W tym roku otrzymaliśmy strach dotyczące bezpieczeństwa, które miało wpływ na bibliotekę ZX-Utils. Dlatego świadomość, że twórcy zaprzeczają istnieniu luki w 7-Zip, to dobra wiadomość, choć należy do niej podchodzić ostrożnie.
Wiele osób obawia się, że krytyczne projekty zależą od bibliotek open source, utrzymywanych przy niewielkich zasobach i jeszcze mniej programistów. Są idealnym celem błędów wynikających z zaniedbania lub złośliwości.
Co to jest biblioteka 7-Zip i do czego służy?
7-Zip to oprogramowanie do kompresji plików typu open source. Zaczął być rozwijany przez Igora Pawłowa w 1999 roku. Z czasem stał się bezpłatną alternatywą dla autorskich rozwiązań takich jak WinZip czy WinRar do kompresji i dekompresji plików. Korzystają z niego zarówno użytkownicy indywidualni, jak i firmy tworzące oprogramowanie.
Oprócz własnego formatu oferuje lepszy stopień kompresji niż komercyjne alternatywy, jest kompatybilny m.in. z następującymi formatami:
- XZ
- bzip2
- GZIP
- TAR
- ZIP
- Wim
- JRA
- CAB
- CHM
- CPIO
Wśród zalet jego stosowania można wymienić:
- Wysoki stopień kompresji: Natywny format 7z ma algorytmy kompresji, które zapewniają znacznie lepsze współczynniki kompresji, przydatne przy pracy z dużymi ilościami danych.
- Integracja z powłoką Windows: Program integruje się z menu kontekstowym systemu Windows, ułatwiając użytkownikom dostęp do funkcji poprzez kliknięcie pliku prawym przyciskiem myszy.
- bezpieczeństwo: 7-Zip umożliwia szyfrowanie plików przy użyciu AES-256. Można go odszyfrować jedynie za pomocą hasła.
- Dostępne dla Linuksa w repozytoriach. Również w innych systemach opartych na systemie Unix.
(rzekomy) problem bezpieczeństwa
Zacznijmy od powiedzenia tego Kiedy mówimy o exploitze zero-day, mamy na myśli lukę w oprogramowaniu, która jest nieznana programistom i użytkownikom... Mamy tu na myśli luki, które mogą zostać wykorzystane przez przestępców komputerowych, którzy wykorzystują je do uzyskania nieautoryzowanego dostępu do systemów i uzyskania informacji lub wyrządzenia szkód.
Okazuje się, że na portalu społecznościowym Elona Muska użytkownik przedstawiający się jako „NSA_Employee39” twierdził, że najnowsza wersja 7-ZIP zawiera exploita dnia zerowego, który podczas kompresji lub dekompresji pliku umożliwia atakującym wykonanie dowolnego kodu. Problemem jest dekoder LZMA. I tu zaczynamy z kolejnym wyjaśnieniem.
LZMA to akronim czegoś, co w języku hiszpańskim możemy przetłumaczyć jako „algorytm łańcucha Lempela-Ziva Markowa”. Jest to algorytm używany przez 7-Zip i inne programy do kompresji plików. Jak sama nazwa wskazuje, dekoder LZMA odwraca proces, rekonstruując oryginalny plik
Zaprzeczają istnieniu luki w 7-Zip
W sekcji błędów na forum dyskusyjnym projektu Igor Pavlov zaprzeczył wpisowi:
«Ten raport na Twitterze jest fałszywy. Nie rozumiem, dlaczego ten użytkownik Twittera wydał takie oświadczenie..»
Nie mam zamiaru zagłębiać się w późniejszą dyskusję techniczną pomiędzy użytkownikiem X a Pavlovem. Zasadniczo różnica zdań polega na tym, że osoba składająca skargę twierdzi, że luka dotyczy funkcji, z której twórca nalega, aby program nie korzystał.
Na chwilę obecną nie ma niezależnych potwierdzeń istnienia luki.
Co to jest podemos?
W przypadku 7-Zip będziemy musieli poczekać, aby zobaczyć, co zrobią dystrybucje Linuksa, których używamy. Zazwyczaj są one dość szybko udostępniane w razie potrzeby. Ogólnie o exploitach. Możemy zastosować się do poniższych wskazówek:
- Aktualizuj oprogramowanie: Ogólnie rzecz biorąc, większość wykrywanych luk jest odkrywana przez badaczy, dlatego aktualizacje są dostępne, zanim będą mogły zostać wykorzystane przez przestępców. Najlepiej włączyć automatyczne aktualizacje.
- Użyj samodzielnych pakietów: Pakiety w formatach Snap, Flatpak i Appimage nie łączą się z krytycznymi częściami systemu operacyjnego. Ponadto są one zwykle aktualizowane częściej niż programy w repozytoriach.
- Wykonaj kopię bezpieczeństwa: Choć lepiej zapobiegać. W przypadku wystąpienia ataków dobrze jest mieć plan awaryjny.