Read 8 remaining paragraphs | Comments

Interesting social-engineering attack vector :

McAfee released a report on a new LUA malware loader distributed through what appeared to be a legitimate Microsoft GitHub repository for the “C++ Library Manager for Windows, Linux, and MacOS,” known as vcpkg .

The attacker is exploiting a property of GitHub: comments to a particular repo can contain files, and those files will be associated with the project in the URL.

What this means is that someone can upload malware and “attach” it to a legitimate and trusted project.

As the file’s URL contains the name of the repository the comment was created in, and as almost every software company uses GitHub, this flaw can allow threat actors to develop extraordinarily crafty and trustworthy lures.

For example, a threat actor could upload a malware executable in NVIDIA’s driver installer repo that pretends to be a new driver fixing issues in a popular game. Or a threat actor could upload a file in a comment to the Google Chromium source code and pretend it’s a new test version of the web browser.

These URLs would also appear to belong to the company’s repositories, making them far more trustworthy.

Vous en avez ras le bol de chercher pendant des heures le bouquin que vous voulez lire sans le trouver dans le commerce ? Pourquoi ne pas le télécharger en ligne alors ? Mais oùùùù ?

Et bien, j’ai peut-être une solution pour vous les amis et ça s’appelle sans chichi ebook-demo , un nouveau projet de moteur de recherche décentralisé pour les livres électroniques, inspiré de Liber3 (qui est un projet aux sources fermées).

Imaginez un peu le truc : vous tapez le titre du livre que vous cherchez dans la barre de recherche, vous cliquez sur « Search » et BAM, les résultats s’affichent juste en dessous avec le titre et l’auteur de chaque bouquin correspondant. C’est simple, efficace et ça marche du tonnerre !

Mais attendez, c’est pas tout. Ce qui rend ce projet encore plus cool, c’est qu’il est basé sur des technologies comme React et le SDK Glitter (pour la blockchain du même nom qui sert de base de données décentralisée).

Bon, je vois déjà les petits malins qui se disent « Ok, c’est bien beau tout ça, mais comment ça s’installe concrètement ? « . Pas de panique, c’est là que ça devient un peu technique mais je vais essayer de vous expliquer ça simplement. Déjà, pour faire tourner ce projet sur votre machine, il vous faudra avoir installé Node.js en version 16.x minimum et npm en version 6.x minimum. Ensuite, vous devrez cloner le dépôt du projet depuis GitHub avec la commande

git clone https://github.com/j2qk3b/ebook-demo

puis vous placer dans le dossier du projet avec

cd ebook-demo

Là, vous lancez un petit

npm install

pour installer toutes les dépendances nécessaires et vous êtes prêt à démarrer le serveur de développement avec

npm run dev

Et voilà, si tout se passe bien, vous devriez pouvoir accéder à l’application sur http://localhost:5173 .

Fastoche, non ? Ensuite, votre instance ira se connecter aux autres instances, et vous pourrez faire toutes les recherches qui vous passent par la tête. Imaginez un peu les possibilités offertes par un tel outil. Vous êtes étudiant et vous devez faire des recherches pour un mémoire sur la littérature française du 19ème siècle ? Pas de souci, en quelques clics vous pouvez retrouver les œuvres de Victor Hugo, Balzac ou Zola. Ou alors vous êtes un fan absolu de science-fiction et vous voulez découvrir de nouveaux auteurs ? Là encore, ce moteur de recherche sera votre meilleur ami pour dénicher les pépites du genre.

Mais le plus beau dans tout ça, c’est que ce projet est open source et que tout le monde peut y contribuer. Si vous avez des idées pour améliorer l’outil, des suggestions de nouvelles fonctionnalités ou même si vous voulez corriger des bugs. Puis comme c’est décentralisé, c’est le genre de truc incensurable.

Évidemment, comme tout projet en développement, il y a encore du boulot pour faire de ebook-demo l’outil ultime de recherche de livres électroniques. Mais avec une communauté motivée et des contributeurs talentueux, je suis sûr qu’il peuvent y arriver.

