Očekivano,

I rekao bih da je ovaj backdoor zapravo bug ili nesigurnost u sistemu github.

jer : 

  Normally upstream publishes release tarballs that are different than the automatically generated ones in GitHub. In these modified tarballs, a malicious version of build-to-host.m4 is included to execute a script during the build process.

Ili prevedeno korisnik ide na download release paketa, a on ne mora odgovarati onome što je u source kodu.

Doslovno u release možeš staviti bilo kakav malware i nitko ne provjerava.

O sofisticiranosti dovoljno govori da je lik, odnosno ekipa koja stoji iza ovoga, dodavala patcheve u valgrind i oss-fuzz kako bi zaobišli greške i detekciju.

Po meni je veći problem što su uobičajen način funkcioniranja razvoja softvera otvorenog koda na osobito podmukao način iskoristili za ubacivanje "backdoora".

Srećom, pa ima "frikova" kojima pola sekunde duže ulogiravanje na ssh dovoljan poticaj da dublje istraže što se to točno događa.

Već dugo nismo imalo ovako sočnu informatičku vijest! 

Pohvale za ekipu iza Jia T75. Pravi špijuski poduhvat s tihom infiltracijom, zadobivanjem povjerenja zajednice i onda ubacivanjem svojeg koda. 

Naravno, veće priznanje ide Andreasu,koji je ovdje ispao pravi James Bond, imao je "nos za" pronaći problem.

Kod mene na poslu pola softwarea su Open Source 3th-party biblioteke. Neke naše mušterije pozivaju se na ugovor i očekuju da se mi brinemo da je sve OK. Druge pak skeniraju naš software i propituju zašto nismo aktualizirali neke biblioteke. Treći pak zahtvjeaju da koristimo isključivo biblioteke iz njihovog repozitorija i kad želiomo noviju verziju prvo se moramo s njim dogvooriti.

Meni je najzanimljiviji dio priče da nisu odmah optuženi Rusi ili Kinezi što obično znači da je to maslo troslovnih agencija troslovne države.

 Možda na Bug-u ali razni stručljaci već znaju sve : 

 There’s a lot more. The sophistication of both the exploit and the process to get it into the software project scream nation-state operation. It’s reminiscent of Solar Winds, although (1) it would have been much, much worse, and (2) we got really, really lucky.

This particular guru suspects that the SVR, the Russian foreign intelligence service behind the SolarWinds penetration of US government networks, might even have played a role in the attack.

ku*ca ne kužim...

 Prvi dio je apsolviran u ovom članku. A nije da pratim samo BUG, čitao sam o tome već puno prije u ozbiljnim zapadnim novinama.

Druga rečenica je samo bacanje udica; nitko na zapadu ne tvrdi da ima ikakve dokaze o identietu i to je taj dio tišine koji glasno viče onima koji su voljni slušati. Sjeti se kako je išla storija sa miniranjem Sjevernog toka. 

U korijenu svega je čovjekova potreba da koristi ono što ne razumije.

 Ide to u oba smjera, ako sam dobro shvatio šta želiš reći.

Drugo, ljudi općenito moraju koristiti ono što ne razumiju; svijet je previše kompliciran ili sofisticiran da bi svi razumjeli sve s čime moraju imati posla.

Da, mi trenutno , da.

Inače postoji cijeli spektar koliko si daleko spreman ići u korištenju onoga što ne razumiješ.

Mi kao kolektivni zapad smo u tome daleko dogurali, ali vjerojatno postoji još i jača razina.

Koji dio ne razumijete? Microsoft je hakiran, u linux je ubačen maliciozni kod od JiaT75. Ajmo zavjere oko svega, Linus Torvalds je sam ubacio maliciozni kod da se potpiri priča o sigurnosti... U realnosti kinezi i rusi udaraju kako god mogu.

A što ako se radi o peteroslovnoj agenciji jedne šesteroslovne države? 

 Ista stvar. Ništa nije isključeno. Ali, kad znamo kako javni dio priče funkcionira, uzmemo u obzir prethodne događaje i REAKCIJU na njim te ekstremno napetu situacije između tri glavna igrača, moj zaključak je najvjerojatniji. Uz ogradu - prema onom što je do sada objavljeno. Postoji mogućnost da je dio priče zamagljen kako bi se nekoga uhitilo u skorije vrijeme, ali otom-potom

Jedan moj prijatelj, inače vrstan inženjer, još prije 20+ godina je rekao "znajući kako se radi, kakvi ljudi projektiraju i programiraju, kakve sve firme proizvode hardver, pravo je čudo da išta funkcionira".
I bio je u pravu.
A na sve to još golema količina malicioznih...

Koristim Linux već godinama, i ne bih se mogao pohvalit da znam teoriju kako se vodi Open Source projekt, a još manje kako se započinje.

A još manje konkretno tko vodi Debian Linux na primjer. 

Ali mislim da je u srži svega taj source tarball, kojeg kontrolira vođa projekta,

ostali samo povuku source tarball nešto izmjene i šalju natrag razliku. (preko e-maila često)

Onda ovaj vođa odluči hoće li "spojiti" sa svojim tarball-om. ili neće.

A hardwer to se zna, to proizvode kinezi, taiwanci po naruđbi zapadnjaka.

Ne znam je li čudo ili nije što išta funkcionira. Mislim da nije. jer se sve sastoji od manjih blokova koji su vrlo dobro provjereni, razumljivi i testirani.

Totalno se slazem sa tvojim prijateljem.

Pogotovo bih dodao sto se tice sigurnosti je sve samo ne ono sto velika vecina misli da jeste.

Kako kazu lanac je jak koliko najslabija karika u njemu, a u svakoj firmi ima svega i svacega, i kad ih upozoris na njihovu bahatost prema sigurnosnim problemima koje stvaraju samo se podrugljivo nasmiju kao da si pao sa marsa sto obracas paznju na takve banalnosti.

Ono sto je sreca u nesreci jeste da bi iskoristio situaciju treba ti ipak znanje, a oni koji imaju znanje vecinom nisu kriminalne osobe i vecinom dovoljno zaradjuju da nemaju potrebu da se izlazu riziku.

 Mossad ima šest solova! :-)

Ne znam baš, Mossad je na engleskom, a original je המוסד למודיעין ולתפקידים מיוחדים. A pitanje je koliko je to slova.