Xz arka kapısı: BT'nin gizli Paskalya draması
Paskalya tatili sırasında güvenlik uzmanları, kamuoyunun gözünden kaçan, büyük bir dramın özelliklerini taşıyan bir hikayenin parçalarını bir araya getirir: Gizli servis ajanları gizli arka kapılara sızar, dost canlısı bir inek, dünya hakimiyetinin hain arayışını tam bir anda engeller. Sinsi saldırganların acımasızca istismar ettiği, psikolojik sorunları olan bitkin bir açık kaynak geliştiricisi, her seferinde trajik bir rol oynuyor. Her şey yine yolunda gidiyor ama artık herkes bundan sonra ne yapacağını bilmiyor. Ama önce ana şeyler:
Duyuru
Ayarlar
Güvenilir BT uzmanınıza, kesinlikle güvendiği en önemli yönetim araçlarının hangileri olduğunu sorun. SSH'nin bu listenin başında görünme ihtimali yüksektir. Yöneticiler bu hizmeti tüm sunucu türlerine güvenli, düşük seviyeli şifreli erişim için kullanır. Önemli bir hizmette ciddi bir sorun varsa, er ya da geç bir yönetici, ilgili sunucuya komut satırından SSH aracılığıyla erişecektir.
Ağınızdaki sunuculara SSH aracılığıyla erişebilir ve bunları yönetebilirsiniz; Bu hizmetin güvenliğindeki bir boşluk ölümcül olabilir. Shodan arama motoru dünya çapında yaklaşık 20 milyon SSH girişini listeliyor; Almanya'da hâlâ 2 milyondan fazla var. Keyfi komutların yürütülmesine olanak tanıyan SSH aracılığıyla bir arka kapı, her gizli servisin gizli hayalidir.
Ancak SSH'nin popülaritesi, diğer şeylerin yanı sıra, güvenliğiyle ünlü olmasından kaynaklanmaktadır. Paranoyak profesyoneller tarafından en modern güvenlik konseptleri temel alınarak yazılmıştır ve optimum güvenliği sağlamak için onlarca yıldır sürekli olarak geliştirilmiştir. Fare hiçbir kabloyu ısırmaz.
Tedarik zincirindeki zayıf nokta
Ancak SSH hizmeti boşlukta çalışmaz, bunun yerine temel sistemin kaynaklarına dayanır. Diğer şeylerin yanı sıra, tipik bir Linux sistemine 20'den fazla dinamik kitaplık yükler: liblzma.soxz formatında sıkıştırmayı kaldırma (açma) işlevleri sağlayan. Bu XZ araçları, tek bir gönüllü tarafından uzun yıllardır hobi olarak sürdürülen küçük, açık kaynaklı bir projedir.
Ciddi tükenmişlik ve psikolojik sorunlar yaşıyordu, bu yüzden artık bu görevi yeterince yerine getiremiyordu. Bu yüzden başlangıçta bilinmeyen “Jia Tan” adlı kişinin yardımını minnetle kabul etti. Bu, şikayet ve taleplerle bakımcı üzerindeki baskıyı sürekli artıran birkaç suç ortağı tarafından teşvik edildi. Jia Tan, sonunda iki yıl boyunca xz bakımcısının güvenini kazandı ve kısa sürede projeye bağımsız olarak yeni kod katkıda bulunabilen resmi ortak bakımcı oldu.
Arka kapı
Böylece 2024'ün başlarında 5.6.0 sürümünde son derece gelişmiş bir arka kapı oluşturuldu. Bu arka kapıyı XZ projesinin herkesin görebildiği kaynak koduna eklemedi. Bunun yerine, derleme sürecinin sözde bazı test dosyalarından kodu çıkarmasını ve onu son kitaplık ikili dosyasına dahil etmesini sağladı. Arka kapı kodu yalnızca proje yayın tarball'larında bulunabilir.
Bu sürecin tek başına pek çok inceliği vardır ve bir makale için yeterli materyali sağlar. Liblzma'nın son 5.6.x sürümünün, yalnızca SSH süreci başlatıldığında aktif hale gelen çok özel bir arka kapı içerdiğini söylemek yeterli olacaktır. /usr/sbin/sshd kullanılmış. Bu arka kapı yalnızca ikili biçimde mevcut olduğundan ve çeşitli hata ayıklama önleyici önlemler içerdiğinden henüz nihai bir analiz yapılmamıştır.
Mevcut bilgilere göre bir fonksiyonu kayıt sürecinden kendisine yönlendirmektedir. Spesifik olarak, bir RSA ortak anahtarıyla yapılan her oturum açma girişimi, RSA_public_decrypt() arka kapı kodunda. Bu amaçla kullanılan genel anahtarı analiz eder ve sunucuda çalıştırdığı komut satırı komutlarını çıkarır.