Read 8 remaining paragraphs | Comments

After the XZ Utils discovery, people have been examining other open-source projects. Surprising no one, the incident is not unique:

The OpenJS Foundation Cross Project Council received a suspicious series of emails with similar messages, bearing different names and overlapping GitHub-associated emails. These emails implored OpenJS to take action to update one of its popular JavaScript projects to “address any critical vulnerabilities,” yet cited no specifics. The email author(s) wanted OpenJS to designate them as a new maintainer of the project despite having little prior involvement. This approach bears strong resemblance to the manner in which “Jia Tan” positioned themselves in the XZ/liblzma backdoor.

[…]

The OpenJS team also recognized a similar suspicious pattern in two other popular JavaScript projects not hosted by its Foundation, and immediately flagged the potential security concerns to respective OpenJS leaders, and the Cybersecurity and Infrastructure Security Agency (CISA) within the United States Department of Homeland Security (DHS).

The article includes a list of suspicious patterns, and another list of security best practices.

Accrochez-vous bien à vos slips, parce que je vais vous parler d’un truc de ouf qui risque bien de révolutionner le monde de l’IA portable : Whomane ! Ouais, vous avez bien lu, c’est un projet open source de wearable avec une caméra intégrée.

Whomane, c’est un peu le rêve de tout maker qui se respecte : un appareil portatif bourré d’IA et de capteurs, le tout en mode open source pour pouvoir bidouiller et créer ses propres applications. La vision derrière ce projet, c’est de rendre l’IA embarquée accessible à tous, que ce soit pour l’utiliser ou pour développer dessus.

Concrètement, Whomane se présente sous la forme d’un petit boîtier à clipser sur soi, un peu comme une broche hi-tech. Mais attention, pas n’importe quelle broche ! Celle-là embarque une caméra, un micro et du logiciel capable d’analyser votre environnement en temps réel. Et le tout est propulsé par un raspberry pi Zero capable de faire tourner des modèles de deep learning directement sur l’appareil.

Maintenant, vous vous demandez sûrement ce qu’on peut bien faire avec un truc pareil ? Eh bien, les possibilités sont quasi infinies ! Imaginez par exemple une application qui reconnaît les visages et affiche des infos sur les gens que vous croisez. Ou encore un assistant personnel qui analyse vos conversations et vous souffle des réponses. Vous voyez le genre ?

Mais Whomane, c’est aussi et surtout une plateforme ouverte et collaborative. Le code source est dispo sur GitHub , avec une licence GPL pour les projets open source et une licence commerciale pour ceux qui veulent l’intégrer dans des produits fermés.

Alors okay, je vous vois venir avec vos grands chevaux : « Oui mais la vie privée dans tout ça ? C’est Big Brother ton truc ! » Alors oui, évidemment, dès qu’on parle de caméra et d’IA, ça soulève des questions. Mais justement, l’avantage d’un projet open source comme Whomane, c’est la transparence. Tout est là, à disposition de la communauté pour auditer le code et s’assurer qu’il n’y a pas de dérive. Et puis bien sûr, il faudra toujours veiller à respecter les lois et réglementations en vigueur.

Bref, vous l’aurez compris, Whomane c’est le genre de projet geek et utopiste qui fait vibrer la corde du bidouilleur qui sommeille en nous. Après, on ne va pas se mentir, c’est encore un prototype avec sûrement plein de bugs et de limitations. Mais quand bien même, qu’est-ce que c’est excitant de voir émerger ce genre d’initiatives !

Chers passionnés de bidouille, ce soir je vais vous parler d’un truc qui devrait vous faire saliver d’excitation : le Storage Pod 6.0 de Backblaze !

En gros, vous prenez un châssis 4U, vous y fourrez 60 disques durs de 8 To et paf, ça vous fait un joli bébé de 480 To pour stocker tous vos fichiers, films, photos de vacances et autres données. Ce monstre mesure seulement 19 cm de haut pour une configuration 3×20 disques. Les disques sont montés sur une hauteur de 1U et espacés uniformément dans le châssis pour assurer un flux d’air optimal et un refroidissement au top.

