XZ arka kapısı: Zaman, lanet olası zaman ve sahtekarlıklar

 (rheaeve.substack.com)
2 puan yazan GN⁺ 2024-04-01 | 1 yorum | WhatsApp'ta paylaş

XZ arka kapısı: Zaman, lanet olası zaman ve sahtekarlıklar

  • Yakın zamanda xz/liblzma tarball'ında gizlenmiş bir arka kapı keşfedildi.
  • Bu, özgür yazılım ekosisteminde güvene yönelik en büyük ihlallerden biri olabilir.
  • Arka kapının, xz'nin uzun süreli bakım sorumlusu Jia Tan tarafından yerleştirildiği tahmin ediliyor.
  • Jia, bakım sorumlusu olarak faaliyet gösterdiği süre boyunca nispeten gizemli bir figür olarak kaldı ve gerçek kimliği hakkında neredeyse hiçbir şey bilinmiyor.
  • Özgür yazılım alanında anonimlik genellikle olumlu görülse de, bu durumda topluluğun güvenini uzun süre boyunca inşa ettikten sonra bunu kötüye kullanan kişinin kim olduğunu öğrenmek ilginç.
  • Jia'nın faaliyetlerinden elde edilebilen metadata sayesinde onun hakkında daha fazla şey öğrenilebilir.

Zamandan ne öğrenilebilir?

  • Yazılımın hangi koşullarda üretildiğini düşünmek.
  • Zaman örüntülerinin bize söylediklerinin kapsamı oldukça geniştir.
  • Kod yazan insanlar arasında bunu meslek olarak yapanlar da, hobi olarak yapanlar da vardır.
  • Yaşadıkları bölgeye göre farklı saatlerde kod yazan insanlar da vardır.
  • Tatiller, uyku düzeni, iş-yaşam dengesi gibi etkenlerden kod yazma da bağımsız değildir.
  • Birinin ne zaman kod yazdığını anlamak, neden ve nerede kod yazdığını anlamaya yardımcı olur.

Jia'nın commit analizi

  • JiaT75'in XZ deposuna yaptığı commit'ler ve timestamp'leri üzerine bir analiz yapıldı.
  • Git timestamp'leri istenildiği gibi değiştirilebilir, ancak zaman verisini inandırıcı şekilde manipüle etmek pratikte zordur.
  • Sadece timezone'u değiştirmek, gerçek zamanı değiştirmekten daha kolaydır.
  • Jia Tan'ın insanların onu Asyalı, özellikle de Çinli sanmasını istediği ve commit'lerinin büyük bölümünün (440 adet) UTC+08 timestamp'ine sahip olduğu anlaşılıyor.
  • Ancak gerçekte UTC+02 (kış) / UTC+03 (yaz saati uygulaması) timezone'unda bulunan bir yerden gelmiş olduğu tahmin ediliyor.
  • Bazen timezone'u değiştirmeyi unuttuğu durumlar olmuş ve bu, Doğu Avrupa'daki yaz saati geçişleriyle örtüşüyor.
  • Jia'nın çalışma düzeni ve tatilleri, Çinlilerden ziyade Doğu Avrupalılarla daha çok örtüşüyor gibi görünüyor.

GN⁺ görüşü

  • Bu yazı, yazılım geliştirme topluluğunda güven ve anonimlik önemine dair ilgi çekici bir vaka sunuyor.
  • Arka kapı gibi güvenlik tehditleri, açık kaynak projelerinin güvenilirliğine büyük darbe vurabilir; bu da geliştiricilerin kod incelemesi ve güvenlik denetimlerine daha fazla dikkat etmesi gerektiği anlamına gelir.
  • Bu tür olaylar, geliştiricilere commit log'larının ve metadata'nın önemini hatırlatıyor. Güvenilir katkı sağlayıcıların kimliğini doğrulamak, projenin güvenliği için kritik olabilir.
  • Benzer işlevler sunan diğer açık kaynak projeler arasında GitLab ve GitHub bulunuyor; bunlar topluluk güvenini korumak için güvenlik protokollerini ve kullanıcı doğrulamasını güçlendiriyor.
  • Bu yazı, teknoloji topluluğu içinde anonimlik ile güven arasındaki dengeyi bulmanın ne kadar önemli olduğunu gösteriyor. Proje yöneticileri ve katkı sağlayıcılar bu olaylardan ders çıkarmalı ve kodun şeffaflığını ve güvenliğini artıracak önlemler almalı.

İlgili okumalar

1 yorum

 
GN⁺ 2024-04-01
Hacker News görüşleri

  • Birinci yorumun özeti:

    • Yorum yazarı, saldırganın Doğu Avrupa kökenli olduğunu düşünmüyor; UTC+0200/+0300 zaman dilimlerine giren Avrupa ülkeleri ile Orta Doğu bölgesinden söz ediyor.
    • Bunun devlet destekli bir siber saldırı olması durumunda, gerçek kodu yazan birim ile internete bağlanan birimin ayrı olabileceğini; ikincisinin de çıkış bilgilerinin belirli bir hikâyeyle uyuşması için zamanı ayarlama görevini üstlenebileceğini belirtiyor.

  • İkinci yorumun özeti:

    • Yorum yazarı, GMT+8 zaman dilimi, Çinceyle karışık bir isim ve Singapur sunucuları üzerinden kurulan bağlantılar gibi unsurların Singapur kimliğine işaret edebileceğini söylüyor.
    • Çin ana karasındaki insanların denizaşırı Çinli toplulukları çok iyi tanımayabileceğini, bu yüzden ismin sahte geldiği yönündeki görüşün de kuşkuyla ele alınması gerektiğini belirtiyor.
    • Jia Tan'in diğer yazılarının incelenmesinin, onun Singapurlu, Çin ana karasından biri ya da Slav dilleri konuşan biri olup olmadığını ayırt etmeye yardımcı olabileceğini öneriyor.

  • Üçüncü yorumun özeti:

    • Yorum yazarı, çok seyahat ettiği için seyahat programını herkese açık depolarda ifşa etmek istemediğini, bu nedenle gc komutunu TZ=UTC0 git commit olarak eşleyip kullandığını söylüyor.

  • Dördüncü yorumun özeti:

    • Yorum yazarı, olayın ciddiyetinden bağımsız olarak internette yaşanan bu tür gizemlerin çözülme sürecini son derece ilgi çekici buluyor.

  • Beşinci yorumun özeti:

    • Yorum yazarı, Jia'ya cesaret verici sözler iletiyor ve denemezsen başarı şansının bile olmayacağını söylüyor.

  • Altıncı yorumun özeti:

    • Yorum yazarı, iki commit arasındaki zaman farkının yaklaşık 9 saat değil, 1 saate yakın olduğunu belirtiyor.

  • Yedinci yorumun özeti:

    • Yorum yazarı, kendisinin de sabahın çok erken saatlerinde çalışan biri olduğunu söylüyor; ancak saldırganların ya da genç insanların öğleden sonra veya gece geç saatlerde çalışmasının daha olası göründüğünü ekliyor.

  • Sekizinci yorumun özeti:

    • Yorum yazarı, e-posta listesine verilen yanıtların zaman damgalarının da eklenmesini öneriyor.

  • Dokuzuncu yorumun özeti:

    • Yorum yazarı, bir Amerikalının (veya başka bir yerdeki birinin) Doğu Avrupalı gibi davranırken aynı zamanda Çinli gibi davranıyor olabileceği varsayımını öne sürüyor.