Should You Update? Critical Backdoor In Linux Servers

📌 Databricks Data Intelligence Day 한국 이벤트 2024
- 4/23(화) 오전 9시 서울 코엑스 인터컨티넨탈 호텔
- 무료로 등록하기: dbricks.co/3Tbiz4T

거의 혼자 개발하고 있었던 개발자의 멘탈 이슈가 있는 점을 이용해서 가짜로 만들어진 사람들을 이용해 압박해서 목적을 이뤘다는 점이 매우 슬픕니다 😢 이번이 선의로 오픈소스에 기여하는 개발자들에게 시선을 환기하는 기회로 탈바꿈되길 기원해요

혼자서 관리하는 프로젝트가 리눅스에서 비중있게 사용되는 코드라니…
역시 컴퓨터 세계는 진짜 집단지성의 세계

프로세스 먹는다고 테스트파일까지 뜯어본 사람도 대단하네 ㅋㅋㅋ 마소 엔지니어면 시간도 없을텐데

쉬운 설명 감사합니다.

I love your videos! ❤ Thank you so much for bringing us such amazing content

7:06 xz --version을 돌리지 말고 시스템 패키지매니저를 쓰세요!!!
이 백도어가 sshd만 건드는지 아닌지 확실치 않은데 그대로 실행시키는건 리스크가 너무 큼
apt show xz-utils
dnf info xz

최고의 해킹은 역시 사회공학적 해킹이네요

좋은 설명 감사합니다. 보안 관련된 이슈들은 무서우면서도 어렵네요.

우분투같은 메이저 배포판에 통합되었다면 진짜 끔찍한 사고였겠네요... 공격주체가 누구인지, 무슨생각으로 이런 미친짓을 벌인건지 정말 궁금합니다...

해커라면 이런식의 침투를 생각해봤을텐데 긴 시간을 투자해서 실제로 실행해 옮기다니 .... 이로인해 오픈소스 커뮤니티가 더 단단해지는 계기가 될지 아니면 반대가 될지...

감사합니다🙏

해당 코드는 최신버전의 unstable 배포판 몇개에만 적용돼서 피해는 거의 없었습니다.

감사합니다!

소름돋네; 버전 바로 확인하고 왓습니다

아찔하네요

최근 읽은 정보보안 동향에서 오픈소스 프로젝트의 위험이라는 주제가 이 영상으로 한 번에 이해되었습니다.

최근에 xz 어쩌구 시끄럽길래 무슨일인가 했더니 소름돋네요 ㄷㄷ;;

아치리눅스 사용하다가 30일 새벽에 이메일 받고 깜짝 놀랐습니다. 아치 어나운스 메일링 리스트에 구독해두길 잘했네요.

XZ 이슈 찾아 볼려고 했는데 영상으로 해결. 요즘 댕댕이 안 보이네요 😢

영상을 이제야봤네요. 행사 신청하려고보니 마감 🥲

Hi Nicolas, would you also be able to please give us the cover on video your thoughts and how to use on the screenshot to code?

xz같은 패키지가 혼자 유지보수되고 있었다는것도 신기함

Redhat linux는 custermer portal에 패키지가 안올라오는이상 공식사이트에 올라오더라도 엔지니어들이 안하는데 있으려나요

몇달전부터 lzma포맷 공부하는중인데 2주전쯤인가 마침 터지더라구요

지아 탄 이름이 뭔가 중궈느낌나는데...

과연 이런게 이것밖에 없을까?

Thanks again Nico. I wish I was in Korea to register. I was surprised when the SQL database person found it not the programmer. I shall continue learn SQL also along with your courses

Social hacking의 아주 좋은 예시가 되었네요...너무 무섭다;;

저런 방식으로 권한을 탈취할 수도 있네 ㄷㄷ

와 이젠 페키징 스크립트도 보면서 리눅스 써야하나 ㅋㅋ 앞으로 테스트코드같은건 싹다 날릴가능성 높겠내 테스트용으로 따로 레포 뽑게하고

제기 알기로는 500ms의 불필요한 지연이라 하는데 사실 시스템자원을 필요이상으로 먹어서 그랬던거군요

선의에 대한 믿음을 기반으로 하는 오픈 소스 문화의 가장 아픈 곳을 찌른 사례인 것 같네요…

Jia Tan 커밋 이전 빌드 넘버 아시는 분 계신가요..