Un seul ventilateur situé en haut du châssis aspire l’air à travers le serveur, tandis que deux ventilateurs supplémentaires en bas évacuent l’air chaud. C’est ce qu’on appelle une ventilation bien pensée !

Mais le Storage Pod c’est pas qu’une grosse boîte à disques, c’est avant tout une philosophie : celle du stockage à prix cassé ! Parce que là où ça devient vraiment intéressant, c’est quand on regarde le coût au Go. Tenez-vous bien, le Storage Pod 6.0 permet d’atteindre un tarif complètement dingue de moins de 5 centimes par Go !

Mais comment c’est possible un prix pareil ? Eh bien c’est là que le côté bidouille intervient. Chez Backblaze, ils ont décidé de concevoir eux-mêmes leur serveur de stockage en utilisant des composants standard, et surtout en optimisant chaque détail pour tirer les coûts vers le bas.

Par exemple, le boîtier a été légèrement allongé par rapport à la version précédente pour pouvoir caser 60 disques au lieu de 45. Un gain de place qui permet d’atteindre une densité de stockage de ouf : 120 To par unité de rack, soit 2,4 Po dans une baie 42U. De quoi voir venir côté capacité !

Les disques sont connectés via des ports SATA à une unique carte mère PCIe 3.0 x16 qui possède aussi un port USB 3.0 pour se connecter à un PC ou un autre appareil pour la gestion et le transfert des données. La carte mère embarque également un slot M.2 2280 NVMe pour un SSD servant à stocker le firmware de boot. Niveau alimentation, ça rigole pas : 6 blocs d’alim 12V 50A sont utilisés, avec 3 branchés de chaque côté du châssis. Chaque bloc alimente un circuit imprimé dédié situé à proximité des disques. Et sur ces circuits, on retrouve des ports USB pour se connecter à la carte mère ainsi que des LED pour le monitoring. Le tout est alimenté par un gros bloc externe 12V 300W qui envoie le jus via des connecteurs SATA 6 broches et Molex 3 broches pour les ventillos. Autant vous dire que ça envoie du lourd niveau watts !

Côté réseau, un port Ethernet Gigabit unique situé en haut du serveur, à côté du ventilo, se charge de la connectivité. Il est relié à la carte mère via un slot PCIe x1. Un petit câble le relie ensuite au switch réseau du datacenter. L’OS et le logiciel de gestion tournent sur une clé USB bootable 3.0 insérée dans le slot M.2. Ce soft permet de monitorer, alerter et mettre à jour le firmware des disques et autres composants.

Et le plus cool dans tout ça, c’est que les gars ont décidé de partager les plans du Storage Pod en open source . Comme ça, vous pouvez télécharger les schémas, les fichiers 3D et toute la doc pour construire votre propre Pod . Bon, faudra quand même mettre les mains dans le cambouis et avoir quelques notions en bricolage, mais rien d’insurmontable pour le vrai geek que vous êtes !

Par contre, je vous préviens tout de suite, si vous voulez atteindre les 5 centimes du Go, va falloir acheter les composants en gros et négocier les prix comme un chef, parce qu’en tarif public, vous serez plus proche des 10 centimes. Mais bon, ça reste quand même une sacrée affaire comparé aux serveurs de stockage traditionnels !

En tout cas, moi je dis chapeau bas à Backblaze pour cette nouvelle version du Storage Pod. Ça fait avancer le schmilblick et qui permettent de démocratiser le stockage de masse, parce qu’à l’heure des vidéos 4K, des bibliothèques photos qui débordent et des sauvegardes dans le cloud, on n’a jamais autant eu besoin de place pour stocker nos précieux octets.

Alors si vous avez un peu de temps devant vous et que vous voulez vous lancer dans l’aventure du stockage DIY, je vous invite à jeter un œil au projet Storage Pod . Vous y trouverez tout ce qu’il faut pour construire votre propre serveur à prix mini. Et qui sait, peut-être que vous aussi vous arriverez à stocker vos téra pour quelques centimes du Go ?

