XZ Utils 後門事件始末 [影片] (★ 100 分)
Veritasium 這支影片以「網路差點在幾週內迎來災難」為主軸,回顧 XZ Utils(Linux 常見壓縮工具與函式庫)遭植入後門的事件:看似不起眼的壓縮函式庫一旦被滲透,就可能沿著 Linux 發行版的相依性一路滲入到關鍵元件,甚至影響以 SSH (Secure Shell,安全遠端登入通訊協定) 管理的伺服器登入,讓整個網際網路的基礎設施面臨大規模風險。
影片先從 FSF (Free Software Foundation,自由軟體基金會) 與 Linux 為何如此普及談起,接著用較易懂的方式解釋 SSH 的端對端加密與金鑰概念,並花篇幅講解壓縮的基本原理與常見方法,包含 Huffman、LZ77 與 LZMA(壓縮演算法)。在此基礎上,影片重建 .xz 後門是如何被藏進釋出版本、如何利用相依鏈靠近 OpenSSH 等高價值目標,以及攻擊者(以「Jia Tan」身分活動)如何因程式瑕疵與行為破綻而讓後門曝光,最後延伸到開源與閉源在安全與治理上的拉鋸。
Hacker News 討論串多數人強調,這起事件並非「還沒發生就被擋下」,而是惡意變更已進入 xz 並流入多個大型 Linux 發行版的測試分支;一旦正式進到大量預設安裝,就可能造成 RCE (Remote Code Execution,遠端程式碼執行) 等級的系統性災難。許多留言也反覆提到,事件之所以被揪出,關鍵來自 Andres Freund(當時在 Microsoft 任職)對極小的登入延遲與效能異常的執著追查,甚至被戲稱是「微型基準測試 (microbenchmarking) 拯救世界」;也有人補充 Red Hat 先前已因 Valgrind(記憶體錯誤偵測工具)警告注意到異狀,外界對「是否遲早會被發現」看法不一,但共識是攻擊者只要再縝密一點,後果恐怕難以收拾。
留言也針對「幕後是誰」提出質疑:影片提到提交時間多落在 UTC+8(北京時區)、農曆新年仍在活動但聖誕節停工,以及少數落在 UTC+2/3 的時間帶,因而有人猜測可能與 APT29 (Advanced Persistent Threat 29,疑似俄羅斯官方背景駭客組織,別名 Cozy Bear) 有關;但不少人反駁時區與假期線索很容易偽裝,且 git 的 author/committer 時間差也會誤導歸因。另一條高熱度支線則點名 systemd(Linux 常見的系統初始化與服務管理工具)是關鍵相依:OpenSSH 原本不需要 xz,但部分發行版為了 sd_notify(通知 systemd 服務就緒)而連結 libsystemd,間接把 liblzma(xz 的壓縮函式庫)帶進 sshd 的載入路徑,讓攻擊面被「不必要的相依」放大;事件後不少專案改用更小的自寫實作以避免拉進整套 libsystemd。整體情緒也回到治理與資源分配:與其依賴少數維護者硬撐與偶然運氣,有人主張應以公共資源或機制(例如歐洲的 Sovereign Tech Agency 等)長期資助關鍵開源專案與維護者身心健康,降低供應鏈被社交工程滲透的機率。
👥 41 則討論、評論 💬
https://news.ycombinator.com/item?id=47166473