这是还没被研究透的时候的说法。现在已经明确了是劫持sshd的证书交换，如果收到了黑客特定私钥签名的packet就会利用sshd的root权限运行任意代码。需要运行的代码是伪装成证书交换packet的payload注入的。

但說真的，其實 ssh 本來就很多漏洞了，因此我認為 ssh 會有漏洞也不是新鮮事，只是這個是透過內部將資料放入，變成比較麻煩。

所以 sshd 的驗證函數不是自己做的嗎? 用的是其他library?

@@crisliu2010 其實現在很多軟體都是引用開放的函式庫，所以 sshd 本身沒有製作是正常的。 以 sshd 應該會用了很多 openssh的函式庫

真的，超猛的0.5秒也可以這樣追根究底

因為微軟被駭客針對漏洞幾十年

@@andyjonwei 事實上 0.5 秒差很大, 頂尖的高手都很敏感的, 一點點的"不一樣" 或是怪怪的都會查個褲底翻.

@@36CGMA 你沒搞懂, 微軟一堆軍用的後門, 在檯面上只能裝做漏洞被發現而已, 很多時後寫信去通知卻故意不修或是拖延你以為是什麼原因阿...呵呵.

@@andyjonwei 0.5秒的延迟叠加起来会很慢的。想象一下，假如循环运行1000次，那延迟是不是就是500秒了。

光是提交commit的速度就讓人覺得可怕...

一定是大陆的黑客，它们就这个尿性

是全职的，符合9am-5pm的上班时间（依照commit时间转换到UTC+2），有节假日有双休。并且此账号只用来干和这一件事相关的事，没有参与其他开源项目的记录。引用wired的说法就是"very busy programmer"，当然应该是一个团队

100%国家队， 中共国，国家队 感谢那个微软工程师的较真 避免中共国渗透

終貢嘿客軍隊

能具體説説嗎

@@Haru-rl8qp 影片裡有說...

申手黨白嫖嫖到死

但其實重點是，商業軟件這種後門更多，而且幾乎沒辦法檢驗

以後有AI呀！檢驗程式碼問題更快

​@@user-rl3pt7kr3v ai 不可以取代計畫負責人，只可以減少他們的工作量 但如果計畫負責人中了彩票不如在工作呢? 如果負責人不幸因病或死忙再無法工作呢?

@@tsoiyf001 商業軟件我不擔心，能賺的公司他們就會自己把閞你 沒賺錢的，只要一出事就準備結業 賺大錢的公司，只要一出事，美國的律師團根本不會和你客氣... 所以除左軟件公司沒有資訊，否則他們不可能完全無視這個問題 再說他們要導入AI 檢查應該會更容易

@@user-rl3pt7kr3v說真的我不太相信這種底層的東西Ai找得出來

这次的发现过程和开源闭源没什么关系。ms的工程师以为是有性能bug逆向工程发现的。 反而证明谁没事闲的天天review你开源的代码，就算流行的库也没人在review。

你说的这个坏处闭源一样严重啊，闭源项目的开发工作被外包给别的团队或者个人又不少见

@@lefz9298 商业软件没有。商业软件给你有bug也要维护要修，不管他怎么写出来的，他卖给你就要负责。 开源给你的代码是AS IS的，你要用就是自己负责。你应该签CLA的时候也见过，你可以为你可以为你的代码提供无偿，有偿或者根本不提供任何支持。

​@@ryanminato1735根本不是好嗎? MS的工程師自己都說不擅長逆向工程了，他是發現性能問題後檢視源代碼的

@@minsekfau3218 5:14 笑死

你說的倒是真的...那本黑客聖經 裡面8成都是在講社會學.. 可以跟保全混熟的技術比駭客技術好用跟方便高效重要百倍不只..