Last week, the internet dodged a major nation-state attack that would have had catastrophic cybersecurity repercussions worldwide. It’s a catastrophe that didn’t happen, so it won’t get much attention—but it should. There’s an important moral to the story of the attack and its discovery : The security of the global internet depends on countless obscure pieces of software written and maintained by even more obscure unpaid, distractible, and sometimes vulnerable volunteers. It’s an untenable situation, and one that is being exploited by malicious actors. Yet precious little is being done to remedy it.

Programmers dislike doing extra work. If they can find already-written code that does what they want, they’re going to use it rather than recreate the functionality. These code repositories, called libraries, are hosted on sites like GitHub. There are libraries for everything: displaying objects in 3D, spell-checking, performing complex mathematics, managing an e-commerce shopping cart, moving files around the internet—everything. Libraries are essential to modern programming; they’re the building blocks of complex software. The modularity they provide makes software projects tractable. Everything you use contains dozens of these libraries: some commercial, some open source and freely available. They are essential to the functionality of the finished software. And to its security.

You’ve likely never heard of an open-source library called XZ Utils, but it’s on hundreds of millions of computers. It’s probably on yours. It’s certainly in whatever corporate or organizational network you use. It’s a freely available library that does data compression. It’s important, in the same way that hundreds of other similar obscure libraries are important.

Many open-source libraries, like XZ Utils, are maintained by volunteers. In the case of XZ Utils, it’s one person, named Lasse Collin. He has been in charge of XZ Utils since he wrote it in 2009. And, at least in 2022, he’s had some “ longterm mental health issues. ” (To be clear, he is not to blame in this story. This is a systems problem.)

Beginning in at least 2021, Collin was personally targeted . We don’t know by whom, but we have account names: Jia Tan, Jigar Kumar, Dennis Ens. They’re not real names. They pressured Collin to transfer control over XZ Utils. In early 2023, they succeeded. Tan spent the year slowly incorporating a backdoor into XZ Utils: disabling systems that might discover his actions, laying the groundwork, and finally adding the complete backdoor earlier this year. On March 25, Hans Jansen—another fake name—tried to push the various Unix systems to upgrade to the new version of XZ Utils.

And everyone was poised to do so. It’s a routine update. In the span of a few weeks, it would have been part of both Debian and Red Hat Linux, which run on the vast majority of servers on the internet. But on March 29, another unpaid volunteer, Andres Freund—a real person who works for Microsoft but who was doing this in his spare time—noticed something weird about how much processing the new version of XZ Utils was doing. It’s the sort of thing that could be easily overlooked, and even more easily ignored. But for whatever reason, Freund tracked down the weirdness and discovered the backdoor.

It’s a masterful piece of work . It affects the SSH remote login protocol, basically by adding a hidden piece of functionality that requires a specific key to enable. Someone with that key can use the backdoored SSH to upload and execute an arbitrary piece of code on the target machine. SSH runs as root, so that code could have done anything. Let your imagination run wild.

This isn’t something a hacker just whips up. This backdoor is the result of a years-long engineering effort. The ways the code evades detection in source form, how it lies dormant and undetectable until activated, and its immense power and flexibility give credence to the widely held assumption that a major nation-state is behind this.

If it hadn’t been discovered, it probably would have eventually ended up on every computer and server on the internet. Though it’s unclear whether the backdoor would have affected Windows and Mac, it would have worked on Linux. Remember in 2020, when Russia planted a backdoor into SolarWinds that affected 14,000 networks? That seemed like a lot, but this would have been orders of magnitude more damaging. And again, the catastrophe was averted only because a volunteer stumbled on it. And it was possible in the first place only because the first unpaid volunteer, someone who turns out to be a national security single point of failure, was personally targeted and exploited by a foreign actor.

This is no way to run critical national infrastructure. And yet, here we are. This was an attack on our software supply chain . This attack subverted software dependencies. The SolarWinds attack targeted the update process. Other attacks target system design, development, and deployment. Such attacks are becoming increasingly common and effective, and also are increasingly the weapon of choice of nation-states.

