Der var en bagdør til at inficere dem alle, men et geni reddede nettet

Her er hvordan en udviklers ekspertise, og lidt... forsyn, netop forhindrede sabotagen af ​​Linux og hele internettet

Bagdør: Open Source-sikkerhed
Open Source-sikkerhed måske undermineret af forsøget på at inficere Linux

"Men alle blev bedraget" siger stemmen af Galadriel i et af de lykkeligste punkter i filmatiseringen af ​​"Ringenes Herre" di JRR Tolkien. Professoren og forfatteren ville nok aldrig have forestillet sig denne mulige læsning af hans værk - han afskyede hjerteligt allegori brugt på en didaktisk måde - men som altid kan de gode historiers værdier og principper "anvendes" til hele virkeligheden , uanset hvor komplekst og uventet det end er.

"Ingen forventer den spanske inkvisition" lyder et andet berømt citat, denne gang dei "Monty python", og det lader til, at indtil nu er der ingen, der har troet på, at den sande styrke af open source kunne bruges ondsindet mod open source selv.

Men lad os gå i orden.

Sikkerheden ved AI? Bletchley Park-erklæringen er afgørende
SwissGPT: Swiss AI revolutionerer virksomhedens sikkerhed
Schweiz og USA tilsluttede sig cybersikkerhed og digital teknologi

Linux Open Source
Sikkerheden i et Open Source-system som Linux er garanteret af dets udviklerfællesskaber

Vigtigheden af ​​Linux og Open Source

Linux er et åbent styresystem. Operativsystemet er den grundlæggende software til enhver digital maskine, den der tænder sammen med maskinen og giver dig mulighed for at indlæse og administrere andre programmer og deres data. I 1991 Linus Torvalds, Finsk datalogistuderende ved Helsinki Universitet foreslog kernen - kernen, "motoren" - i et nyt gratis, gratis og åbent operativsystem, det vil sige, hvor enhver kunne se og ændre kildekoden. Dette system vil hedde Linux og er i øjeblikket det mest udbredte i verden i de grundlæggende sektorer af internettet, men ikke kun, som han fortæller os CoPilot di Bing:

"Linux, open source-operativsystemet, er ekstremt populært globalt, især på de servere, der driver internettet. Lad os se på nogle nøglepunkter:

  1. Webserver og hosting: Mest af webserver som værtswebsteder, applikationer og onlinetjenester bruger Linux som et operativsystem. Dette inkluderer Apache-servere, Nginx og andre.
  2. Cloud Computing: Store cloud-udbydere som f.eks Amazon Web Services (AWS), Google Cloud Platform (GCP) e Microsoft Azure de tilbyder serverbaserede instanser Linux. Disse danner grundlaget for mange cloud-applikationer.
  3. Supercomputere og Scientific Computing: Linux er det overvejende valg for i supercomputer og højtydende videnskabelig databehandling. For eksempel Top500 af de mest kraftfulde maskiner i verden er domineret af systemer Linux.
  4. Embedded og IoT-enheder: Linux Det bruges i en bred vifte af indlejrede enheder, såsom routere, overvågningskameraer, set-top-bokse og enheder Tingenes internet (IoT).
  5. Android: Android, det mest populære mobile operativsystem i verden, er baseret på Linux. Det betyder, at milliarder af smartphones og tablets bruger en eller anden variant af Linux.
  6. Desktops og bærbare computere: Selvom Windows e MacOS er mere almindelige i stationære og bærbare computere, Linux har en betydelig tilstedeværelse i denne sektor. Fordelinger som Ubuntu, Fedora e Debian er populære blandt desktopbrugere."

Kort sagt, Linux er allestedsnærværende og spiller en afgørende rolle i den globale teknologiinfrastruktur.

Derfor havde den frie karakter af operativsystemet bestemt en stor indflydelse på dets udbredelse, men også i sig selv gennemsigtighed: det giver alle med et minimum af programmeringsfærdigheder mulighed for at tilpasse alle aspekter af systemet til deres behov. Derfor spredningen til de mest følsomme systemer globalt, herunder bankstyringssystemer.

TEK er det nye digitale innovationsdistrikt i Bologna
Alle årsagerne til AIs voksende indflydelse i digital kunst
En køreplan for at fremme Liechtenstein som et digitalt knudepunkt

Hacking The One Ring
"Hacking the One Ring" er et billede genereret med kunstig intelligens af Bing-søgemaskinen

Sikkerheden ved et gratis operativsystem

Beskyttelsen af ​​et åbent system er betroet dets udbredte spredning og den kontinuerlige kontrolaktivitet i dets udviklersamfund.
Netop det faktum, at det ikke er et centraliseret og hemmeligt system i mange aspekter, som Windows eller Mac OS, skaber en garanti for sikkerhed: Hvis nogen forsøger at indsætte ondsindet kode, for at sabotere systemet, opdager en anden det hurtigt og rapporterer problemet til alle sammen.

