美国军方担忧开源软件被敌对势力操控

美国军方担忧开源软件被敌对势力操控 可以毫不夸张地说，整个世界都是建立在Linux内核之上的尽管大多数人从未听说过它。... 内核也是开源的，意味着任何人都可以编写、阅读和使用其代码。这让美国军方的网络安全专家感到非常担心。它的开源性质意味着Linux内核连同其他许多关键的开源软件都暴露在敌对势力的操纵之下，而我们对这种操纵的方式还不甚了解。 现在，美国军方的研究部门DARPA希望了解使这些开源项目运作的代码和社区的碰撞，以便更好地了解它们面临的风险。其目标是能够有效地识别恶意行为者，并在为时过晚之前防止他们破坏或损坏至关重要的开源代码。DARPA的 "SocialCyber "计划是一个为期18个月、耗资数百万美元的项目，它将结合社会学和人工智能方面的最新技术进展，绘制、理解和保护这些大规模的开源社区和他们创造的代码。它与以前的大多数研究不同，因为它结合了对开源软件的代码和社会层面的自动分析。 以下是SocialCyber计划的运作方式。DARPA与多个所谓的 "执行者 "团队签订了合同，包括具有深厚技术实力的小型精品网络安全研究机构。总部设在纽约的Margin Research就是这样一个执行者，它为这项任务组建了一支备受尊敬的研究团队。Margin Research专注于Linux内核，部分原因是它是如此之大，如此之关键，在这里成功，在这种规模下，意味着你可以在其他地方成功。我们的计划是分析代码和社区，以便将整个生态系统可视化并最终理解它。 Margin的工作映射出谁在为开源项目的哪些具体部分工作。例如，华为目前是Linux内核的最大贡献者。另一个贡献者为Positive Technologies工作，这是一家俄罗斯网络安全公司，和华为一样，已经被美国政府制裁了，Aitel说。Margin还绘制了由NSA雇员编写的代码，其中许多人参与了不同的开源项目。"这个话题让我很难受，"德安托万谈到对更好地了解开源运动的追求时说，"因为，说实话，即使是最简单的事情，对这么多重要的人来说也显得如此新颖。政府只是刚刚意识到，我们的关键基础设施正在运行的代码，可能真的是由被制裁的实体编写的。就在此时。" 这种研究还旨在发现投资不足即完全由一两个志愿者运行的关键软件。这比你想象的要普遍 如此普遍，以至于目前软件项目衡量风险的一种常见方式是 "总线因素"。如果只有一个人被公车撞了，整个项目会不会崩溃？ SocialCyber也将处理其他开源项目，例如Python，它 "被用于大量的人工智能和机器学习项目"，报告指出。"希望更多的了解将使我们更容易防止未来的灾难，无论它是否是由恶意活动造成的"。