It’s impossible to count how many of these single points of failure are in our computer systems. And there’s no way to know how many of the unpaid and unappreciated maintainers of critical software libraries are vulnerable to pressure. (Again, don’t blame them. Blame the industry that is happy to exploit their unpaid labor.) Or how many more have accidentally created exploitable vulnerabilities. How many other coercion attempts are ongoing? A dozen? A hundred? It seems impossible that the XZ Utils operation was a unique instance.

Solutions are hard. Banning open source won’t work; it’s precisely because XZ Utils is open source that an engineer discovered the problem in time. Banning software libraries won’t work, either; modern software can’t function without them. For years security engineers have been pushing something called a “ software bill of materials ”: an ingredients list of sorts so that when one of these packages is compromised, network owners at least know if they’re vulnerable. The industry hates this idea and has been fighting it for years, but perhaps the tide is turning .

The fundamental problem is that tech companies dislike spending extra money even more than programmers dislike doing extra work. If there’s free software out there, they are going to use it—and they’re not going to do much in-house security testing. Easier software development equals lower costs equals more profits. The market economy rewards this sort of insecurity.

We need some sustainable ways to fund open-source projects that become de facto critical infrastructure. Public shaming can help here. The Open Source Security Foundation (OSSF), founded in 2022 after another critical vulnerability in an open-source library—Log4j—was discovered, addresses this problem . The big tech companies pledged $30 million in funding after the critical Log4j supply chain vulnerability, but they never delivered. And they are still happy to make use of all this free labor and free resources, as a recent Microsoft anecdote indicates. The companies benefiting from these freely available libraries need to actually step up, and the government can force them to.

There’s a lot of tech that could be applied to this problem, if corporations were willing to spend the money. Liabilities will help. The Cybersecurity and Infrastructure Security Agency’s (CISA’s) “secure by design” initiative will help, and CISA is finally partnering with OSSF on this problem. Certainly the security of these libraries needs to be part of any broad government cybersecurity initiative.

We got extraordinarily lucky this time, but maybe we can learn from the catastrophe that didn’t happen. Like the power grid, communications network, and transportation systems, the software supply chain is critical infrastructure , part of national security, and vulnerable to foreign attack. The U.S. government needs to recognize this as a national security problem and start treating it as such.

This essay originally appeared in Lawfare .

The cybersecurity world got really lucky last week. An intentionally placed backdoor in XZ Utils, an open-source compression utility, was pretty much accidentally discovered by a Microsoft engineer—weeks before it would have been incorporated into both Debian and Red Hat Linux. From ArsTehnica :

Malicious code added to XZ Utils versions 5.6.0 and 5.6.1 modified the way the software functions. The backdoor manipulated sshd, the executable file used to make remote SSH connections. Anyone in possession of a predetermined encryption key could stash any code of their choice in an SSH login certificate, upload it, and execute it on the backdoored device. No one has actually seen code uploaded, so it’s not known what code the attacker planned to run. In theory, the code could allow for just about anything, including stealing encryption keys or installing malware.

It was an incredibly complex backdoor . Installing it was a multi-year process that seems to have involved social engineering the lone unpaid engineer in charge of the utility. More from ArsTechnica:

In 2021, someone with the username JiaT75 made their first known commit to an open source project. In retrospect, the change to the libarchive project is suspicious, because it replaced the safe_fprint function with a variant that has long been recognized as less secure. No one noticed at the time.

The following year, JiaT75 submitted a patch over the XZ Utils mailing list, and, almost immediately, a never-before-seen participant named Jigar Kumar joined the discussion and argued that Lasse Collin, the longtime maintainer of XZ Utils, hadn’t been updating the software often or fast enough. Kumar, with the support of Dennis Ens and several other people who had never had a presence on the list, pressured Collin to bring on an additional developer to maintain the project.

There’s a lot more. The sophistication of both the exploit and the process to get it into the software project scream nation-state operation. It’s reminiscent of Solar Winds, although (1) it would have been much, much worse, and (2) we got really, really lucky.

I simply don’t believe this was the only attempt to slip a backdoor into a critical piece of Internet software, either closed source or open source. Given how lucky we were to detect this one, I believe this kind of operation has been successful in the past. We simply have to stop building our critical national infrastructure on top of random software libraries managed by lone unpaid distracted—or worse—individuals.