L'incredibile storia della backdoor in xz

[CUB3]

Avrete ormai sentito/letto qualcosa riguardo questo tema, che ha messo in allarme tutto il mondo Linux, in caso contrario vi aggiorno brevemente.

xz è un programma da riga di comando, per la compressione dei dati che ha la caratteristica di essere molto efficiente perché utilizza l'algoritmo lzma.
Data la sua efficenza, questo piccolo programma è utilizzato da molti altri, quando devono creare pacchetti compressi. Tra questi risulta esserci OpenSSH, famosissimo programma per la gestione remota dei server, largamente diffuso e utilizzato perché ritenuto sicuro.
Ma OpenSSH non ha xz come dipendenza necessaria al funzionamento, allora qual'è il legame tra i due?
Il legame tra i due si genera con un ciclo di dipendenze: per supportare le notifiche su sistemi che utilizzano SystemD, è stata creata una patch per OpenSSH che utilizza una libreria (libsystemd) che a sua volta utilizza una libreria (liblzma) che è parte del programma xz.

Senza entrare troppo in dettagli tecnici, la backdoor, ben offuscata, inserita in xz consentiva all'attaccante di eseguire codice da remoto su un server SSH senza necessità di avere le giuste credenziali per farlo.

Già da queste poche righe si può supporre che, data la complessità del sistema adottato (una backdoor in un programma, la cui libreria è dipendenza di un'altra che è a sua volta utilizzata dal programma target!), dietro non ci sia un semplice "hacker"... Tale idea si rafforza se controlliamo la linea temporale che ha portato all'introduzione della backdoor, che inizia ben 3 anni fa (anche se la backdoor è rimasta attiva poco meno di un mese) e che potete trovare a questo link (attenzione articolo in continuo aggiornamento!).
Insomma, senza voler essere complottista, tutto lascia pensare che dietro ci sia un organizzazione (governativa?) che ha molto tempo e risorse per perseguire un attacco di questo tipo.

[Al3x]

Insomma, senza voler essere complottista, tutto lascia pensare che dietro ci sia un organizzazione (governativa?) che ha molto tempo e risorse per perseguire un attacco di questo tipo.

oramai i contorni tra enti governativi e gruppi di cybercriminali sono parecchio sfumati, leggendo la successione di modifiche al codice è difficile credere che sia l'opera di una unica persona o poche di esse.

[CUB3]

Qui c'è un'altra cronologia dei fatti dove risalta come la scelta di xz probabilmente non sia casuale ma dovuta ad periodo di difficolta dello sviluppatore.

Analizzando il tempo in cui sono state pubblicate le patch malevole c'è chi sostiene che dietro ci potrebbe essere qualcuno da Israele...

[Ozne]

Se l'aggiornamento si fosse diffuso, che danni avrebbe potuto causare, nel peggiore dei casi?
Buona parte di internet esposto? Furto di credenziali, criptovalute, conti bancari, o cos'altro?

Certo che l'open source è bellissimo, ha dato l'acceleratore per lo sviluppo di internet e non solo, e permette di scovare falla in tempi rapidi, se si ha un sospetto, ma rimane un po' troppo esposto a queste dinamiche, con contributori con secondi fini... Perchè molti sviluppatori di libreirie anche importanti prima o poi andranno in pensione, o vanno in affanno, o subiscono troppo la pressione della community, e questo facilità l'ingresso di personaggi dalla dubbia etica.. Servirebbe più controllo. Ma come si fa? Tutti i progetti essenziali dovrebbero essere accorpati a grandi player o la stessa linux foundation, che finanzierebbe i programmatori storici, creando un ambiente di lavoro più collaborativo?

La UE voleva intervenire sulla responsabilità delle vulnerabilità software, ma sarebbe andata ad impattare negativamente sull'open source, mi pare dopo la vulnerabilità log4shell. Alla fine non s'è fatto nulla per le lamentele del mondo open source o si son fatti passi in avanti, ascoltando le perplessità e timori?

