Postojala su stražnja vrata koja su ih sve zarazila, ali jedan je genij spasio web

Evo kako su stručnost programera i malo... providnosti spriječili sabotažu Linuxa i cijelog Interneta

Backdoor: Sigurnost otvorenog koda
Sigurnost otvorenog koda možda je potkopana pokušajem zaraze Linuxa

“Ali svi su bili prevareni” kaže glas Galadriel u jednoj od najsretnijih točaka kinematografske adaptacije “Gospodar prstenova" di JRR Tolkien. Profesor i pisac vjerojatno nikad ne bi ni zamislio ovakvo moguće čitanje svog djela - srdačno je mrzio alegoriju iskorištenu na didaktički način - ali, kao i uvijek, vrijednosti i principi dobrih priča mogu se "primijeniti" na cjelokupnu stvarnost. , koliko god bio složen i neočekivan.

“Nitko ne očekuje španjolsku inkviziciju” glasi još jedan poznati citat, ovaj put dei "Monty python", i čini se da do sada nitko nije vjerovao da se istinska snaga otvorenog koda može koristiti zlonamjerno protiv samog otvorenog koda.

Ali idemo redom.

Sigurnost AI? Izjava iz Bletchley Parka je ključna
SwissGPT: švicarski AI koji revolucionira korporativnu sigurnost
Švicarska i SAD uskladile su se oko kibernetičke sigurnosti i digitalne tehnologije

Linux otvorenog koda
Sigurnost sustava otvorenog koda kao što je Linux jamče njegove zajednice programera

Važnost Linuxa i otvorenog koda

Linux je otvoreni operativni sustav. Operativni sustav je osnovni softver svakog digitalnog stroja, onaj koji se uključuje zajedno sa strojem i omogućuje učitavanje i upravljanje drugim programima i njihovim podacima. Godine 1991 Linus Torvalds, Finski student informatike na Sveučilištu u Helsinkiju, predložio je kernel - jezgru, "motor" - novog besplatnog, besplatnog i otvorenog operativnog sustava, tj. gdje bi svatko mogao vidjeti i modificirati izvorni kod. Ovaj sustav će se zvati Linux i trenutno je najrasprostranjeniji u svijetu u osnovnim sektorima interneta, ali ne samo, kako nam kaže Ko-pilot di Bing:

“Linux, operativni sustav otvorenog koda, iznimno je popularan na globalnoj razini, posebice u poslužiteljima koji pokreću internet. Pogledajmo neke ključne točke:

  1. Web poslužitelj i hosting: Većina web server koje koriste web stranice, aplikacije i online usluge Linux kao operativni sustav. To uključuje Apache poslužitelje, Nginx i druge.
  2. Cloud Computing: Veliki pružatelji usluga oblaka kao što su Amazon Web Services (AWS), Google Cloud Platform (GCP) e Microsoft Azure nude instance temeljene na poslužitelju Linux. Oni čine osnovu za mnoge aplikacije u oblaku.
  3. Superračunala i znanstveno računalstvo: Linux je prevladavajući izbor za i superračunalo i znanstveno računalstvo visokih performansi. Na primjer, Top500 od najmoćnijih strojeva na svijetu dominiraju sustavi Linux.
  4. Ugrađeni i IoT uređaji: Linux Koristi se u širokom rasponu ugrađenih uređaja, kao što su usmjerivači, nadzorne kamere, set-top box uređaji i uređaji Internet stvari (IOT).
  5. Android: Android, najpopularniji mobilni operativni sustav na svijetu, temelji se na Linux. To znači da milijarde pametnih telefona i tableta koriste neku varijantu Linux.
  6. Stolna i prijenosna računala: Iako Windows e macOS češći su u stolnim i prijenosnim računalima, Linux ima značajnu prisutnost u ovom sektoru. Distribucije poput Ubuntu, Fedora e Debian su popularni među korisnicima stolnih računala.”

Ukratko, Linux je sveprisutan i igra ključnu ulogu u globalnoj tehnološkoj infrastrukturi.

Stoga je besplatna priroda operacijskog sustava svakako imala veliki utjecaj na njegovu difuziju, ali i na njega samog prozirnost: omogućuje svakome s minimalnim vještinama programiranja da prilagodi svaki aspekt sustava svojim potrebama. Otuda njegova difuzija u najosjetljivije sustave na globalnoj razini, uključujući sustave upravljanja bankama.

TEK je nova digitalna inovacijska četvrt u Bologni
Svi razlozi za sve veći utjecaj umjetne inteligencije u digitalnoj umjetnosti
Plan za promicanje Lihtenštajna kao digitalnog središta

Hakiranje The One Ring
“Hacking the One Ring” je slika koju je uz pomoć umjetne inteligencije generirala tražilica Bing

Sigurnost besplatnog operativnog sustava

Zaštita otvorenog sustava povjerena je njegovoj širokoj difuziji i kontinuiranoj kontrolnoj aktivnosti njegovih razvojnih zajednica.
Upravo činjenica da nije centraliziran i tajan sustav u mnogim aspektima, poput Windowsa ili Mac OS-a, stvara jamstvo sigurnosti: ako netko pokuša ubaciti zlonamjerni kod, sabotirati sustav, netko drugi to brzo primijeti i prijavi problem svatko.

