Backdoor no XZ: tempo, tempos malditos e vigarices

 (rheaeve.substack.com)
2 pontos por GN⁺ 2024-04-01 | 1 comentários | Compartilhar no WhatsApp

Backdoor no XZ: tempo, tempos malditos e vigarices

  • Recentemente, foi descoberto um backdoor escondido no tarball do xz/liblzma.
  • Este pode ser um dos maiores rompimentos de confiança no ecossistema de software livre.
  • Presume-se que o backdoor tenha sido inserido por Jia Tan, mantenedor de longa data do xz.
  • Durante seu período como mantenedor, Jia permaneceu uma figura relativamente misteriosa, e pouco se sabe sobre sua identidade real.
  • No campo do software livre, o anonimato geralmente é visto de forma positiva, mas neste caso é interessante descobrir quem foi a pessoa que abusou da confiança da comunidade após construí-la por tanto tempo.
  • Pelos metadados que podem ser obtidos a partir das atividades de Jia, é possível descobrir mais sobre ele.

O que podemos aprender com o tempo?

  • Vale a pena pensar sobre as condições em que o software é produzido.
  • O alcance do que os padrões de tempo podem nos dizer é muito amplo.
  • Entre as pessoas que escrevem código, algumas fazem isso profissionalmente e outras como hobby.
  • Também há pessoas que escrevem código em horários diferentes dependendo da região.
  • Feriados, horários de sono, equilíbrio entre vida e trabalho: escrever código também não está livre dessas influências.
  • Entender quando alguém escreve código ajuda a entender por que e de onde essa pessoa o escreve.

Análise dos commits de Jia

  • Foi feita uma análise dos commits e timestamps do JiaT75 no repositório do XZ.
  • Timestamps do Git podem ser alterados como se quiser, mas na prática é difícil manipular dados de tempo de forma convincente.
  • Alterar apenas o fuso horário é mais fácil do que alterar o horário real.
  • Jia Tan provavelmente queria que as pessoas pensassem que ele era asiático, em especial chinês, e a maior parte de seus commits (440) tem timestamp UTC+08.
  • No entanto, estima-se que ele tenha vindo, na verdade, de algum lugar no fuso UTC+02 (inverno) / UTC+03 (horário de verão).
  • Em alguns momentos, ele se esqueceu de mudar o fuso horário, e isso coincide com a transição de horário de verão no Leste Europeu.
  • A rotina de trabalho e os feriados de Jia parecem se alinhar melhor com alguém do Leste Europeu do que com alguém da China.

Opinião do GN⁺

  • Este artigo oferece um caso interessante sobre a importância da confiança e do anonimato na comunidade de desenvolvimento de software.
  • Ameaças de segurança como backdoors podem atingir duramente a confiabilidade de projetos open source, o que significa que desenvolvedores precisam dar mais atenção à revisão de código e às auditorias de segurança.
  • Esse tipo de incidente relembra aos desenvolvedores a importância dos logs de commit e dos metadados. Verificar a identidade de contribuidores confiáveis pode ser essencial para a segurança do projeto.
  • Outros projetos open source com funcionalidades semelhantes incluem GitLab e GitHub, que vêm reforçando protocolos de segurança e autenticação de usuários para manter a confiança da comunidade.
  • Este artigo mostra como é importante encontrar um equilíbrio entre anonimato e confiança dentro da comunidade técnica. Mantenedores e contribuidores de projetos devem aprender com esse tipo de incidente e adotar medidas para reforçar a transparência e a segurança do código.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-04-01
Comentários no Hacker News

  • Resumo do primeiro comentário:

    • O autor do comentário não acha que o hacker seja do Leste Europeu e menciona países europeus e regiões do Oriente Médio nos fusos UTC+0200/+0300.
    • Aponta que, no caso de um ciberataque patrocinado por um Estado, o departamento que realmente escreve o código e o departamento que o conecta à internet podem ser separados, e que este último pode ajustar os horários para que as informações de origem coincidam com uma determinada narrativa.

  • Resumo do segundo comentário:

    • O autor do comentário menciona que o fuso GMT+8, um nome misturado com chinês e conexões por meio de servidores de Singapura podem indicar uma identidade singapuriana.
    • Também menciona que pode haver dúvidas sobre a opinião de que o nome parece falso, já que pessoas da China continental podem não conhecer bem as comunidades chinesas no exterior.
    • Sugere que analisar outros textos de Jia Tan pode ajudar a distinguir entre um singapuriano, alguém da China continental e um falante de línguas eslavas.

  • Resumo do terceiro comentário:

    • O autor do comentário diz que viaja bastante e, por não querer expor sua agenda de viagens em repositórios públicos, usa o comando gc mapeado para TZ=UTC0 git commit.

  • Resumo do quarto comentário:

    • O autor do comentário, independentemente da gravidade do caso, acha muito interessante o processo de desvendar os mistérios que acontecem na internet.

  • Resumo do quinto comentário:

    • O autor do comentário deixa palavras de incentivo para Jia e diz que, se não tentar, nem terá a chance de conseguir.

  • Resumo do sexto comentário:

    • O autor do comentário aponta que a diferença entre os horários de dois commits é de cerca de 1 hora, e não de aproximadamente 9 horas.

  • Resumo do sétimo comentário:

    • O autor do comentário menciona que também é uma pessoa que trabalha de manhã cedo e diz que seria mais plausível que um hacker ou uma pessoa jovem trabalhasse à tarde ou tarde da noite.

  • Resumo do oitavo comentário:

    • O autor do comentário sugere incluir também os carimbos de data e hora das respostas na mailing list.

  • Resumo do nono comentário:

    • O autor do comentário apresenta a hipótese de que um americano (ou alguém de outro lugar) poderia estar fingindo ser do Leste Europeu enquanto finge ser chinês.