Men hvordan var det så muligt, at nogen udtænkte en sabotageplan, der gradvist udviklede sig over tre år og næsten formåede at føre den ud i livet? Hvordan kunne nogen tro, de kunne, endnu et lille Hollywood-citat, "hack planeten"?

26 milliarder stjålne dokumenter gemt på ét virtuelt sted
Et gratis webinar til at udforske cybersikkerhed i dybden
Således i "Swiss Digital Days" bliver fremtiden (gen) til nutiden

hacker
Den kanoniske repræsentation af en hacker yder ikke retfærdighed til kompleksiteten af ​​det, der kan skjules bag et simpelt kaldenavn

Uafhængige boghandlere og begyndelsen af ​​historien

Først og fremmest fandt sabotageforsøget ikke sted på niveau med hovedkernen, men på et af dets eksterne "værktøjer".

ZX er et filkomprimerings- og dekomprimeringssystem, styret i mange år af et specialiseret fællesskab. I 2021 dukker en ny bruger op, som det ofte sker i disse fællesskaber, med et kodenavn Jia Tan. Han præsenterer sig selv som mange andre, idet han hævder at være en udvikler med lidt fritid, og som ønsker at dedikere en del af den til udviklingen af ​​ZX.

Indledningsvis rapporterer den små rettelser, mulige forbedringer, kort sagt har den fremragende adfærd og bidrager til udviklingen af ​​biblioteket. Efterhånden bliver han mere og mere ihærdig og foreslår vigtigere – men altid legitime – ændringer.

Nu består disse udviklerfællesskaber stort set af frivillige. Mennesker, der dedikerer sig til at forbedre verden gennem skabelse og udvikling af fri software: idealister, kort sagt, som tager tid væk fra deres familie og måske fra arbejdet ved at dedikere sig til sådanne aktiviteter.

Det sker derfor, at de i ny og næ bliver "kaldt til ordre", eller at de har perioder med mere intenst arbejde, som gør, at de ikke kan følge de "åbne" projekter med sædvanlig regelmæssighed. Dette skete for den oprindelige leder af ZX-udviklingsfællesskabet, som måtte reducere sine indgreb i et stykke tid.

Hvad er spear phishing, og hvorfor er det så skræmmende?
Kunstig intelligens og klimakrisen: mulighed eller trussel?
Dialoger om innovation: Andreas Voigt og Diego De Maio

Samfundsteknologi
Social engineering er en metode, der bruges af ondsindede aktører til at vinde deres ofres tillid

Saurons sociale teknik i Tolkiens bøger

Lad os vende tilbage til Midgård et øjeblik. Sauron, den mørke Herre havde i disse tider et behageligt udseende og erklærede sin anger for tidligere ugerninger, begået som en tjener af Morgoth. Faktisk var han villig til at samarbejde og for at bevise det lærte han elverne i Eregion kunsten at bygge magtringe - bemærk, at Tolkien er en forfatter, der ofte bruger udtrykket "kunst" frem for "magi".

I mellemtiden, dog hemmeligt for alle, smedede han en enkelt ring... du kender resten af ​​historien, eller du burde få bogen.

Sauron derfor bruger den det, der nu kaldes "social engineering", ofte på grundlag af svindel på og uden for internettet. Først vindes ofrets tillid, derefter udnyttes denne tillid.

Og det er præcis, hvad der skete med ZX-fællesskabet: På et bestemt tidspunkt dukkede adskillige nye deltagere op - altid anonyme - i fællesskabet og begyndte at sætte skub i kontroversen over for den gamle administrator og skubbede de andre til at hæve kritikken, indtil han allerede under pres besluttede han sig ikke for at træde til side og "overdrage nøglerne" til Jia Tan.

Et innovationscirkus, der skal repræsentere fremtidens økonomi
Cirkulær økonomi og elbiler: fremtiden er meget tættere på
Philip Morris Italien og den cirkulære økonomi af IQOS og Lil enheder

Orthanc af Alan Lee
The Tower of Orthanc, mesterligt illustreret af Alan Lee: en "sekundær" verden som Midgård præsenterer ofte uventede paralleller med den "primære" virkelighed

Orthancs nøgler og en skjult kode

Andre nøgler var allerede blevet givet, igen i Midgård, til den, der oprindeligt så ud til at være i det godes tjeneste, men som derefter forrådte ham: Saruman den hvide, leder af Istari, sendt til verden for at bekæmpe det onde, lader han sig fange af magt og bliver en akolyt af det mørke tårn (deraf titlen "De to tårne" i den anden bog af Ringenes Herre).

I vores primære virkelighed begynder han på samme måde, når Jia Tan bliver administrator, at indsætte ondsindet kode, hvilket skaber en bagdør, en "bagdør", hvorfra Linux-operativsystemet kan trænge ind og tage total besiddelse af den maskine, det er hostet på.

