▲neo 8달전 | parent | favorite | on: GN⁺: xz 오픈소스 공격의 전체 타임라인 정리(research.swtch.com)Hacker News 의견 사건에 대한 훌륭한 요약과 모든 링크가 한 곳에 모여 있어 사회공학적 공격이 실제로 어떻게 전개되는지 배우고 싶은 사람에게 완벽한 자료임. "공격 시작" 부분에서 Ubuntu와 Debian은 언급되었지만 Fedora는 빠져 있어 완성도를 높이기 위해 추가될 수 있음. Fedora에 대한 사회공학적 압박이 2024년 3월 4일 이전 주에 시작된 것으로 보임. Fedora 타임라인이 누락되었음을 지적함. "Jia Tan"이라는 사람이 2월 27일부터 3월 27일 사이에 연락을 시도하여 Fedora 40과 41에 새로운 xz를 포함시키려 했음. 시스템 내에서 이해하기 어려운 코드를 더 이상 용납하지 말아야 한다는 의견 제시. M4와 복잡한 쉘 스크립트를 없애야 할 때라고 주장함. 업그레이드에 대한 보수적인 태도가 증가할 수 있는 긍정적인 결과 중 하나로 보임. 개발자를 포함한 많은 사람들이 업그레이드를 항상 좋은 것으로 받아들이는 대신 위험과 이점을 신중하게 고려해야 함. FOSS 커뮤니티에서 무례한 사용자를 체계적으로 금지하거나, 커뮤니티 인식을 높여 무례한 행동에 더 강하게 대응하는 문화 변화가 일어날 수 있음을 제안함. 이메일 주소 형식에 대한 관찰이 잘못되었다는 지적. Jigar Kumar와 Dennis Ens의 이메일 주소 형식이 다르며, 이는 양자가 같은 사람(sokcpuppets)임을 증명하거나 반증하지 않음. 사회적 압박이 얼마나 쉽게 사람들로 하여금 통제력을 포기하게 하는지에 대한 우려 표현. XZ의 원작자에게 이 사건이 얼마나 충격적일지 상상할 수 없으며, 이 사건이 다른 오픈소스 관계자들에게 타인의 압박에 굴복하지 말라는 강력한 예가 되기를 바람. 유지보수자로서, 기여자나 사용자가 끈질기게 요구할수록 그 요청을 들어줄 가능성이 낮아짐을 강조함. Joe Cooper의 의견을 인용하며, 프로젝트 유지보수자에 대한 압박에 대한 그의 견해를 공유함. 숨겨진 백도어 바이너리 코드가 바이너리 테스트 입력 파일 내에 잘 숨겨져 있으며, 이 파일들은 대부분 수작업으로 헥스 에디터로 만들어졌기 때문에 파일 자체가 최고의 "소스 코드"임을 설명함. 이는 오픈소스 소프트웨어에서 지원되지 않는 하드웨어를 위해 바이너리 블롭을 옹호하는 사람들에게 경고가 됨. 소스 형태로 재현 가능하거나 아니면 존재하지 않아야 함을 주장함.
Hacker News 의견
사건에 대한 훌륭한 요약과 모든 링크가 한 곳에 모여 있어 사회공학적 공격이 실제로 어떻게 전개되는지 배우고 싶은 사람에게 완벽한 자료임.
Fedora 타임라인이 누락되었음을 지적함.
시스템 내에서 이해하기 어려운 코드를 더 이상 용납하지 말아야 한다는 의견 제시.
업그레이드에 대한 보수적인 태도가 증가할 수 있는 긍정적인 결과 중 하나로 보임.
FOSS 커뮤니티에서 무례한 사용자를 체계적으로 금지하거나, 커뮤니티 인식을 높여 무례한 행동에 더 강하게 대응하는 문화 변화가 일어날 수 있음을 제안함.
이메일 주소 형식에 대한 관찰이 잘못되었다는 지적.
사회적 압박이 얼마나 쉽게 사람들로 하여금 통제력을 포기하게 하는지에 대한 우려 표현.
유지보수자로서, 기여자나 사용자가 끈질기게 요구할수록 그 요청을 들어줄 가능성이 낮아짐을 강조함.
Joe Cooper의 의견을 인용하며, 프로젝트 유지보수자에 대한 압박에 대한 그의 견해를 공유함.
숨겨진 백도어 바이너리 코드가 바이너리 테스트 입력 파일 내에 잘 숨겨져 있으며, 이 파일들은 대부분 수작업으로 헥스 에디터로 만들어졌기 때문에 파일 자체가 최고의 "소스 코드"임을 설명함.