Herkesin bunu kullanamamasını sağlamak için iletilen komut dizisinin de belirli bir dijital imzaya sahip olması gerekir. Ve yalnızca Jia Tan'ın arkasındaki saldırganlar, gizli anahtarlarını kullanarak böyle bir imza oluşturabilir. Bu tipik “bizden başka kimse yok” – kısaca NOBUS arka kapısı, özellikle gizli servisler tarafından tercih ediliyor.
Difüzyon
Bu arka kapı mevcut XZ araçları xz-5.6.0 ve xz-5.6.1'de ve ilgili liblzma kitaplıklarında bulunur. Zaten kararsız dağıtım ve testlerin bazı dallarına girmişlerdi, ancak ne Debian, Ubuntu ne de Red Hat onları kararlı dallarına dahil etmedi.
Ancak mevcut analizlerin gösterdiği gibi, pek çok kişinin aktif olarak uğruna çabaladığı şey tam olarak budur; Jia Tan gibi bunlar da muhtemelen saldırganların yapay karakterleridir. Başarılı olsalardı, saldırganların her istediklerini yapabilecekleri milyonlarca sistem bir felaket olurdu.
Girin: Büyük Kahraman
İşin bu kadar ileri gidememesi, olayların temeline inmeyi seven yazılım geliştiricisi Andres Freund'un merakından kaynaklanıyor. Açıkladığı gibi, garip bir CPU yükü, test sistemindeki ölçümlerine engel oluyordu. Daha ayrıntılı araştırmalar, arka kapısı olan sistemlerde, SSH yoluyla yapılan başarısız bir oturum açma girişiminin, liblzma'nın eski sürümlerine sahip sistemlere göre yaklaşık 500 milisaniye daha uzun sürdüğünü ortaya çıkardı.
Bu kanıtla birlikte kaynak kodu tar dosyasındaki gizlenmiş betiğin izini sürdü ve 29 Mart Cuma günü açık kaynak topluluğunu uyardı. Haberler Security gibi medya kuruluşlarının gizemli XZ arka kapısı hakkında haber yapmasından kısa bir süre sonra Red Hat, güvenlik açığına CVE-2024-3094 kimliğini atadı ve BSI gibi kurumlar da uyardı.
Yani biraz garip bir CPU yüküne ve yarım saniyelik açıklanamaz gecikmeye dayanamayan bir inek, hafif bir fark yarattı. Gerçekte alarm tam zamanında geldi; Etkilenen sistemlerin sayısı yönetilebilir düzeydeydi ve şu ana kadar görünür bir hasar bulunamadı. Ancak bu NOBUS arka kapısının potansiyeli çok büyüktür; İnternet tarihinde eşi benzeri yoktur.
Çok soru, az cevap
Sonuçta İnternet ve küresel BT'nin önemli bir kısmı felakete o kadar yaklaştı ki herkes şunu merak ediyor: Freund, neredeyse herkes gibi bu fenomeni umursamasaydı ne olurdu? Kimsenin fark etmediği başka kaç tane arka kapı var? Ve hepsinden önemlisi: gelecekte tüm bunlardan nasıl kaçınılabilir?
Bu cevaplara yönelik arayış şu anda tüm hızıyla devam ediyor. Elbette hemen hemen, Hinz&Kunz'un önemli projelere arka kapılar enjekte edebileceği açık kaynak geliştirme modelinin yetersizliğinin kesin kanıtı olarak denemeyi ilan eden sesler ortaya çıktı. Öte yandan elbette Freund'un keşfinin, birçok gözle izlemenin işe yaradığının kanıtı olduğunu kutlayanlar da vardı.
Bu eylemlerin tam kapsamı açıklığa kavuşturulmadan kesin sonuçlar çıkarmak için henüz çok erken olduğuna inanıyorum. Ancak şimdi yapabileceğiniz şey, bazı pragmatik sonuçlar çıkarmak ve ilk içgörüleri elde etmektir. İnternetten doğrudan erişilebilen tüm yaygın projeler artık karşılaştırılabilir arka kapılar açısından sistematik olarak incelenmelidir. Ve bu yalnızca kodunuzu değil, yüklediğiniz her şeyi de içerir. Ve elbette bu sadece Apache veya nginx gibi açık kaynaklı projeler için geçerli değil. Ticari yazılım ayrıca harici kitaplıkları toplu olarak yükler.
İşte sosyal bileşenin kaçınılmaz olarak devreye girdiği yer burasıdır; bu, inanılmaz sayıda önemli projenin, eninde sonunda telafisi mümkün olmayan bir şekilde bunalan bireylerin omuzlarına yüklendiği anlamına gelir. Yukarıda listelenen xkcd çizgi romanı bunu zaten mükemmel bir şekilde göstermiştir. Openssl'deki Heartbleed felaketi sırasında bir sorun olarak tanımlandı ve Log4j açığı takibi sırasında ayrıntılı olarak tartışıldı. Bakalım bu sefer Magic Security Dust'tan başka bir şey çıkacak mı bu tartışmalardan?
(Evet)
Haberin Sonu