Tá, mas e se eu contar pra vocês que nos últimos dias tá rolando uma história de intriga digna de filme de espionagem, tudo em torno de uma tentativa de invadir máquinas no mundo todo?
Vem na thread que vou te explicar. 🧵 #bolhasec
O "xz" é uma aplicação de compressão usada em várias distros linux. Ele em geral atinge taxas de compressão menores que o tradicional gzip, ao custo de usar mais memória, então ele vem sendo escolhido pra cada vez mais aplicações. Até aí tudo ótimo.
O xz, como várias ferramentas Linux, oferece suas funcionalidades tanto como uma aplicação de terminal quanto uma biblioteca que pode ser consumida por outras aplicações - nesse caso a liblzma, nomeada pelo algoritmo LZMA que o xz usa.
O problema foi descoberto ontem - com uma postagem na lista de emails "oss-security" feita pelo @AndresFreundTec, um dev do PostgreSQL. O Andres começou a perceber lentidão em sessões SSH no Debian Linux e foi investigar. O que ele não esperava era encontrar um backdoor.
@AndresFreundTec A versão 5.6.0 do xz introduziu uma mudança que é injetada, aparentemente, SÓ nos releases. O código malicioso não está no repo - ele é injetado apenas na hora de gerar o release, o que torna ele mais difícil de detectar.
@AndresFreundTec A alteração injetada consiste em uma única linha no script "configure" () que, por sua vez, altera o Makefile do projeto. A alteração no Makefile, por sua vez, descomprime e executa um dos arquivos na pasta tests do projeto.salsa.debian.org/debian/xz-util…
@AndresFreundTec Aqui vale um parêntese: Como o xz é uma aplicação de compressão, tem vários arquivos comprimidos na pasta tests pra testar vários casos de descompressão.
@AndresFreundTec Esse arquivo foi adicionado como se fosse um teste normal, mas ele continha código bash comprimido que o código adicionado no Makefile descomprime e executa.
@AndresFreundTec Tem mais alguns passos no meio pra dificultar entender o que está acontecendo, mas o efeito final é: Se o build do xz estivesse rodando em uma máquina Debian ou sendo iniciado pelo gerenciador de pacotes RPM, ele linkava uma versão modificada do código da liblzma.
@AndresFreundTec Nesse código, algumas funções relacionadas com checagens de integridade foram alteradas para modificar dinamicamente a função RSA_public_decrypt caso ela fosse chamada.
@AndresFreundTec Essa função *não existe* no código da liblzma - ao invés disso, ela é usada (a partir do OpenSSL) pelo SSH no Debian na autenticação da conexão.
@AndresFreundTec Ou seja - uma alteração é injetada de forma extremamente circuitosa para no final afetar binários do SSH que usam compressão xz no Debian, e provavelmente permitir invasão de máquinas e execução remota de código. E é esse o backdoor que o Andres encontrou.
@AndresFreundTec Vocês podem ver a notificação completa sobre o backdoor aqui: . Também recomendo se vocês tiverem o xz versão 5.6.x instalado em qualquer máquina, vocês atualizarem imediatamente.
@AndresFreundTec Bom, vou introduzir o segundo personagem da nossa história: O "Jia Tan", um contribuidor frequente do xz. Como vocês podem ver aqui, ele vinha contribuindo para o xz desde o fim de 2022. 13/20 play.clickhouse.com/play?user=play…
O Jia Tan, sob seu usuário do GitHub JiaT75, introduziu os commits com o backdoor no projeto. Mas após o backdoor ter sido descoberto, também foi descoberto que ele fez muito mais do que só isso. 14/20
Por exemplo, nosso hacker também contribuía para o projeto "xz-java" e ele adicionou o seguinte aviso (traduzido por mim):
"Se você descobrir uma vulnerabilidade de segurança neste projeto, por favor a reporte em privado. (...) Não crie um issue público".
Lendo entre as entrelinhas e agora sabendo do contexto, podemos entender como: "Me garanta tempo para ajustar meus exploits e tornar eles mais difíceis de achar".
Além disso, alguns mantenedores de distribuições Linux vieram a público dizer que essa pessoa estava em contato com eles, buscando convencê-los a atualizar tão rapidamente quanto possível para versões 5.6.x do xz pois "tinha muitas features novas incríveis".