[CUB3]

Se l'aggiornamento si fosse diffuso, che danni avrebbe potuto causare, nel peggiore dei casi?
Buona parte di internet esposto? Furto di credenziali, criptovalute, conti bancari, o cos'altro?

Difficile a dirsi. La vulnerabilità era seria perché consentiva all'attaccante di eseguire codice sulla macchina bersaglio da remoto ma server che custodiscono dati importanti dovrebbero avere altre misure di sicurezza e sistemi di allerta delle intrusioni. Senza contare che non vengono aggiornati così a cuor leggero, solo per avere l'ultimissima versione di un programma...

Certo che l'open source è bellissimo, ha dato l'acceleratore per lo sviluppo di internet e non solo, e permette di scovare falla in tempi rapidi, se si ha un sospetto, ma rimane un po' troppo esposto a queste dinamiche, con contributori con secondi fini... Perchè molti sviluppatori di libreirie anche importanti prima o poi andranno in pensione, o vanno in affanno, o subiscono troppo la pressione della community, e questo facilità l'ingresso di personaggi dalla dubbia etica.. Servirebbe più controllo. Ma come si fa? Tutti i progetti essenziali dovrebbero essere accorpati a grandi player o la stessa linux foundation, che finanzierebbe i programmatori storici, creando un ambiente di lavoro più collaborativo?

Cerchiamo di non essere catastrofisti.
Il fatto che sia stata trovata questa backdoor, a quanto sembra, prima che fosse utilizzata è una cosa positiva. Il fatto che sia chiara anche la dinamica con cui questa è stata introdotta è un'altra cosa positiva perché servirà sicuramente da lezione per il futuro.
Non si ha conoscenza che altri attacchi con dinamiche simili siano mai avvenute, per adesso rimane un caso isolato e quindi, sì, è bene pensare a come evitarlo, ma non c'è da farsi prendere dal panico!

La UE voleva intervenire sulla responsabilità delle vulnerabilità software, ma sarebbe andata ad impattare negativamente sull'open source, mi pare dopo la vulnerabilità log4shell. Alla fine non s'è fatto nulla per le lamentele del mondo open source o si son fatti passi in avanti, ascoltando le perplessità e timori?

Il Cyber Resilience Act è stato modificato e dovrebbe entrare in vigore quest'anno.

[Ozne]

sicuramente l'open source permette di individuare in maniera più veloce eventuali bug e rischi per la sicurezza, anche da parte di utenti consapevoli e capaci, cosa che non accade con il codice chiuso. Ma leggendo in giro sembra che molte librerie vengano sviluppate da un solo programmatore, e se dovessero incorrere in falle improvvise, potrebbe risentirne a cascata tutte le applicazioni e servizi che si basano su di esse. Spero che con quello che è successo si dia più attenzione su gestire e reagire a queste eventualità.

[CUB3]

Ma leggendo in giro sembra che molte librerie vengano sviluppate da un solo programmatore, e se dovessero incorrere in falle improvvise, potrebbe risentirne a cascata tutte le applicazioni e servizi che si basano su di esse.

Non so da quali fonti hai appreso questa notizia ma non è che sia proprio così drammatica la situazione. Quello che hai scritto può essere vero per librerie secondarie o scarsamente diffuse ma quelle più utilizzate hanno, di solito, una comunità molto attiva che la mantiene (xz può essere la famosa eccezione che conferma la regola?). Ci sono, poi, già stati casi di librerie con falle improvvise a cui a metterci una pezza è stato non il manutentore ma un altro sviluppatore (magari quello che ha scoperto la falla), evento possibile grazie al codice aperto.

Sia chiaro, non sto dicendo (ne ho mai detto) che l'open source garantisce programmi più sicuri ma, statistiche alla mano, è un dato di fatto che le vulnerabilità scoperte, in media, vengono corrette molto più velocemente sui software open che su quelli closed, indipendentemente dalla quantità di manutentori del software in oggetto.

