Sel aastal saime ehmatus turvalisuse kohta, mis mõjutas ZX-Utilsi teeki. Seetõttu on teadmine, et arendajad eitavad 7-Zipi haavatavust, hea uudis, kuigi sellesse tuleb suhtuda ettevaatlikult.
Paljud on mures, et kriitilised projektid sõltuvad avatud lähtekoodiga raamatukogudest, mida hoitakse väheste ressurssidega ja veelgi vähem arendajaid. Need on ideaalne sihtmärk hooletusest või pahatahtlikkusest tingitud vigade korral.
Mis on 7-Zip raamatukogu ja milleks see on mõeldud?
7-Zip on avatud lähtekoodiga failide tihendamise tarkvara. Seda hakkas välja töötama Igor Pavlov 1999. aastal. Aja jooksul sai sellest tasuta alternatiiv failide tihendamiseks ja lahtipakkimiseks patenteeritud lahendustele, nagu WinZip või WinRar. Seda kasutavad nii üksikkasutajad kui ka tarkvaraarendusettevõtted.
Lisaks oma formaadile, mis pakub paremat tihendusastet kui kaubanduslikud alternatiivid, ühildub muu hulgas järgmiste vormingutega:
- XZ
- bzip2
- GZIP
- TAR
- ZIP
- Wim
- JRA
- CAB
- CHM
- cpio
Selle kasutamise eeliste hulgas on järgmised:
- Kõrge tihendusaste: Natiivsel 7z-vormingul on tihendusalgoritmid, mis pakuvad palju paremaid tihendussuhteid, mis on kasulikud suure andmemahuga töötamiseks.
- Integreerimine Windows Shelliga: Programm integreerub Windowsi kontekstimenüüga, muutes kasutajatel hõlpsamaks funktsioonidele juurdepääsu failil paremklõpsates.
- Turvalisus: 7-Zip võimaldab failide krüptimist AES-256 abil. Seda on võimalik dekrüpteerida ainult parooli abil.
- Saadaval Linuxi jaoks hoidlates. Ka teistel Unixi-põhistel süsteemidel.
(Eeldatav) turvaprobleem
Alustame sellest Kui me räägime nullpäevasest ärakasutamisest, siis peame silmas tarkvara viga, mis pole arendajatele ja kasutajatele teada... Peame silmas turvaauke, mida saavad ära kasutada arvutikurjategijad, kes kasutavad neid süsteemidele volitamata juurdepääsu saamiseks ja teabe hankimiseks või kahju tekitamiseks.
Selgub, et Elon Muski sotsiaalvõrgustikus on kasutaja, kes identifitseerib end kui "NSA_Employee39" väitis, et 7-ZIP-i uusimal versioonil on nullpäeva kasutamine, mis võimaldab kasutajal faili tihendamisel või lahtipakkimisel ründajatel käivitada suvalist koodi. Probleem on LZMA dekooderis. Ja siin on veel üks selgitus.
LZMA on millegi akronüüm, mida hispaania keeles võime tõlkida kui "Lempel-Ziv Markovi ahelaalgoritm". See on algoritm, mida 7-Zip ja teised programmid kasutavad failide tihendamiseks. Nagu nimigi ütleb, LZMA dekooder pöörab protsessi ümber, rekonstrueerides algse faili
Nad eitavad 7-Zipi haavatavust
Projekti arutelufoorumi vigade rubriigis eitas Igor Pavlov postitust:
«See teade Twitteris on vale. Ma ei saa aru, miks see Twitteri kasutaja sellise avalduse tegi..»
Ma ei kavatse süveneda X-i kasutaja ja Pavlovi järgsesse tehnilisse arutelusse. Põhimõtteliselt on lahkarvamus selles, et kaebuse esitaja väidab, et haavatavus on funktsioonis, mida arendaja nõuab, et programm ei kasutaks.
Hetkel puuduvad sõltumatud kinnitused haavatavuse olemasolu kohta.
Mis me teha saame?
7-Zipi puhul peame ootama, et näha, mida meie kasutatavad Linuxi distributsioonid teevad. Need on tavaliselt üsna kiiresti vabastatavad plaastrid, kui neid vaja läheb. Mis puudutab ekspluateerimist üldiselt. Saame järgida neid näpunäiteid:
- Hoidke tarkvara ajakohasena: Üldiselt avastavad enamiku avastatud haavatavused teadlased, seega on värskendused saadaval enne, kui kurjategijad saavad neid ära kasutada. Parim on aktiveerida automaatsed värskendused.
- Kasutage iseseisvaid pakette: Snap-, Flatpak- ja Appimage-vormingus paketid ei loo ühendust operatsioonisüsteemi kriitiliste osadega. Lisaks sellele kiputakse neid värskendama sagedamini kui hoidlates olevaid programme.
- Tehke turvakoopia: Kuigi parem on ennetada. Rünnakute korral on hea omada varuplaani.