Backdoor XZ: Waktu, Waktu yang Terkutuk, dan Tipuan-tipuan

 (rheaeve.substack.com)
2 poin oleh GN⁺ 2024-04-01 | 1 komentar | Bagikan ke WhatsApp

Backdoor XZ: Waktu, Waktu yang Terkutuk, dan Tipuan-tipuan

  • Backdoor tersembunyi baru-baru ini ditemukan dalam tarball xz/liblzma.
  • Ini kemungkinan merupakan salah satu pelanggaran kepercayaan terbesar dalam ekosistem perangkat lunak bebas.
  • Backdoor tersebut diduga disisipkan oleh Jia Tan, pemelihara lama xz.
  • Selama aktif sebagai pemelihara, Jia tetap menjadi sosok yang relatif misterius, dan hampir tidak ada yang diketahui tentang identitas aslinya.
  • Dalam dunia perangkat lunak bebas, anonimitas umumnya dipandang positif, tetapi dalam kasus ini menarik untuk mengetahui siapa orang yang telah lama membangun kepercayaan komunitas lalu menyalahgunakannya.
  • Melalui metadata yang dapat diperoleh dari aktivitas Jia, kita bisa mengetahui lebih banyak tentang dirinya.

Apa yang bisa dipelajari dari waktu?

  • Memikirkan kondisi di mana perangkat lunak dibuat.
  • Rentang hal yang dapat diceritakan oleh pola waktu kepada kita sangat luas.
  • Di antara orang-orang yang menulis kode, ada yang melakukannya sebagai pekerjaan dan ada juga yang melakukannya sebagai hobi.
  • Ada juga orang yang menulis kode pada waktu yang berbeda tergantung wilayahnya.
  • Hari libur, jadwal tidur, keseimbangan kerja dan hidup, dan penulisan kode pun tidak bebas dari hal-hal ini.
  • Memahami kapan seseorang menulis kode membantu kita memahami mengapa dan dari mana mereka menulis kode.

Analisis commit Jia

  • Dilakukan analisis terhadap commit dan timestamp JiaT75 pada repositori XZ.
  • Timestamp Git bisa diubah sesuka hati, tetapi memanipulasi data waktu secara meyakinkan sebenarnya sulit.
  • Mengubah zona waktu lebih mudah daripada mengubah waktu yang sebenarnya.
  • Jia Tan tampaknya ingin orang-orang menganggapnya sebagai orang Asia, khususnya orang Tiongkok, dan sebagian besar commit-nya (440) memiliki timestamp UTC+08.
  • Namun, sebenarnya ia diduga berasal dari suatu tempat di zona waktu UTC+02 (musim dingin)/UTC+03 (waktu musim panas).
  • Ada kalanya ia lupa mengubah zona waktu, dan ini sesuai dengan peralihan waktu musim panas di Eropa Timur.
  • Jadwal kerja dan hari libur Jia tampak lebih cocok dengan orang Eropa Timur daripada orang Tiongkok.

Pendapat GN⁺

  • Artikel ini memberikan studi kasus yang menarik tentang pentingnya kepercayaan dan anonimitas dalam komunitas pengembangan perangkat lunak.
  • Ancaman keamanan seperti backdoor dapat sangat merusak keandalan proyek open source, yang berarti para pengembang perlu memberi perhatian lebih pada code review dan audit keamanan.
  • Peristiwa seperti ini mengingatkan para pengembang akan pentingnya log commit dan metadata. Memverifikasi identitas kontributor tepercaya dapat menjadi hal yang esensial bagi keamanan proyek.
  • Proyek open source lain yang menyediakan fungsi serupa antara lain GitLab dan GitHub, yang memperkuat protokol keamanan dan autentikasi pengguna untuk menjaga kepercayaan komunitas.
  • Artikel ini menunjukkan betapa pentingnya menemukan keseimbangan antara anonimitas dan kepercayaan di dalam komunitas teknologi. Pengelola proyek dan kontributor perlu belajar dari kejadian seperti ini dan mengambil langkah untuk memperkuat transparansi serta keamanan kode.

Bacaan terkait

1 komentar

 
GN⁺ 2024-04-01
Opini Hacker News

  • Ringkasan komentar pertama:

    • Penulis komentar tidak menganggap peretas itu berasal dari Eropa Timur, dan menyebut negara-negara Eropa serta kawasan Timur Tengah yang termasuk dalam zona waktu UTC+0200/+0300.
    • Jika ini adalah serangan siber yang didukung negara, departemen yang benar-benar menulis kode dan departemen yang menghubungkannya ke internet bisa saja terpisah, dan yang terakhir mungkin berperan menyesuaikan waktu agar informasi asal cocok dengan narasi tertentu.

  • Ringkasan komentar kedua:

    • Penulis komentar menyebut bahwa zona waktu GMT+8, nama yang bercampur dengan bahasa Tionghoa, dan koneksi melalui server Singapura dapat menunjukkan identitas Singapura.
    • Disebutkan juga bahwa orang-orang Tiongkok daratan mungkin tidak begitu mengenal komunitas Tionghoa perantauan, sehingga masih ada ruang untuk meragukan pendapat bahwa nama tersebut terdengar palsu.
    • Ia mengusulkan bahwa menganalisis tulisan Jia Tan lainnya dapat membantu membedakan apakah ia orang Singapura, Tiongkok daratan, atau pengguna bahasa Slavia.

  • Ringkasan komentar ketiga:

    • Penulis komentar mengatakan bahwa karena ia sering bepergian, ia tidak ingin jadwal perjalanannya terekspos di repositori publik, sehingga ia memetakan perintah gc ke TZ=UTC0 git commit untuk digunakan.

  • Ringkasan komentar keempat:

    • Terlepas dari seberapa serius insiden ini, penulis komentar merasa sangat tertarik dengan proses memecahkan misteri yang terjadi di internet.

  • Ringkasan komentar kelima:

    • Penulis komentar menyampaikan kata-kata penyemangat kepada Jia, dan mengatakan bahwa jika tidak mencoba, bahkan tidak akan ada kesempatan untuk berhasil.

  • Ringkasan komentar keenam:

    • Penulis komentar menunjukkan bahwa selisih waktu antara dua commit tersebut sekitar 1 jam, bukan sekitar 9 jam.

  • Ringkasan komentar ketujuh:

    • Penulis komentar menyebut bahwa dirinya juga bekerja pada pagi sangat awal, sambil mengatakan bahwa akan lebih masuk akal jika peretas atau orang muda bekerja pada sore hari atau larut malam.

  • Ringkasan komentar kedelapan:

    • Penulis komentar menyarankan agar timestamp balasan ke mailing list juga disertakan.

  • Ringkasan komentar kesembilan:

    • Penulis komentar mengajukan asumsi bahwa seorang Amerika (atau seseorang dari tempat lain) bisa berpura-pura menjadi orang Eropa Timur sambil berpura-pura menjadi orang Tiongkok.