Então é essa a situação: Temos uma pessoa que se infiltrou num projeto open-source, ganhando confiança por mais de um ano e adicionando vários arquivos binários ao projeto. Essa pessoa então usou a confiança vinda disso pra tentar acelerar a adoção do seu backdoor.
No final, terminamos com mais perguntas do que começamos: Quem é Jia Tan? Em algum momento a conta foi legítima e ela foi comprometida ou sempre foi um ator malicioso? O que mais ele pode ter escondido no xz nos mais de 12 meses que passou no projeto?
E talvez a pergunta mais importante: Quais são os interesses por trás disso?
Além disso: será que o código no backdoor realmente afeta só o SSH ou há outras funcionalidades ainda não descobertas? Eu pretendo seguir acompanhando essa história nos próximos dias.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Já que esse parece ser o tema da bolha dev de hoje, vamos falar sobre IDEMPOTÊNCIA.
O que é?
Pra que serve?
Como eu uso?
Pra saber tudo isso, siga aqui no fio. 👇
Idempotência é um conceito extremamente simples vindo da matemática.
Uma função é idempotente se aplicar ela 2 vezes retorna sempre o mesmo resultado que aplicar ela uma vez só.
Por exemplo, a função f(x) = x * 1 é idempotente - f(f(x)) é igual a f(x).
1/10
Ok, em matemática isso não parece tão útil nem profundo. Então por que falar disso em computação? Bom, uma forma de pensar é que o nosso "x" pode ser todo o estado da nossa aplicação, e o nosso "f" uma operação da nossa API.
Desde que eu fiz a thread sobre o backdoor do xz, aconteceu bastante coisa. Talvez o mais importante: Conseguiram analisar o backdoor e entender a intenção dele.
Ah, e se você não leu o primeiro fio ainda, vou pedir pra você ler ele antes, ele passa o contexto necessário pra entender tudo aqui. 1/23
Bom, vamos lá: O maior mistério com o qual ficamos da última vez foi - quem era Jia Tan? Ainda não sabemos e provavelmente nunca saberemos, mas algumas informações interessantes surgiram. 2/23
A @rinhadebackend acabou de terminar, então em homenagem a todos os envolvidos nessa iniciativa FODA vou falar de algo que muita gente desligou pra ter menos latência (😏), e sobre por que você não deve fazer isso num sistema real.
Isso mesmo, vamos falar de garantias ACID! 🧵
Primeiramente, o que significa ACID?
ACID é uma sigla que se refere às 4 garantias que um banco de dados SQL te dá em relação a transações:
Atomicidade
Consistência
Isolamento
Durabilidade
E o que é cada uma dessas? 1/35
A garantia de *atomicidade* (que não tem nada a ver com átomos - vem de átomo no sentido de "indivisível") significa que cada transação que você faz no banco ou tem sucesso completo ou falha por inteiro. 2/35
O sistema operacional é um "cara" com quem a gente já tá tão acostumado a interagir que é fácil até esquecer que ele tá lá, rodando o código. Vamo falar um pouco sobre a história dos SOs e o que, de fato, eles fazem. 🧵
Pra começo de história, por que se chama "sistema operacional"? Esse termo é uma tradução do inglês "operating system", que também poderia ser traduzido como "sistema operante" ou "sistema operador". E esse último termo é o mais interessante. (1/21)
Uma coisa que nem todo mundo sabe é que antes dos SOs existirem, um computador era "operado" por humanos. E o que era essa "operação"? (2/21)
Uma coisa que eu falo muitas vezes e que causa alguma polêmica é que C não é uma linguagem de baixo nível. Mas por que eu insisto nisso? É porque é vital pra entender linguagens compiladas. Segue aqui no fio pra entender. 🧵
Vamos começar com um problema "filosófico": Qual é o *significado* de um programa? I.e., dado o *texto* de um programa, como podemos saber o que aquele programa vai fazer? (1/33)
Para conseguirmos ter essa resposta, precisamos que a linguagem que estamos usando nos forneça um *modelo de computação*, i.e. um algoritmo que transforma (Texto do Programa) -> (Comportamento). (2/33)
Volta e meia o pessoal que tem interesse na linguagem me pede ajuda pra achar vagas com Elixir. Essa semana foi boa em termos de vagas aparecendo na comunidade, então decidi trazer aqui caso alguém tenha interesse 👇🧵 #MyElixirStatus