美国军方担忧开源软件被敌对势力操控

美国军方担忧开源软件被敌对势力操控 可以毫不夸张地说，整个世界都是建立在Linux内核之上的尽管大多数人从未听说过它。... 内核也是开源的，意味着任何人都可以编写、阅读和使用其代码。这让美国军方的网络安全专家感到非常担心。它的开源性质意味着Linux内核连同其他许多关键的开源软件都暴露在敌对势力的操纵之下，而我们对这种操纵的方式还不甚了解。 现在，美国军方的研究部门DARPA希望了解使这些开源项目运作的代码和社区的碰撞，以便更好地了解它们面临的风险。其目标是能够有效地识别恶意行为者，并在为时过晚之前防止他们破坏或损坏至关重要的开源代码。DARPA的 "SocialCyber "计划是一个为期个月、耗资数百万美元的项目，它将结合社会学和人工智能方面的最新技术进展，绘制、理解和保护这些大规模的开源社区和他们创造的代码。它与以前的大多数研究不同，因为它结合了对开源软件的代码和社会层面的自动分析。 以下是SocialCyber计划的运作方式。DARPA与多个所谓的 "执行者 "团队签订了合同，包括具有深厚技术实力的小型精品网络安全研究机构。总部设在纽约的Margin Research就是这样一个执行者，它为这项任务组建了一支备受尊敬的研究团队。Margin Research专注于Linux内核，部分原因是它是如此之大，如此之关键，在这里成功，在这种规模下，意味着你可以在其他地方成功。我们的计划是分析代码和社区，以便将整个生态系统可视化并最终理解它。 Margin的工作映射出谁在为开源项目的哪些具体部分工作。例如，华为目前是Linux内核的最大贡献者。另一个贡献者为Positive Technologies工作，这是一家俄罗斯网络安全公司，和华为一样，已经被美国政府制裁了，Aitel说。Margin还绘制了由NSA雇员编写的代码，其中许多人参与了不同的开源项目。"这个话题让我很难受，"德安托万谈到对更好地了解开源运动的追求时说，"因为，说实话，即使是最简单的事情，对这么多重要的人来说也显得如此新颖。政府只是刚刚意识到，我们的关键基础设施正在运行的代码，可能真的是由被制裁的实体编写的。就在此时。" 这种研究还旨在发现投资不足即完全由一两个志愿者运行的关键软件。这比你想象的要普遍 如此普遍，以至于目前软件项目衡量风险的一种常见方式是 "总线因素"。如果只有一个人被公车撞了，整个项目会不会崩溃？ SocialCyber也将处理其他开源项目，例如Python，它 "被用于大量的人工智能和机器学习项目"，报告指出。"希望更多的了解将使我们更容易防止未来的灾难，无论它是否是由恶意活动造成的"。

Linux 6.6 中的 SELinux 删除了有关其起源于美国国家安全局的引用

Linux 6.6 中的 SELinux 删除了有关其起源于美国国家安全局的引用 二十年来，安全增强型 Linux（SELinux）一直是主线内核的一部分，它提供了一个实施访问控制安全策略的安全模块，现在已被广泛用于增强生产型 Linux 服务器和其他系统的安全性。接触 Linux 时间不长的人可能不知道 SELinux 源自美国国家安全局（NSA）。但现在，Linux 6.6 已经删除了对 NSA 的引用。 NSA 参与了安全增强型 Linux 的原始代码开发，是主要的原始开发者。多年来，NSA 一直在为 SELinux 做贡献，而随着 SELinux 被越来越多地采用，许多个人和组织也为 SELinux 做出了贡献。 在过去的十年中，由于各种丑闻，NSA 受到了很多负面新闻的影响，一些开源爱好者对 NSA 参与 SELinux 提出了质疑，并发表了其他批评意见。虽然仍有 NSA 的开发人员参与 SELinux，但从 Linux 6.6 开始，“NSA”的引用将被删除，这在一定程度上反映出 SELinux 并不是 NSA 独有的事实。 因此，从 Linux 6.6 开始，将不再有任何 NSA SELinux 引用。