Spero che con quello che è successo si dia più attenzione su gestire e reagire a queste eventualità.

La backdoor in xz è stato un fatto mai visto prima, sicuramente grave, ma mi sembra che stai drammatizzando un po' troppo la situazione. Giusto per fare il punto non è una vulnerabilità che avrebbe mai direttamente interessato l'utente medio che utilizza una qualunque distro Linux come principale sistema operativo sul suo computer Desktop (o Laptop)!

L'immediata reazione comunque c'è già stata, ad esempio: diminuire le dipendenze a quelle strettamente necessarie in libsystemd.

[Ozne]

Il fatto delle librerie alla base di servizi anche importanti, gestite da pochi, che alla loro compromissioni possono a cascata creare grossi disastri, l'ho sentita dire da esperti del settore, e da docenti universitari come Zanero. Non sarà la regola, ma se ci sono sarebbe il caso di sostenere e accompagnare da organizzazioni solide e "affidabili" lo sviluppo. Ma son sicuro che il mondo Open Source saprà reagire al meglio.

Comunque se iniziano a ridurre il numero di dipendenze sarebbe già qualcosa.


Comunque si, ho una "percezione" sbilanciata sulla paranoia. Venendo da Windows dovrei star zitto, ma su windows non dico che mi senta sicuro, ma molto più a mio agio, ho trovato il mio "equilibrio" fatto di prudenze, date dal senso di insicurezza di base, e gli antivirus,firewall, antimalware, ecc., non dico che mi mettano in una botte di ferro, ma sono dei feticci rassicuranti . Su Linux non so mai come comportarmi e sentirmi, a volte mi sentivo Iron man, altre volte completamente nudo ed insicuro. Per assurdo mi mancano gli antivirus e firewall, che mi hanno sempre dato quella fiducia e forse falsa sensazione di sicurezza su Windows. Non è facile staccarsi da questa concezione, poi la mia ignoranza di fondo che mi porta ad utilizzare in modo molto superficiale l'os, è il vero problema.
Alla fine nel breve utilizzo di Linux fatto quasi 10 anni fa, non mi sono mai scrollato di dosso questa sensazione, che mi ha portato alla fine, oltra a dei limiti dati dalla piattaforma stessa (più lato videogiochi), e qualche problema tecnico di troppo, ad abbandonarlo fino ad adesso. Vorrei dargli una seconda possibilità, dato che Windows diventa per me sempre meno attraente, è sempre più stupidamente limitato nelle cose più banali, e anche perchè qualche passo in avanti penso si sarà anche compiuto in questi anni su GNU Linux..

Cosa mi può aiutare per affrontare in maniera più serena e meno pranoica il passaggio a Linux?

Il primo grande scoglio è la scelta della distro. Ho perso forse il mio riferimento in Ubuntu, ho letto molte critiche e comportamenti un po' discutibili di Canonical (sicuramente più trasparenti di Microsoft XD), quindi sono anche un po' in crisi per la scelta. Vorrei proseguire con una Debian, se non con Debian, ma mi spaventa un po' il dover poi combattere con configurazioni snervanti, che una derivata potrebbe evitarmi.

[CUB3]

Hai fatto un ottima autoanalisi, sei a buon punto!

Cosa mi può aiutare per affrontare in maniera più serena e meno pranoica il passaggio a Linux?

Imparare a conoscere le differenze! Ho scritto alcuni articoli qui sul forum da cui puoi cominciare ma che sicuramente non sono esaustivi.

La distro che ti consiglio per cominciare è quella che attualmente è più in voga tra i newbie (senza offesa!): Linux Mint.

[Ozne]

Hai fatto un ottima autoanalisi, sei a buon punto!

Cosa mi può aiutare per affrontare in maniera più serena e meno pranoica il passaggio a Linux?

Imparare a conoscere le differenze! Ho scritto alcuni articoli qui sul forum da cui puoi cominciare ma che sicuramente non sono esaustivi.

