La porte dérobée pour contrôler Internet
Peu de gens le savent, mais au cours des derniers jours, un développeur perspicace a déjoué un complot pluriannuel visant à installer une porte dérobée distante dans l’ensemble d’Internet.
Il y a deux ans, un programmeur connu sous le nom de Jia Tan (JiaT75) a commencé à aider avec une bibliothèque de compression moins connue, connue sous le nom de xz. Pour ceux qui ne le savent pas, les logiciels d’aujourd’hui ne sont pas une entité monolithique. Chaque logiciel que vous utilisez est construit à partir d’une collection d’outils, connus sous le nom bibliothèques, qui facilitent la programmation. Par exemple, la plupart des programmeurs n’ont jamais besoin d’écrire les détails d’un algorithme de tri, car, quelque part, il existe une bibliothèque qui effectue le tri pour eux. Cela laisse les programmeurs se concentrer sur des tâches de niveau supérieur, comme créer le logiciel fait ce que veulent les utilisateurs. Cependant, ces bibliothèques ne viennent pas de nulle part ; elles nécessitent des programmeurs intéressés pour maintenir et étendre leurs fonctionnalités. Cela représente beaucoup de travail, alors lorsque de nouveaux programmeurs se portent volontaires pour aider, c’est un grand soulagement.
Cependant, les motivations de Jia Tan étaient loin d’être pures. Bien que xz ne soit pas directement utilisé dans de nombreux logiciels, il est extrait par d’autres bibliothèques, qui sont ensuite utilisées par d’autres programmes encore. En particulier, le populaire service de connexion à distance sshd, utilisé par les administrateurs système du monde entier, peut éventuellement inclure un lien vers une bibliothèque tierce, qui inclut alors également la bibliothèque xz. Et c’est la configuration utilisée par la plupart des systèmes d’exploitation serveur sur Internet. Ainsi, à mesure que Jia Tan gagnait en crédibilité avec les mainteneurs de xz, Jia a également indirectement obtenu un accès croissant à d’autres parties du système d’exploitation.
Les logiciels incluent souvent du code pour se tester. C’est ainsi que les mainteneurs de logiciels s’empêchent de créer des bogues évidents lors des modifications. Le code de test n’est généralement pas incorporé au logiciel final livré. Jia Tan a inclus une porte dérobée dans un fichier qui était ostensiblement utilisé pour tester les techniques de compression de xz. Cependant, une modification du système de build provoque la combinaison de ce scénario de test avec sa porte dérobée dans le logiciel final, qui est ensuite déployé. La porte dérobée fonctionne en écrasant les fonctions de chiffrement/déchiffrement standard avec sa propre version de ces fonctions.
Ce logiciel avait déjà été fusionné avec certaines versions de test de plusieurs systèmes d’exploitation standard, de sorte que les développeurs à la pointe de la technologie avaient déjà commencé à l’utiliser. Il a été découvert parce qu’un ingénieur logiciel de Microsoft, Andres Freund, effectuait des tests de performances. tests, il essayait de minimiser la quantité de temps CPU utilisée par le reste des outils de son système. Il a remarqué que sshd utilisait une quantité excessive de puissance de traitement, il a donc commencé à creuser la cause de la baisse de performances. Son analyse Les outils ont montré que sshd passait beaucoup de temps dans la bibliothèque xz, et une enquête plus approfondie a révélé que la bibliothèque xz avait remplacé certaines des fonctions standard de cryptage et de décryptage.
Heureusement, cela a été découvert avant que cela ait des conséquences majeures. Personne ne sait qui est Jia Tan, et nous ne le saurons probablement jamais. Mais cela met les développeurs de logiciels en alerte sur le fait que de mauvais acteurs, qu’ils soient des individus ou une partie d’un État. organisation, sont prêts à jouer le long jeu pour installer des logiciels malveillants sur tout.
Certains ont utilisé cet incident pour critiquer les logiciels open source, affirmant que cela fait partie du problème, c’est-à-dire que si tout le monde n’avait pas recours aux logiciels open source, cela ne serait pas arrivé. Mais honnêtement, je pense que le contraire est vrai. La seule raison pour laquelle c’était trouvé était à cause des logiciels open source. C’est parce que nous avons des développeurs qui connaissent la base de code non seulement de leur propre logiciel, mais de tout ce sur quoi ils fonctionnent, que nous avons pu trouver et diagnostiquer le problème si rapidement. J’ai utilisé des logiciels fermés à l’occasion, et il n’y a aucune transparence dans de telles situations. Si quelqu’un introduisait un code malveillant dans un logiciel important à code source fermé, personne ne le saurait, et personne n’aurait même la possibilité de le découvrir. Si cela était découvert, l’entreprise responsable essaierait probablement d’éviter de divulguer l’étendue du code malveillant. problème.Cependant, comme il était open source, il existe un enregistrement transparent de tout ce qui s’est passé, chaque message, chaque validation, chaque artefact téléchargé. Tout peut être inspecté et examiné, l’étendue des dégâts peut être déterminée et la cause profonde peut être débattue en public afin que chacun puisse rester sur ses gardes.
En bref, nous avons presque perdu Internet cette semaine, mais sous l’œil attentif des développeurs de logiciels open source.