztőktől (bár az Ubuntuban a változtatást a tároló lefagyása miatt elutasították).
Számos felhasználó csatlakozott az XZ frissítési kéréséhez, azzal érvelve, hogy az új verzió javította a valgrind hibakeresése során észlelt hibákat. Ezek a problémák a verem elrendezésének helytelen meghatározása miatt merültek fel a hátsó ajtóvezérlőben, és megpróbálták megoldani őket az XZ 5.6.1 kiadásban.
Erről, Lasse Collin közleményt adott ki megerősítette, hogy a backdoor verziókat tartalmazó fájlokat Jia Tan hozta létre és írta alá. Ezenkívül bejelentette az xz.tukaani.org aldomain eltávolítását, jelezve, hogy az xz webhely visszatér a fő tukaani.org szerverhez. Azt is megemlítette, hogy a GitHub-fiókját blokkolták. Ezt fontos kiemelni Lasse Collin csak a tukaani.org webhely felett rendelkezik és a git.tukaani.org adattárak. Másrészt Jia Tan csak a GitHubon és az xz.tukaani.org gazdagépen irányította a projektet, de nem férhetett hozzá a tukaani.org szerverhez.
Ha többet szeretne megtudni róla, tájékozódjon a részletekről a címen a következő link.