La distro che ti consiglio per cominciare è quella che attualmente è più in voga tra i newbie (senza offesa!): Linux Mint.

E chi si offende. Mint non è comunque un Ubuntu rivisitato?
Proverò a recuperare gli articoli. Ma il mio problema non è tanto trovare altenative, non mi aspetto di trovare gli stessi programmi, sono aperto ad utilizzarne anche di altri se mi consentono di fare le stesse cose, ma è più una questione di consapevolezza di come funziona il sistema operativo, per primo. Alla fine è tato che uso Windows e so dove andare a ravanare per risolvere piccoli problemini, ed so più o meno come funziona, c'è il registro, poi i file di configurazione, i file temporanei, quelli di prefetch, la cartella di sistema, quella dei programmi, ecc... ecc... E all'epoca mi sono state utili anche alcune riviste e manuali, ma con un mondo così framentato come linux non credo sarà la stessa cosa. Ho acquistato anche dei corsi sperando mi torneranno utili per comprendere il sistema.
E aggiungici anche i motivi che ho spiegato prima, che derivano anche loro dalla mia ignoranza o poco approfondimento sul sistema operativo, ma anche per un fatto psicologico, credo. Decenni di Windows hanno plasmato le mie abitudini, le mie convinzioni in fatto di sicurezza, che di certo non abbandonerò e mi saranno comunque utili, ma mi sarà sempre difficile contare solo sul sistema operativo, senza installare antivirus e firewall, che potrei comunque fare, esistendo anche su linux, ma mi sentirei forse al contrario di come giudicavo chi non usa un antivirus su windows. Non so se mi sono spiegato. Quindi dovrò violentare me stesso e cercare di avere più fiducia, mantenendo comunque la giusta prudenza. Ma mi serve almeno un'infarinatura di come funziona un sistema linux. Quando lo provai la prima volta mi lanciai allo sbaraglio senza documentarmi e non fu una scelta molto saggia. Il primo scoglio fu capire il meccanismo dei repository (anche se per un uso base nn c'è neanche molto da installare), che abituato dai software windows che scaricavo mano era un po' diverso. Per fortuna che la comunità Ubuntu è sempre molto disponibile, altrimenti l'avrei disinstallato dopo mezzo pomeriggio, ma mi rensi conto che eseguire comandi a fiducia, nella speranza di, non era l'approccio ideale...

[Ozne]

ops

[pconte]

Uno dei divulgatori italiani su YouTube che seguo, sul canale Alternativa Linux, promulgatore soprattutto di Linux Mint, è passato a LMDE (ovvero Linux Mint Debian Edition), e sembra molto soddisfatto.
Quindi si può passare a Mint senza che sia un Ubuntu modificato.

.. io ci sto pensando, ma dovrei rifare tutto da zero ... non che sia una roba devastante!
Però ho installato un po' di personalizzazioni, e c'è voluto tempo per "metterle a punto".

Bah, non c'è fretta!
Intanto mi impratichisco con Linux (Mint).

P.S. decisamente più reattivo di Windows 11 sullo stesso HW !!! Al momento preferisco usare Minte che Windows 11.

[sondlive07]

Uno dei divulgatori italiani su YouTube che seguo, sul canale Alternativa Linux, promulgatore soprattutto di Linux Mint, è passato a LMDE (ovvero Linux Mint Debian Edition), e sembra molto soddisfatto.
Quindi si può passare a Mint senza che sia un Ubuntu modificato.

.. io ci sto pensando, ma dovrei rifare tutto da zero ... non che sia una roba devastante!
Però ho installato un po' di personalizzazioni, e c'è voluto tempo per "metterle a punto".

Bah, non c'è fretta!
Intanto mi impratichisco con Linux (Mint).

P.S. decisamente più reattivo di Windows 11 sullo stesso HW !!! Al momento preferisco usare Minte che Windows 11.

ti faccio i miei migliori auguri....

[CUB3]

L'analisi della backdoor di Kaspersky evidenzia la complessità del metodo utilizzato.