xzパッケージに仕込まれた3年がかりのバックドア、スケール直前に見つけたのはMicrosoftの開発者 | gihyo.jp

Linux Daily Topics xzパッケージに仕込まれた3年がかりのバックドア⁠⁠、スケール直前に見つけたのはMicrosoftの開発者 “アップストリームのxzリポジトリとxz tarballsはバックドア化されている（The upstream xz repository and the xz tarballs have been backdoored）⁠”―2024年3月29日、Microsoftに所属する開発者 Andres Freundが「Openwall.com」メーリングリストに投稿したポストは世界中のオープンソース関係者に衝撃を与えた。 backdoor in upstream xz/liblzma leading to ssh server compromise -oss-security 主要なLinuxディストリビューションにはほぼ含まれているデータ圧縮プログラ

[georgew]

本当に多くの偶然が必要だった（Really required a lot of coincidences.⁠）⁠」と振り返っている > ほんとそうだわ。逆に検知すり抜けた代物はもっと多い可能性。

[maketexlsr]

ナデラが褒めてるのが、本当に深刻な事態だったのを逆に表してる

[raimon49]

いち社員の知的好奇心と職人技を讃えてくれる人物がCEOやってるの強すぎるだろ。余裕のある企業が優秀な職人を余裕持たせて働かせていたからたまたま発見できた。

[shodai]

“Gitではなくtarball（ダウンロードパッケージ）のみに含まれていたという点も発見を難しくしていた”

[gowithyou]

Jia Tanなる人物、タイムゾーンが中国時間帯でGithubでの活動履歴から国慶節で休みをとっていることから、中国の工作機関の可能性が高い。さすがにバレたことを考えて活動時間を偽装することまでは考えていないでしょ

[sho]

奇跡としか言いようがない。この他に見逃されている、いっそう巧妙なものがたくさんあるのも間違いないわけで、頭が痛い

[petitbang]

この流れだと後から買収されたというよりは最初からこの目的でコミュニティに近づいたと考える方が正しそうだな。

[hogeaegxa]

別にオープンソースだからソースから発見できたというわけではないというのが重要。オプソだから安全クローズドは危険なんて単純な二元論は成り立たないという実例

[strawberryhunter]

発覚していないのも相当数あるのではないかと思えてくる。

[keidge]

先日報道された北朝鮮のIT技術者が紛れ込んでいる件も含めて、中ロ北関係者外しが進む可能性もありそうだ。彼らに西側の理屈は通用しにくい。

[mohno]

「Microsoftに在籍するPostgreSQL開発者」←え？「ひとつひとつのオープンソースプロジェクトのコミッターの数は少なく、彼らの疲弊はコミュニティでもたびたび議論されているが、有効な打開策はなかなか見えていない」

[ysync]

ソースに見知らぬ公開鍵が突っ込まれてりゃ、何だこのゴミと誰かしら気付いたかもしれんだけに、tarボールにだけ仕込む巧妙さよ。

[TETOS]

ガチでやばい

[puhu208n]

「徹底的な身元調査を」の発想は分かるが、OSのような基幹ソフトは学術的性格があるため、開発母体が場末のPTA程度の様態になる構造的問題がある。人を置く事自体が難しく、有能な諜報機関員など追い返す余裕は無い。

[m10i]

誰も信じれず自社フォークした野良リポジトリがもっと増えそう

[hecaton55]

オープンソースの昔ながらの貢献ベースの組織の場合、国家や金のある組織をバックグラウンドとした長期間の潜入による工作が他国家中枢などに比べて有効なんだろう。対策は難しいと思うが…

[ytRino]

「ナデラも褒めるレベル」しかしバイナリ更新で突っ込まれると一見わからないよなあ

[yarumato]

“OpenSSHはliblzmaを直接使用しないが、Debianなどいくつかのディストリビューションではsystemdの通知をサポートするためにOpenSSHにパッチを適用しており、libsystemdはlzmaに依存している。”

[otchy210]

ストーリーのプロットを見るとまるで映画だ。

[mas-higa]

ちょっと遅いくらいでよく気づいたなと思ってたけど、ベンチマーク取ってたのか。(いやだからって普通は気づけない。単体では発動しないんでしょ)

[dozo]

国家情報法の恐ろしさを見せつけられた

[aya_momo]

見逃されているものが多そうだね。

[anonymighty]

バックドアを仕込んだ中国人開発者が個人的にやったのか、国家が背後にいるのか。スパイ活動に余念がない国の人間が絡んだオープンソースソフトは身体検査をしておくれ。

[Yasu2030]

トロイの木馬は検知困難だろうと思ってたけどやっぱりそうよなぁ。 PCの情報収集して送信する場合なんか、正常なGETリクエストに情報載せられたら、検知するのかなり難しいやろ。

[paradoxparanoic]

サイバーパンク物で気軽にハッキングしてて「そんなわけあるか」と思っていたけど現実化しそうですね

[Iridium]

この話だとトラフィックが増大しないヤツは発見できないじゃんか。現状ダダ漏れでは？

[airj12]

んー、怖い

[eggplantte]

この準備の周到さはあのへんの諜報活動の一環やん。他にもありそう。

[tomo31415926563]

危ういな。AIによるソースコード安全性チェックが自動で回り続けるとかできないのだろうか。

[bzb05445]

邪悪すぎるやろチャイナ

[dekaino]

譚さん?

[dpdp]

“今回の騒動で驚かされたのは、主要開発者が直接、約3年もの長い時間をかけてバックドア化を図っていたという点だ。xzにバックドアを仕込んだのは、2人のxz主要開発者のうちのひとりであるJia Tanだと見られている。”

[morygonzalez]

Jigar Kumarなる人物は元のメンテナLasse Collinを精神的に追い込んだというより、元々メンタルを病んでてレスポンスが遅かったからJia Tanをメンテナに加えろって言ったんだよね。

[bnckmnj]

バックドアを仕込んだのは、2人のxz主要開発者のうちのひとりであるJia Tan／アメリカ人がマジで中国人を嫌いでｔｉｋｔｏｋ禁止した意義がわかる話