라세 콜린은 멘탈 가루도 안남았겠는데...?

와 ssh 권한 가로챌때 흔적이 안남았으면 아무것도 모른채 다 털렸을 수도 있겠네요..ㄷㄷ

xz가 이슈화 된 김에 말하자면, bzip2가 gz보다 느리지만 압축률이 높은거로 자리잡고 있었는데,
점점 xz가 그 자리를 차지하고 있어요. 느려도 너무 느려서 안쓰이고 있었는데,
pixz나 pxz라는 병렬 툴도 있고, cpu 갯수는 늘어나고 있다보니, 결국은 극단으로 갑니다.
빠른 압축과 느린 압축 이 둘 밖에 없네요.

리눅스의 로그 기록 시스템을 깨고 로그아웃하는건 해커들도 어려워한다는게 실질적인 구조

진짜 치밀했던게 git pull test를 . 하나를 추가해서 아예 test를 못하게 만들었음

내가 5.6.1 버전 사용하고 있는게 소름이네

진짜 선의를 바탕으로 운영되는 시스템에 악의 한방울이 큰영향을 끼치네..

중요한건 해킹을 한 사람의 이름…

헐 버전 바로 확인해보니까 5.6.1이네 ㅁㅊ

jia tan 이란 사람이 누군지 특정되기는 어렵겠죠? 인터넷상의 인물이니까?

저 사람은 돈 얼마나 받았을까

높은 수준의 computer science는 science라기 보단 art네요. 수년에 걸친 계획과 '적정 리소스 사용 수준'이라는 rule of thumb 이라니

어림도 없지
xz --version

어 제 xz 5.6.1 인데 이거 어떡해요? 일단 brew install xz 로 다운그레이드 했는데 이러면 안전할까요? ㄷㄷ 내 컴퓨터 다 들여다 봤을까?

어찌보면 컴퓨터 해킹이 아닌
휴먼 해킹이네

?!

그런데 반대로 이야기하면 3년을 공을 들여야 해킹이 가능했다라고 해석 가능할 여지도 있는거 아닐지?

3년간 존버할 정도면 북한놈들 아닐까.

Jia Tan이면 중국인일 가능성이 99%입니다

난 5.4.1 이네 근데 지아 탄 씨가 봐도 딱히 볼 건 없을 듯

엄청나게 치밀한 해킹이네요... 국가 단위에서 시도한 것은 아니었겠죠?

딴 거보다 중국 이름을 신뢰하면 안되겠다는 생각이 드는 건...
이참에 zstd로 갈아타야...

사회공학적 기법이 얼마나 무서운지를 다시 한 번 상기시키는 사건이군요

이런 식으로 장기간 치밀하게 수행하는 해킹 작업은 개인일 가능성이 없죠.
조금 찾아봤는데, Jia Tan은 러시아 정보기관 해킹그룹일 가능성이 가장 높다는 기사가 있습니다.
- 이름이 중국식이고 중국 타임라인을 사용했지만, 중동이나 동유럽 타임라인인 경우가 간혹 있고
- 동유럽 타임라인 기준으로 보면 아침 9시 ~ 저녁 5시 안에 작업을 했으니, 업무시간 외 작업이 아니고
- 개인 보안이 철저해서 이 사람을 추적할 단서가 거의 없다
이런 내용이었네요.

설마 중국 또 너야?

jia tan.. 중국인인가?

오픈소스는 걍 기업 단위로 관리되는게 최선인듯..

코엑스의 컨벤션호텔같은 곳은 잘쓰고 용산은 찬밥취급. 그렇다고 이벤트쓴다고 기사가 나온적도 없다.
쓰면 용산 상업 파워의 힘이라 하지만. 머릿속 세뇌는 용산에 그런거?

무료 공유는 과연 아름답고 옳은 일인가?
세상에, 우주에 공짜는 없다는 절대명제에 대한 "다른'" 의견은 "틀림" 일 뿐이다.
원인 없이 결과가 존재할 수 있나?
도덕과 논리의 회복이 필요하다.