XZ बैकडोर: समय, अभिशप्त समय, और धोखे
- हाल ही में xz/liblzma tarball में छिपा हुआ एक बैकडोर खोजा गया।
- यह संभवतः free software ecosystem में भरोसे के सबसे बड़े उल्लंघनों में से एक है।
- माना जाता है कि यह बैकडोर xz के लंबे समय से maintainer रहे Jia Tan द्वारा डाला गया था।
- maintainer के रूप में काम करते समय Jia अपेक्षाकृत रहस्यमय व्यक्ति बना रहा, और उसकी वास्तविक पहचान के बारे में बहुत कम जानकारी है।
- free software क्षेत्र में anonymity को आम तौर पर सकारात्मक माना जाता है, लेकिन इस मामले में यह जानना दिलचस्प है कि वह कौन था जिसने लंबे समय तक community का भरोसा बनाया और फिर उसका दुरुपयोग किया।
- Jia की गतिविधियों से प्राप्त metadata के ज़रिए उसके बारे में और अधिक जाना जा सकता है।
समय से क्या सीखा जा सकता है?
- यह सोचना कि software किन परिस्थितियों में बनाया जाता है।
- समय के पैटर्न हमें क्या बताते हैं, इसका दायरा बहुत व्यापक है।
- code लिखने वालों में कुछ लोग इसे पेशे के तौर पर करते हैं और कुछ शौक के तौर पर।
- अलग-अलग क्षेत्रों के लोग अलग-अलग समय पर code लिखते हैं।
- छुट्टियाँ, नींद का schedule, work-life balance जैसी चीज़ों से code लिखना भी अछूता नहीं है।
- यह समझना कि कोई व्यक्ति code कब लिखता है, यह समझने में मदद करता है कि वह क्यों और कहाँ code लिखता है।
Jia के commits का विश्लेषण
- JiaT75 के XZ repository पर commits और timestamps का विश्लेषण किया गया।
- Git timestamps को मनचाहे तरीके से बदला जा सकता है, लेकिन समय से जुड़े डेटा को विश्वसनीय ढंग से हेरफेर करना वास्तव में कठिन है।
- वास्तविक समय बदलने की तुलना में केवल time zone बदलना आसान है।
- Jia Tan शायद चाहता था कि लोग उसे एशियाई, खासकर चीनी, समझें, और उसके अधिकांश commits (440) पर UTC+08 timestamp है।
- लेकिन अनुमान है कि वह वास्तव में UTC+02 (सर्दियों में) / UTC+03 (daylight saving time) time zone वाले किसी स्थान से था।
- कभी-कभी वह time zone बदलना भूल गया था, और यह पूर्वी यूरोप के daylight saving time बदलावों से मेल खाता है।
- Jia का work schedule और छुट्टियाँ चीन की तुलना में पूर्वी यूरोप के लोगों से अधिक मेल खाती दिखती हैं।
GN⁺ की राय
- यह लेख software development community में भरोसे और anonymity के महत्व पर एक दिलचस्प केस प्रस्तुत करता है।
- बैकडोर जैसे security threats open source projects की विश्वसनीयता को बड़ा झटका दे सकते हैं, और यह दिखाता है कि developers को code review और security audit पर अधिक ध्यान देना चाहिए।
- ऐसे घटनाक्रम developers को commit logs और metadata के महत्व की याद दिलाते हैं। भरोसेमंद contributors की पहचान की पुष्टि करना project की सुरक्षा के लिए आवश्यक हो सकता है।
- समान कार्यक्षमता देने वाले अन्य open source projects में GitLab, GitHub आदि शामिल हैं, जो community का भरोसा बनाए रखने के लिए security protocols और user authentication को मज़बूत कर रहे हैं।
- यह लेख दिखाता है कि tech community के भीतर anonymity और trust के बीच संतुलन खोजना कितना महत्वपूर्ण है। project managers और contributors को ऐसी घटनाओं से सीखना चाहिए और code की transparency तथा security बढ़ाने के लिए कदम उठाने चाहिए।
1 टिप्पणियां
Hacker News टिप्पणियाँ
पहली टिप्पणी का सार:
दूसरी टिप्पणी का सार:
तीसरी टिप्पणी का सार:
gcकमांड कोTZ=UTC0 git commitपर मैप करके इस्तेमाल करता है.चौथी टिप्पणी का सार:
पाँचवीं टिप्पणी का सार:
छठी टिप्पणी का सार:
सातवीं टिप्पणी का सार:
आठवीं टिप्पणी का सार:
नौवीं टिप्पणी का सार: