偷偷留下的後門
這兩天著名黑客X0rz在twitter上爆料,發現python庫ssh-decorator 中出現後門:偷偷將用戶的SSH 登錄名和密碼回傳。
事情一公佈,reddit上炸了鍋,twitter上炸了鍋。
排查
搞安全的人排查別人是非常容易的事情。很快肇事者被查了出來。
這位作者叫 Uri Goren,以色列人。又叫尤里,hmmm聞到一股什麼味道
Uri Goren
這個事情是非常非常缺德的事情。現在幾乎所有的互聯網公司,很多程序都是基於開源搞出來的,搞一個網站都是搭積木,除了業務模塊外,大部分都是 依賴於別人的模塊。現在哪怕做個簡單的小算法,都是依賴於NPM,依賴於pip 之類的包管理程序。
這次問題就出在這裡,很多場合,大家都依賴於基礎模塊,搭出了服務,然後專心於業務模塊。大家很少會去翻基礎模塊,一方面是沒有必要,另外一方面是浩瀚如煙,怎麼搞。就算告訴你那個模塊大概有問題,你也要排查一會。
這次比較壞的原因是,以前這個包功能是正常的,在新版本更新的時候,塞進去了惡意代碼。這就壞透了,一般人不會去看更新包裡有啥。傻傻update就好了。
好在這次有細心的人發現了他的問題,直接給作者寫信了,並曝光出來。
在X0rz在twitter曝光後,作者才回復別人的質疑,原因是。。。。。
“我被人黑了,別人偷了我的密碼,偷偷加進去的,我也已經把代碼改回來了,把pypi的密碼也改了。”
然而根據他的changelist,謹慎懷疑不像是被人黑了。
現在已經有一堆人要求github和pypi永久封禁他。
開源的信任問題
這種偷偷加私貨的代碼不是第一次發現,去年NPM團隊也發現幾個惡意的包,這也不是最後一次發現。如果這個傢伙用更加隱蔽的辦法,比如將這段惡意代碼搞成shellcode,分幾次checkin或者寫成bug。那麼造成的傷害更為持久,影響更為惡劣。因為有時bug是很複雜的,找出bug是很困難的。前幾年爆出來的heartbleed bug,直接就是說,你們搞了那麼長時間的openssl,都是有巨大漏洞的。。。
這次python ssl-decorator 的問題,因為簡單,粗暴,直接喚起了大家對開源包的信任危機。你怎麼能保證下次下來的包不是炸彈呢?誰能保證,一定有人去看包的內容呢?加了簽名就能保證安全麼?stuxnet也是有正規簽名的哦。
小結
本來想寫Stuxnet的,但是內容太長了,想寫的經得住推敲,正好看到這個新聞,所以先寫這個了。
其實這種問題跟芯片是一體兩面的問題:芯片是不給你用,開源軟件是放開了用。
轉發就是最大的支持!
閱讀更多 西雅圖雷尼爾pro 的文章
