tux-हॅकर
XZ मधील घटना निःसंशयपणे छाप सोडेल जे अनेक वर्षे लक्षात राहील आणि तेच आहे त्या वेळी उल्लेख एका लेखात जिथे आम्ही घटनेचा पाठपुरावा शेअर करतो, «जिया टॅनने केलेले काम es उपयोजित सामाजिक अभियांत्रिकीच्या सर्वोत्तम उदाहरणांपैकी एक» आणि भविष्यात ज्ञात होणाऱ्या इतर अनेक प्रयत्नांचा आणि प्रकरणांचा तो आधार असेल.
हे हे असे काहीतरी आहे ज्याबद्दल विकासक, प्रकल्प आणि पाया दोन्ही यावेळी अगदी स्पष्ट आहेत., आणि त्यांनी अमलात आणलेले मोठे प्रयत्न आणि बदल असूनही, अशी अनेक पॅकेजेस आणि प्रकल्प आहेत ज्यात कर्मचारी आणि त्यांच्याकडे असलेल्या देखभालकर्त्यांची कमतरता XZ सारखीच आहे.
ही प्रकरणे आधीच येऊ लागली आहेत आणि OpenSSF (ओपन सोर्स सिक्युरिटी फाउंडेशन, ओपन सोर्स सॉफ्टवेअरची सुरक्षा सुधारण्यासाठी लिनक्स फाऊंडेशनच्या आश्रयाने तयार केलेली संस्था) या प्रकारचा क्रियाकलाप तुम्ही आधीच लक्षात घ्यायला सुरुवात केली आहे, लोकप्रिय मुक्त स्त्रोत प्रकल्पांवर नियंत्रण मिळवण्याच्या प्रयत्नांशी संबंधित चिंताजनक क्रियाकलापांबद्दल अलीकडेच समुदायाला चेतावणी दिली आहे.
En xz वरील हल्ल्यासारखीच घटना अज्ञात व्यक्तींनी केल्याचे समोर आले आहे पूर्वी मुक्त स्रोत विकासात ओपन सोर्स सॉफ्टवेअर प्रकल्प हाताळण्याचा आणि नियंत्रित करण्याचा प्रयत्न केला. या व्यक्तींनी गव्हर्निंग कौन्सिलच्या सदस्यांशी संवाद साधण्यासाठी सामाजिक अभियांत्रिकी पद्धती वापरल्या OpenJS फाउंडेशन कडून, JavaScript प्रकल्प विकसित करण्यासाठी एक तटस्थ व्यासपीठ.
या व्यक्ती संशयास्पद ट्रॅक रेकॉर्डसह तृतीय-पक्ष विकासकांचा समावेश आहे मुक्त स्त्रोत विकासामध्ये. त्यांच्या संदेशांमध्ये, ते OpenJS व्यवस्थापनाला लोकप्रिय JavaScript प्रकल्पांपैकी एक अद्ययावत करण्याच्या तातडीच्या गरजेबद्दल पटवून देण्याचा प्रयत्न करत होते. त्यांनी दावा केला की गंभीर असुरक्षांविरूद्ध संरक्षण जोडण्यासाठी अद्यतन आवश्यक आहे, जरी त्यांनी या असुरक्षांबद्दल विशिष्ट तपशील प्रदान केले नाहीत.
प्रस्तावित बदलांची अंमलबजावणी करण्यासाठी, संशयित विकासकाने प्रकल्पाच्या देखभाल करणाऱ्यांमध्ये समाविष्ट करण्याची ऑफर दिली, जरी त्या क्षणापर्यंत विकासामध्ये मर्यादित भूमिका होती. याव्यतिरिक्त, OpenJS शी संबंधित नसलेल्या इतर दोन लोकप्रिय JavaScript प्रकल्पांमध्ये संशयास्पद कोड प्रयत्नांची समान प्रकरणे आढळून आली.
यामुळे ओपनएसएसएफ (ओपन सोर्स सिक्युरिटी फाउंडेशन) आणि OpenJS (ओपनजेएस फाउंडेशन) चेतावणी जारी केली आहे सर्व डेव्हलपर आणि ओपन सोर्स प्रकल्पांचे देखभाल करणाऱ्यांनी खालील संशयास्पद नमुन्यांकडे लक्ष दिले पाहिजे जे प्रकल्पावर नियंत्रण ठेवण्याचा प्रयत्न दर्शवू शकतात.