Ali kako je onda bilo moguće da je netko osmislio diverzantski plan koji se postupno razvijao tri godine i gotovo ga uspio provesti u djelo? Kako je itko mogao pomisliti da može, još jedan mali holivudski citat, “hakirati planet”?

26 milijardi ukradenih dokumenata skriveno na jednom virtualnom mjestu
Besplatan webinar za dubinsko istraživanje kibernetičke sigurnosti
Tako u “Swiss Digital Days” budućnost (ponovo) postaje sadašnjost

hacker
Kanonsko predstavljanje hakera ne opravdava složenost onoga što se može sakriti iza jednostavnog nadimka

Samostalne knjižare i početak priče

Prije svega, pokušaj sabotaže nije se dogodio na razini glavnog kernela, već jednog od njegovih vanjskih "uslužnih programa".

ZX je sustav za kompresiju i dekompresiju datoteka, kojim godinama upravlja specijalizirana zajednica. U 2021. novi korisnik predstavlja se, kao što se često događa u ovim zajednicama, s kodnim imenom Jia Tan. Predstavlja se kao i mnogi drugi, tvrdeći da je programer s nešto slobodnog vremena i koji želi dio toga posvetiti razvoju ZX-a.

U početku javlja male ispravke, moguća poboljšanja, ukratko ima izvrsno ponašanje i doprinosi razvoju knjižnice. Postupno postaje sve marljiviji, predlažući važnije – ali uvijek legitimne – promjene.

Sada se ove zajednice programera uglavnom sastoje od volontera. Ljudi koji se posvećuju poboljšanju svijeta kroz stvaranje i razvoj slobodnog softvera: idealisti, ukratko, koji oduzimaju vrijeme od svoje obitelji, a možda i od posla posvećujući se takvim aktivnostima.

Stoga se događa da su tu i tamo "prozvani na red", ili da imaju razdoblja intenzivnijeg rada zbog kojih ne mogu uobičajenom redovitošću pratiti "otvorene" projekte. To se dogodilo izvornom vođi ZX razvojne zajednice, koji je na neko vrijeme morao smanjiti svoje intervencije.

Što je spear phishing i zašto je tako zastrašujući?
Umjetna inteligencija i klimatska kriza: prilika ili prijetnja?
Dijalozi o inovacijama: Andreas Voigt i Diego De Maio

Socijalni inženjering
Društveni inženjering je metoda koju zlonamjerni akteri koriste kako bi pridobili povjerenje svojih žrtava

Sauronov društveni inženjering u Tolkienovim knjigama

Vratimo se na trenutak u Međuzemlje. Sauron, Mračni Gospodar je u to vrijeme imao ugodan izgled i izjavio je svoje pokajanje za prošla zlodjela, počinjena kao sluga Morgoth. Doista, bio je voljan surađivati ​​i, kako bi to dokazao, naučio je vilenjake Eregiona umijeću izgradnje prstenova moći - imajte na umu da je Tolkien pisac koji često koristi izraz "umjetnost" umjesto "magija".

U međuvremenu je, međutim, u tajnosti od svih, iskovao jedan jedini prsten... ostatak priče znate, ili biste trebali nabaviti knjigu.

Sauron stoga koristi ono što se danas naziva "društveni inženjering", često na temelju prijevara na internetu i izvan njega. Prvo se stječe povjerenje žrtve, a zatim se to povjerenje iskorištava.

I upravo se to dogodilo ZX zajednici: u određenom trenutku pojavili su se brojni novi sudionici - uvijek anonimni - u zajednici i počeli raspirivati ​​kontroverzu prema starom administratoru, tjerajući ostale da povise ton kritike sve dok on, već pod pritiskom nije odlučio odstupiti i "predati ključeve" Jia Tanu.

Inovacijski cirkus koji predstavlja budućnost gospodarstva
Kružno gospodarstvo i električni automobili: budućnost je puno bliža
Philip Morris Italija i kružna ekonomija IQOS i Lil uređaja

Orthanc Alan Lee
Tower of Orthanc, majstorski ilustrirao Alan Lee: "sekundarni" svijet poput Međuzemlja često predstavlja neočekivane paralele s "primarnom" stvarnošću

Ključevi Orthanca i skriveni kod

Drugi su ključevi već bili dani, opet u Međuzemlju, onome za koga se isprva činilo da je u službi dobra, ali koji ga je potom izdao: Sarumanu Bijelom, vođi Istara, poslan u svijet da se bori protiv zla, dopušta da ga moć uhvati u zamku i postaje pomoćnik Mračne kule (otuda naslov "Dvije kule" druge knjige Gospodara prstenova).

U našoj primarnoj stvarnosti, slično tome, kada Jia Tan postane administrator, počinje umetati zlonamjerni kod, stvarajući stražnja vrata, "stražnja vrata" s kojih operativni sustav Linux može prodrijeti i preuzeti potpuni posjed nad strojem na kojem se nalazi.

