klimensky Apr 5 at 14:00

Как один разработчик предотвратил крупнейшую кибератаку: история взлома XZ Utils

Medium

14 min

5.6K

FirstVDS corporate blogProgramming*Open source*Information Security*Development for Linux*

Case

+24

Comments 9

mixsture Apr 5 at 16:11

О личности Цзя Тана практически ничего не известно.

вот и прекрасный маркер для предотвращения атак в будущем. Если о человеке ровно ничего нет в современном мире - это скорее всего сознательно скрывающийся и ему нечего делать в мейнтейнерах.
А попытка хакера создать себе многолетнюю репутацию на нескольких ресурсах - это кратное увеличение затрат и времени, а заодно и увеличение шанса его раскрытия.

mixsture Apr 5 at 16:17

Вообще, хорошая демонстрация всему миру, что раз система сборки сама является совокупностью тьюринг-полных языков - то и она может быть источником вирусов. А "совокупность" только ухудшает процесс проверки, потому что позволяет разделить вирус на малозначащие сами по себе части, где анализ каждой части отдельно ничего не выявит.

kuraga333 Apr 5 at 18:13

А почему автор текста считает, что целевая атака была предотвращена? Откуда мы знаем, что являлось конечной целью?

Dhwtj Apr 5 at 21:39

Бесплатный сыр бывает только в мышеловке

NickDoom Apr 6 at 20:45

Баунтисорс-подобные организации в помощь.

Нужна новая функция? Закажи. Для

многие технологические гиганты, зарабатывающие миллиарды на использовании свободного ПО

лишние пара килобаксов для того, чтобы профи за пару вечеров написали что уж там нужно — это копейки.

Нужна безопасность? Закажи аудит. Если человек не

Если о человеке ровно ничего нет в современном мире - это скорее всего сознательно скрывающийся и ему нечего делать в мейнтейнерах.

а более-менее имеет в опенсорсе имя — его аудиту можно верить.

Баунтисорц-подход решает и ту, и другую функцию. Вопрос сугубо организационный. Пока, насколько я знаю, БС всего один, но уже нарицательный для принципа как такового.

teakettle Apr 7 at 18:56

лишние пара килобаксов ... — это копейки.

Как правило именно за эти копейки корпорасты удавиться готовы. Как-то так исторически сложилось, что приобрести новый автомобиль/заказать дорогой ремонт в кабинете генерального/нанять Киркорова на корпоратив - это достойная трата денег. Обновить 15-летний сервер, на котором крутится сервис приносящий деньги - "сколько-сколько? Миллион рублей?! больше полмиллиона не дам, как хочешь!"

Кто конкретно эти "копейки" жмет - высшее руководство, или исполнители рангом пониже, или даже сильно пониже - определить затрудняюсь, но вот такой подход - "Фигассе, два килобакса за два дня! Харя не треснет?" - ваще не удивляет.

NickDoom Apr 9 at 21:38

Значит, баунтисорц не должен слишком светить, один чел добавил фичу или Почтенная Уважаемая Большая Организация :-D

Ей отдать можно хоть 20 килобаксов, она же Почтенная, корона при этом с корпораста не падает :-D

Вообще я не удивлён абсолютно приматным принципам принятия решений у корпорастов — мозг там не участвует, всё решает размер Самцового Пятна Вокруг Хвоста или что там у них статус обозначает, у павианов этих.

Это абсолютно нормально для структур, в которых для восхождения по лестнице важен не столько мозг, решающий всё более и более сложные управленческие задачи (а руководить хотя бы 10 людьми — та ещё пазла), сколько умение орудовать локтями и показывать остальным приматам, что имеешь это пятно ничуть не меньше, чем у них!

Собственно, это в целом и обуславливает принятие огромными корпорациями феноменально идиотских решений — их внутри, в глубине этой шоблы выделил из организма какой-то идиот с очень маленьким мозгом и очень большим пятном вокруг хвоста :-D

И мы ещё удивляемся, что с такими животными не хотят инопланетяне на контакт идти. Да с идиотизма этого вот мышления бледнотиков даже я под столом валяюсь, хотя вроде бы сам биологически того…

somedayphd Apr 7 at 08:46

А что если...
Уставший соло-мейнтейнер годами ведет проект, который используют все. Абсолютно все, и огромные корпорации с триллионными оборотами, и целые государства.

В какой-то момент уставший разработчик решает захватить мир. Но аккаунт уже привязан к реальной личности. Тут начинается многоходовочка, создается несколько новых аккаунтов, с которых сидит один человек и разыгрывает настоящее представление.

Все это конечно просто полет моей фантазии)

navrotski Apr 8 at 11:58

Если код проприетарный - хрен пойми как его исследовать, но зато понятно к кому претензии. А если open source - все наоборот - исследовать легче, но не к кому претензии предъявлять.
Сколько еще таких мелких либ используется, сколько еще таких сюрпризов будет...