Det gør den på en smart måde, koden er godt skjult og svær at spore selv af dem, der kender softwaren ud og ind. Efter tålmodigt arbejde lykkedes det ham at lægge grundlaget for fremtidige angreb og spionagehandlinger, der potentielt aldrig er set før på globalt plan.

Han udnyttede den sande "styrke" ved open source, udviklerfællesskabet, bedragede dem om deres sande hensigter og skubbede dem til at give afkald på den gamle administrator, sandsynligvis ved at bruge yderligere falske profiler, måske af hans medskyldige eller skabt af ham selv, måske med kontrollerede bots af generative kunstig intelligens. At stille spørgsmålstegn ved, ifølge mange, selve principperne for Open Source-sikkerhed.

Et kontor for bæredygtig infrastruktur i udviklingslande
29,2 milliarder francs til uddannelse, forskning og innovation
Kunstig intelligens også til udvikling af nye lægemidler

Andres Freund
Andres Freund, PostgreSQL Developer & Committer hos Microsoft, er softwareingeniøren, der "reddede internettet" fra det måske farligste angreb nogensinde

Dommebjergets ild og en beseglet skæbne

Mount Doom, også kaldet Orodruin, er vulkanen, hvor Sauron smedede Den Ene Ring, og er også den eneste, der udvikler den varme, der er i stand til at ødelægge den.

På samme måde var det varmen, der afslørede Jja Tan-sammensværgelsen. En Microsoft-udvikler, Andres Freund, han forsøgte at forstå årsagerne til et ydelsesproblem i et Debian Linux-system, hvor CPU'en (Central Processing Unit, den centrale logiske processor) var 100 procent optaget uden nogen åbenbar grund, hvorved han blev for varm og fjernede computerkapaciteten fra alt andet ; desuden havde han stødt på problemer med at styre hukommelsen.

Efter omhyggelig analyse identificerede han årsagen i ZX-biblioteksopdateringen og rapporterede problemet til fællesskabet. Jja “Ormetunge” Tan han forsvandt, og den gamle administrator genoptog sin rolle, kort før den nye version blev udgivet på verdensplan.

Alle brancheeksperter siger, at Andres Freunds dygtighed og evner, men også en god smule held, forhindrede det, der kunne være blevet det største hackerangreb i vores planets historie. De præcise intentioner fra gruppen bag plottet kendes ikke - det må nødvendigvis være en gruppe, formentlig finansieret af en stat, for at gennemføre planlægning på dette niveau - men der er enstemmig enighed om alvoren af ​​den involverede risiko.

Ligesom Bilbo Baggins på en eller anden måde var "bestemt" til at finde Ringen, så ville Tolkien tro, at PostgreSQL Developer & Committer hos Microsoft var "bestemt" til at bemærke, at der var noget galt med den nye version af ZX.

I Schweiz Federal Polytechnics for gennemsigtig og pålidelig kunstig intelligens
Testkørsler i Schweiz for et fjerndrevet lokomotiv
Gamification: hvad det er, og hvordan det styrker bruger-forretningsforholdet

AI vs hackere
Vi spurgte Bing "Lav os et futuristisk billede, der repræsenterer, hvordan AI kan hjælpe os med at forhindre de farligste hackerangreb" resultatet har et lidt foruroligende aspekt...

Fra faren undsluppet til tvivl om fremtiden

Som allerede skrevet har nogle kommentatorer udtalt, hvordan denne episode har sat Open Source-systemet i krise, indtil nu betragtet som mindre angribeligt end traditionelle softwarehuse takket være deres fællesskaber, hvilket viser, at selv fællesskaberne selv kan blive bedraget af mennesker eller godt motiverede og organiserede grupper.

Andre har dog påpeget, at det endnu en gang var samarbejdsånden, nærmest ofring i verden af ​​"åben kode" - den samme ånd, der besjæler Ringens Fellesskab - der tillod alt at blive opdaget, før det blev for sent .

Noget har helt sikkert ændret sig: væggene i Helm's Deep, hidtil uindtagelige, er de blevet brudt.

Og måske kunne det allerede være sket, i andre dele af Linux, uden at nogen havde bemærket det. Det vil være nødvendigt at gentænke kontrolsystemerne, måske bruge flere grupper parallelt som i videnskabelige eksperimenter, måske med hjælp fra AI.

En ting er sikker: en ny æra af cybersikkerhed er begyndt i april 2024.

Brasilien er nu også et associeret medlemsland af CERN
Et 2024 præget af halvfjerds års CERN og innovation
Science Gateway på CERN: en fordybende rejse ind i videnskaben

Bagdør: Universitetet i Helsinki
Universitetet i Helsinki blev flyttet i 1829 til den nuværende finske hovedstad fra sin oprindelige placering i Åbo, hvor det blev grundlagt i 1640 af Christina af Sverige som et kongeligt akademi
Finland Great Britain Hacking Phishing Amerikas Forenede Stater