To čini na pametan način, kod je dobro skriven i teško mu je ući u trag čak i onima koji softver poznaju iznutra. Nakon strpljivog rada uspio je postaviti temelje za buduće napade i akte špijunaže potencijalno dosad neviđene na globalnoj razini.

Iskoristio je pravu "snagu" otvorenog koda, zajednicu programera, obmanjujući ih o njihovim pravim namjerama i gurajući ih da se odreknu starog administratora vjerojatno koristeći daljnje lažne profile, možda njegovih suučesnika ili koje je sam stvorio, možda s kontroliranim botovima od strane generativnih umjetna inteligencija. Dovodeći u pitanje, prema mnogima, sama načela sigurnosti otvorenog koda.

Ured za održivu infrastrukturu u zemljama u razvoju
29,2 milijarde franaka za obrazovanje, istraživanje i inovacije
Umjetna inteligencija također za razvoj novih lijekova

Andres Freund
Andres Freund, PostgreSQL Developer & Committer u Microsoftu, softverski je inženjer koji je "spasio Internet" od možda najopasnijeg napada svih vremena

Vatra planine Doom i zapečaćena sudbina

Mount Doom, također zvan Orodruin, vulkan je na kojem je Sauron iskovao Jedinstveni prsten, a također je jedini koji razvija toplinu koja ga može uništiti.

Slično tome, vrućina je razotkrila zavjeru Jja Tana. Microsoftov programer, Andres Freund, pokušavao je razumjeti uzroke problema s performansama u Debian Linux sustavu gdje je CPU (centralna procesorska jedinica, središnji logički procesor) bio 100 posto zauzet bez vidljivog razloga, pretjerano se zagrijavajući i oduzimajući računalni kapacitet svemu ostalom; štoviše, naišao je na probleme s upravljanjem pamćenjem.

Nakon pažljive analize, identificirao je uzrok u ažuriranju ZX knjižnice i prijavio problem zajednici. Jja “Crvjezik” Tan on je nestao i stari administrator je ponovno preuzeo svoju ulogu, kratko prije nego što je nova verzija objavljena u cijelom svijetu.

Svi stručnjaci iz industrije kažu da su vještina i sposobnost Andresa Freunda, ali i dobra sreća, osujetili ono što je moglo postati najveći hakerski napad u povijesti našeg planeta. Točne namjere skupine koja stoji iza zavjere nisu poznate - to nužno mora biti skupina, vjerojatno financirana od strane države, koja će provoditi planiranje ove razine - ali postoji jednoglasno slaganje o ozbiljnosti uključenog rizika.

Kao što je Bilbo Baggins nekako bio "predodređen" pronaći Prsten, tako bi Tolkien mislio da je PostgreSQL Developer & Committer u Microsoftu bio "predodređen" primijetiti da nešto nije u redu s novom verzijom ZX-a.

U Švicarskoj Savezna veleučilišta za transparentnu i pouzdanu umjetnu inteligenciju
Probne vožnje u Švicarskoj za lokomotivu na daljinski pogon
Gamifikacija: što je to i kako jača odnos između korisnika i poduzeća

AI protiv hakera
Pitali smo Bing "Stvorite nam futurističku sliku koja predstavlja kako nam umjetna inteligencija može pomoći da osujetimo najopasnije hakerske napade" rezultat ima malo uznemirujući aspekt...

Od opasnosti pobjegao u sumnje u budućnost

Kao što je već napisano, neki komentatori su izjavili kako je ova epizoda dovela Open Source sustav u krizu, koji se dosad smatrao manje napadljivim od tradicionalnih softverskih kuća zahvaljujući svojim zajednicama, pokazujući da čak i same zajednice mogu biti prevarene od strane ljudi ili dobro motiviranih i organiziranih skupine.

Drugi su, međutim, istaknuli da je ponovno duh suradnje, gotovo žrtve prisutan u svijetu "otvorenog koda" - isti duh koji oživljava Prstenovu družinu - omogućio da se sve otkrije prije nego što je bilo prekasno .

Nešto se sigurno promijenilo: zidovi Helmovog ponora, dosad neosvojivi, probijeni su.

A možda se to već moglo dogoditi, u drugim dijelovima Linuxa, a da to nitko nije primijetio. Bit će potrebno ponovno razmisliti o kontrolnim sustavima, možda koristeći više grupa paralelno kao u znanstvenim eksperimentima, možda uz pomoć umjetne inteligencije.

Jedno je sigurno: nova era kibernetičke sigurnosti započela je u travnju 2024.

Brazil je također sada pridružena država članica CERN-a
2024. u znaku sedamdeset godina CERN-a i inovacija
Science Gateway u CERN-u: impresivno putovanje u znanost

Stražnja vrata: Sveučilište u Helsinkiju
Sveučilište u Helsinkiju preseljeno je 1829. u današnju prijestolnicu Finske sa svoje izvorne lokacije u Åbou, gdje ga je 1640. osnovala Christina od Švedske kao kraljevsku akademiju
Finlandia Velika Britanija cjepkanje phishing Sjedinjene Američke Države