一名志愿者如何阻止恶意后门暴露全球Linux系统

一名志愿者如何阻止恶意后门暴露全球Linux系统 正如Ars Technica在其详尽的回顾中所指出的，罪犯一直在公开进行该项目，潜伏时间已两年有余。这个被植入 Linux 远程登录的漏洞只暴露了自己的一个密钥，因此可以躲过公共计算机的扫描。正如本-汤普森（Ben Thompson）在《战略》（Stratechery）杂志上写道："世界上绝大多数电脑都存在漏洞，却无人知晓"。XZ 后门被发现的故事始于 3 月 29 日凌晨 旧金山的微软开发人员安德烈斯-弗罗因德在 Mastodon 上发帖并向 OpenWall 的安全邮件列表发送了一封电子邮件，标题为"上游 xz/liblzma 中的后门导致 ssh 服务器被入侵"Freund 是 PostgreSQL（一种基于 Linux 的数据库）的"维护者"，他在过去几周的测试中发现了一些奇怪的现象。XZ压缩库的一部分 liblzma 的加密登录占用了大量 CPU。弗罗因德在 Mastodon 上写道，他使用的所有性能工具都没有发现任何问题。这立刻让他产生了怀疑，他想起了几周前一位Postgres用户对Valgrind（Linux检查内存错误的程序）的"奇怪抱怨"。经过一番调查，Freund 最终发现了问题所在。弗罗因德在邮件中指出："上游 xz 代码库和 xz 压缩包都被做了后门。恶意代码存在于 5.6.0 和 5.6.1 版本的 xz 工具和库中。"不久之后，企业级开源软件公司红帽（Red Hat）向 Fedora Rawhide 和 Fedora Linux 40 的用户发出了紧急安全警报。最终，该公司得出结论，Fedora Linux 40 测试版包含两个受影响的 xz 库版本。Fedora Rawhide 版本很可能也收到了 5.6.0 或 5.6.1 版本。请立即停止在工作或个人活动中使用任何 Fedora Rawhide 实例。Fedora Rawhide 将很快恢复到 xz-5.4.x，一旦恢复完成，Fedora Rawhide 实例就可以安全地重新部署了。尽管免费 Linux 发行版 Debian 的一个测试版包含了被破解的软件包，但其安全团队还是迅速采取了行动，将其恢复了原样。"Debian的Salvatore Bonaccorso在周五晚上向用户发出的安全警报中写道："目前还没有Debian稳定版本受到影响。弗罗因德后来确认，提交恶意代码的人是两名主要 xz Utils 开发人员之一，即 JiaT75 或 Jia Tan。"鉴于几周来的活动，提交者要么是直接参与其中，要么是他们的系统受到了相当严重的破坏。"弗罗因德在分析中写道："不幸的是，后者看起来不太可能，因为他们在各种列表上交流了上述'修复'方法。"JiaT75 是一个耳熟能详的名字：他们曾与 .xz 文件格式的原始开发者 Lasse Collin 并肩工作过一段时间。程序员拉斯-考克斯（Russ Cox）在他的事件时间轴页面中指出，2021 年 10 月，JiaT75 开始向 XZ 邮件列表发送看似合法的补丁。几个月后，该计划的其他部分开始展开，另外两个身份，Jigar Kumar 和 Dennis Ens，开始通过电子邮件向科林抱怨漏洞和项目发展缓慢。然而，正如Evan Boehs等人在报告中指出的，"Kumar"和"Ens"从未在 XZ 社区之外出现过，这让调查人员相信这两个人都是假冒的，他们的存在只是为了帮助贾炭就位，以交付被破解的代码。Jigar Kumar"向 XZ Utils 开发商施压，要求其放弃项目控制权的电子邮件"我对你的精神健康问题感到遗憾，但意识到自己的极限很重要。我知道这对所有贡献者来说都是一个业余项目，但社区需要更多。"恩斯在一条信息中写道，而库马尔则在另一条信息中说："在有新的维护者之前，不会有任何进展。"在这来来回回的过程中，柯林斯写道："我并没有失去兴趣，但主要由于长期的精神健康问题，也由于其他一些事情，我的照顾能力受到了相当大的限制"，并建议贾坦承担更大的角色。"他最后说："最好记住，这是一个无偿的业余项目。"来自"Kumar"和"Ens"的邮件持续不断，直到那年晚些时候，Tan 被添加为维护者，能够进行修改，并尝试将 backdoored 软件包以更权威的方式发布到 Linux 发行版中。xz 后门事件及其后果既体现了开放源代码的魅力，也是互联网基础设施中一个引人注目的漏洞。流行的开源媒体软件包 FFmpeg 的开发者在一条推文中强调了这一问题，他说："xz 事件表明，对无偿志愿者的依赖会导致重大问题。价值数万亿美元的公司希望从志愿者那里获得免费的紧急支持"。他们还带来了收据，指出他们是如何处理影响 Microsoft Teams 的"高优先级"漏洞的。"尽管微软依赖其软件，但该开发人员写道："在礼貌地要求微软提供长期维护的支持合同后，他们却提出一次性支付几千美元......维护和可持续发展方面的投资并不性感，可能不会给中层经理带来升职机会，但多年后会得到成千上万倍的回报"。关于"JiaT75"的幕后黑手、他们如何实施计划以及破坏程度的详细信息，正在被一大批开发人员和网络安全专业人员在社交媒体和在线论坛上挖掘出来。但是，这一切都离不开许多因使用安全软件而受益的公司和组织的直接资金支持。 ... PC版： 手机版：