纽约时报科技专栏知名作者凯文•鲁斯日前公布该栏目年度优秀科技奖,该科技奖获奖者有好几位,其中包括微软数据库工程师安德烈•弗洛因德 (Andres Freund)。
安德•烈弗洛因德获奖的原因是他发现了 XZ Utils 的后门漏洞,这个开源库被整个科技业界广泛使用,而这个漏洞则可能会在全球范围内造成严重的安全影响。
由于这个开源库也被广泛集成到 Linux 系统里,攻击者借助漏洞可以对全球无数台 Linux 服务器发起攻击(可以绕过 SSH 身份验证而直接控制服务器),而且整个 XZ 项目的投毒过程也非常引人思考。
XZ 项目只有主要维护者 1 人在进行维护,随后名为 JIATAN 的开发者在两年里经常参与该项目并获得主要维护者的信任,JIATAN 的最终目的就是成为该项目的维护者从而植入后门。
最终 JIATAN 的目的也算是成功了,XZ 5.6.0~5.6.1 被植入漏洞并合并到多个 Linux 发行版中,得亏安德烈弗洛因德及时发现了问题才避免造成全球级别的安全事件。
目前业界还未发现 JIATAN 的真实身份,但推测他生活在东欧并且试图冒充中国人进行供应链投毒,不知道未来是否有机会找到这个人的真实身份。
凯文•布鲁在评奖中表示:
他在对一个鲜为人知的开源软件包 XZ Utils 进行例行维护时遇到了一些奇怪的错误,在调查中他无意中发现了 Linux 操作系统中一个巨大的安全漏洞,这可能会让黑客控制数亿台计算机并让世界陷入瘫痪。
事实证明我们的许多数字基础设施都依赖类似的书呆子英雄行为 (蓝点网注:原文如此),在写完 Freund 的发现后,我收到了有关其他涉及开源软件项目的灾难提示,其中许多都是因为目光敏锐的志愿者及时发现错误并修复关键代码挫败坏人的行动。
我无法一一写出他们,但这个奖项就是要说:我看到了你们,开源维护者,我感谢你们的服务。
相关内容:
