计算机安全历史上最引人入胜和最可怕的事件之一始于2022年，当时一个小型的单人开源项目向邮件列表发送了几封强制邮件。

　　一个用户提交了一段复杂的代码，现在正等待维护者审查。但另一位名叫吉格尔·库马尔的用户认为，这一切发生得还不够快。“补丁在这个邮件列表上花了好几年，”他抱怨道。“5.2.0版本是7年前发布的。没有理由认为什么事情会很快发生。”

　　一个月后，他接着说:“一个多月了，还没有接近合并。这并不奇怪。”(原文如此)

　　再过一个月:“这件事有进展吗?”库马尔花了大约四个月的时间抱怨更新的速度，然后就再也没有听到过他的消息。

　　几周前，世界经历了一个令人震惊的转折。“吉格尔·库马尔”似乎根本不存在。除了那些咄咄逼人的电子邮件外，没有任何关于这个名字的记录。很明显，他和其他一些账号一起参与了一场入侵世界上几乎所有运行linux的电脑的行动。(Linux是一个开源操作系统——与苹果等公司的封闭系统相反——运行在数千万台设备上。)

　　专家们认为，那次行动很可能是一个资源充足的国家行为者所为，他几乎完成了一次攻击，使攻击者能够远程访问数百万台计算机，以任何他们想要的方式登录。安全后果将是巨大的。

　　事情是这样发展的:2005年，软件工程师Lasse Collin编写了一系列工具来更好地压缩文件(类似于压缩.zip文件的过程)。他把这些工具在网上免费提供，许多大型项目都采用了科林的工作，最终被称为XZ Utils。

　　科林的工具成为驱动现代互联网的庞大开源生态系统的一部分。我们可能会认为，像互联网这样现代生活的核心事物有一个专业维护的结构，但正如XKCD在黑客入侵之前出版的漫画所显示的那样，更接近事实的是，“所有现代数字基础设施”都依赖于“内布拉斯加州某个随机的人自2003年以来一直在费力维护的项目”。XZ Utils就是这样一个项目——是的，您应该会发现有很多这样的项目，这有点令人担忧。

　　从2021年开始，一个名为“Jia Tan”的用户——他似乎也不存在于其他任何地方——开始为XZ项目做出贡献。起初，它们只是无害的小修补。然后，Tan开始提交更大的添加内容。

　　像这样的开源项目的工作方式是，维护者(在本例中是Collin)必须阅读并批准每个这样的提交。实际上，谭给科林布置了过多的家庭作业。

　　就在这时，"库马尔"出现了，他抱怨科林花了太长时间。另一个似乎不存在的账户加入了合唱。他们认为Collin显然不能独自完成维护项目的任务，并敦促他添加“Jia Tan”作为另一个维护者。

　　工程师拉斯·考克斯在一份详细的事件时间表中写道:“看起来，它们很可能是为了迫使拉斯给贾跃亭更多控制权而伪造的。”“这工作。在接下来的几个月里，Jia开始在xz-devel上权威地回复关于即将发布的5.4.0版本的帖子。他已经成为一个值得信赖的“维护者”，可以自己向XZ Utils添加代码。

　　这有什么关系呢?因为与XZ Utils结合在一起的众多开放源码工具之一是OpenSSH，它用于远程访问计算机，被世界各地数百万台服务器使用。

　　“Tan”小心翼翼地向XZ Utils添加了一些伪装得很好的代码，这些代码危及了OpenSSH，有效地允许创建者远程登录任何运行OpenSSH的计算机。包含(严重伪装的)代码的文件被接受为更大项目的一部分。

　　幸运的是，几乎所有数百万台潜在的目标计算机都没有受到影响，因为这样的新更新首先以“不稳定”(意味着预计会有一些错误)的形式发布是例行公事，大多数管理员都在等待后续的“稳定”版本。

　　在那之前，“家谭”的工作被发现了。微软的软件工程师安德烈斯·弗伦德(Andres Freund)下班后，在一台电脑上做了一些测试，这台电脑的新版本“不稳定”。在大多数情况下，黑客可以无缝地运行，但在他测试的情况下，它降低了SSH的性能。他深入调查，很快揭开了整个阴谋。

　　这意味着，多亏了一位微软工程师在非工作时间做一些工作，你的电脑仍然是安全的——至少，据我所知。

　　这次黑客攻击被发现并不是必然的。许多其他人都在运行不稳定的新版本，却没有注意到任何问题。首先让Freund产生怀疑的并不是可疑的代码，而是“Jia Tan”不小心引入的一个bug。

　　如果“家坛”团队避免了这个错误，他们很可能已经成功了。弗洛因德后来在Mastadon上说，捕捉可疑代码“确实需要很多巧合”。

　　没有人愿意相信现代计算机安全本质上依赖于“大量的巧合”。我们更希望有可靠的流程。但我希望这篇文章能让人们清楚地认识到，要可靠地保护我们现有的临时拼凑的互联网不受此类攻击是多么困难。

　　“家探”背后的人花了两年多的时间来建立攻击所需的通道。其中一些细节与开源软件的动态有关，几十年前的项目通常处于安静的维护阶段，正如我们所看到的，一个激进的参与者可以从中获得控制权。但是，如果你拥有和《家探》一样的资源和奉献精神，你也可以在一家软件公司找到工作，在闭源软件上完成同样的事情。

　　最重要的是，很难猜测这次攻击是前所未有的还是不寻常的，因为它被发现了。这意味着我们不知道是否还有其他地雷潜伏在互联网的深处。

　　就我个人而言，作为一个不从事计算机安全工作的人，我从中得到的主要东西不是一个具体的政策处方，而是一种敬畏和感激之情。我们的世界是由像Collin和Freund这样的工程师所做出的默默无闻的贡献而运行的，他们把自己的空闲时间用来建造东西，测试东西，并为了每个人的利益而分享他们所建造的东西。这对安全来说很不方便，但也很酷。

　　我无法联系到科林请其置评。(他的网站上写道:“致媒体和记者:我现在不会回复，因为我需要充分了解情况。每隔48小时重新加载一次这个页面，看看这条信息是否有变化就足够了。”)但我希望他最终能意识到，被这种相当特别的努力作为个人目标，让他在XZ实用程序上的工作感到不足，实际上，这是对其重要性的一个显著证明。

　　这个故事的一个版本最初出现在未来完成通讯中。在这里注册!

　　是的，我每个月付5美元

　　是的，我每个月付5美元

　　我们接受信用卡、Apple Pay和Google Pay。你也可以通过