तुमच्या ओपन सोर्स प्रकल्पाचे संरक्षण कसे करावे?
ओपनएसएसएफने नमूद केले आहे की ओपन सोर्स प्रकल्पांच्या सहयोगी स्वरूपामुळे, हे त्यांना असुरक्षिततेच्या मालिकेसाठी प्रवण बनवते ज्याचा फायदा हल्लेखोर घेऊ शकतात, म्हणूनच ते सर्वात सामान्य असुरक्षिततेची सूची सामायिक करते ज्याचा हल्लेखोर सामाजिक लागू करण्यासाठी फायदा घेतात. अभियांत्रिकी
प्रयत्नांमध्ये संशयास्पद नमुने:
- कालबाह्य अवलंबित्व: सर्वात सामान्य असुरक्षांपैकी एक म्हणजे कालबाह्य अवलंबनांचा वापर.
- मैत्रीपूर्ण परंतु आक्रमक आणि चिकाटीचे वर्तन: तुलनेने अज्ञात समुदाय सदस्य देखभाल करणाऱ्या किंवा ते होस्ट करणाऱ्या संस्थेचा (फाऊंडेशन किंवा कंपनी) मागे जाण्याचा प्रयत्न करतो.
- रँकमध्ये वाढ करण्याची विनंती: नवीन किंवा अनोळखी लोक प्रकल्पातील योगदानाचा महत्त्वपूर्ण इतिहास नसताना प्रमोशनसाठी अर्ज करतात.
- इतर अज्ञात समुदाय सदस्यांकडून समर्थन: हल्लेखोर त्यांच्या विनंत्यांना समर्थन देण्यासाठी आणि विश्वासाची खोटी भावना निर्माण करण्यासाठी खोट्या ओळखीचा वापर करू शकतात.
- पुल विनंत्या: दुर्भावनापूर्ण फाइल्स बायनरी किंवा ब्लॉबमध्ये लपवल्या जाऊ शकतात, ज्यामुळे त्यांना शोधणे कठीण होते.
- हेतुपुरस्सर अस्पष्ट किंवा स्त्रोत कोड समजण्यास कठीण: कोड पुनरावलोकन कठीण करणे आणि संभाव्य भेद्यता लपवणे हे ध्येय आहे.
- सुरक्षा समस्या हळूहळू वाढणे: हल्लेखोर किरकोळ असुरक्षा सादर करून सुरुवात करू शकतो आणि नंतर अधिक गंभीर समस्यांकडे जाऊ शकतो.
- ठराविक प्रकल्प संकलन, बांधकाम आणि उपयोजन पद्धतींपासून विचलन: हे विचलन दुर्भावनायुक्त कोड बायनरीमध्ये घालण्याची अनुमती देऊ शकतात.
निकडीची निकड आक्रमणकर्ता संहितेचे कर्सरी पुनरावलोकन करण्यासाठी देखभालकर्त्यावर दबाव आणण्यासाठी तातडीचे वातावरण तयार करू शकतो.
हे सामाजिक अभियांत्रिकी आक्रमणे त्यांच्या प्रकल्प आणि समुदायांप्रती देखभाल करणाऱ्यांच्या कर्तव्याच्या भावनेचा फायदा घेण्याचा प्रयत्न करतात, कारण ते बदल सादर करण्यासाठी दबाव निर्माण करून, असुरक्षितता सोडवण्यासाठी किंवा अत्यंत आग्रही असलेल्या सदस्यावर अधिक विश्वास ठेवण्यासाठी, ते बनवतात. संबंधित चाचण्या सत्यापित करण्यापूर्वी किंवा पार पाडण्यापूर्वी प्रभारी व्यक्ती किंवा प्रभारी लोक स्वीकारतात.
आपण असल्यास मीयाबद्दल अधिक जाणून घेण्यात स्वारस्य आहे, आपण तपशील तपासू शकता खालील दुवा.