@@BounceFish1218 真的

本来是0.01秒的， 变成0.51秒不会很奇怪吗？

Jia tan这个用户名已经暴露了他究竟是谁，加上这个木马程序的目的是什么，我可以武断地认为是中共情报机构。

@@yunyong8615 在你相信jia tan这个名字是真名的时候你以及暴露了智商。另外此人曾用过jia cheong tan这个名字，两个都是假名你根本不需要去多想

@@yunyong8615但是你換個角度想想，如果是那邊的特務，怎麼可能從名字這個這麽low的方式暴露…

@@yunyong8615 搞笑，所以罪犯会用真名去犯罪吗？

@@yunyong8615 哈哈，你的这个疑问暴露了你的智商！

也推给了我😂 不知道为什么，我最近也没搜这玩意真的

那這樣第一方的直接投入惡意程式也會更難發現，事情可沒有那麼簡單

@@idknamestopit 就是那麼簡單，因為如果企業真的做了這種事情，那肯定會迎來非常嚴重的司法訴訟 對於大型企業來說長期營運，經營商譽肯定是比投毒追求短期利益來的好 這也是為什麼科技發展數百年卻很少大型企業主動投毒的案例，如果有第三方想誘惑大企業投毒，也必須支付極為高額的金額，才能讓大企業覺得比認真做企業還誘人。 至於小型企業比較有機會出現惡意投毒的情形，但小型企業影響力小市占率低，其他大型企業並不會選擇這種軟體。 大企業出現毒的情況比較多是駭客或間諜，但這種情況企業內部的糾錯機制就能發揮很大的作用。 反之開源軟體就有可能出現極高市佔率但卻沒人知道幕後維護者是誰，包括這個事件到現在都不知道幕後投毒的人是誰。 也就是做開源軟體的投毒可以說是收益很高但是風險卻很低的事情，第三方想花錢植入惡意程式需要花費的金額也少得非常多

但如果不是開源 他就會被抓了

@@Chuan-wh5ek 都沒發現你要怎樣捉

有很多打着开源的名义半开源的，还有的出名后不声不响换成半开源，使用自动更新的还蒙在鼓里。

B站：BV1Gq421w7rg

現在AI 對資安分析還是沒有那麼厲害的 而且靜態分析有其上限 通常要動態分析 目前AI沒辦法做這種事情

不太能。目前的SOTA用GPT-4做base解决GitHub Issue的成功率也只有14%不到，这已经比GPT-4单独要强8倍了。 看这篇： MAGIS: LLM-Based Multi-Agent Framework for GitHub Issue Resolution arXiv:2403.17927 还有这篇昨天才传到arxiv，可能相关但我还没读所以不保证的。 The RealHumanEval: Evaluating Large Language Models' Abilities to Support Programmers arXiv:2404.02806

@@hamster6093 如果說邏輯錯誤，AI判斷不太行。但這種藏錯字的它們很擅長。 還有那種兩個字符相似;:差異，人類一眼瞄過根本找不到，但AI會立刻發現。

@@user-uu3ws7tt6o 重點他就是看出來出的藏錯字，你現在他說出來很簡單，但這個是runtime 編譯的爆錯，runtime錯誤千奇百怪 這邊就是多一個點，很多時候是要動態測試才知道 一樣AI目前不會執行任何給定的程式碼 僅是靜態檢查而已

@@hamster6093 多了一個點不是runtime error，是syntax error了，屬於不需要編譯/執行就能看出有問題的代碼。

现代的软件并不是全都自己写的，就像汽车厂商不会自己造轮子，而是请代工一样。sshd这辆“汽车”用了xz这个“轮子”。还给了他全部的权限，然后就炸了。

影片中沒有提到這個後門具體做了什麼事 簡單來說這個後門劫持了 sshd 的驗證 function，可以用某一把 public key 直接登入 因此只要登入時都需要跑一次驗證流程，剛好這傢伙的 code 寫爛了會跑特別慢，才被發現

@@MiohitoKiri 請問 是“執行了帶著陰謀的xz 壓縮工具，它就感染了liblzma,而 sshd 要用這個lib, 所以就變成透明了”，是這樣嗎？ 可是這樣，要登入系統的話，仍然還有賬戶/密碼這個關卡堵著；不是嗎？

@@jasonlin5884 私钥就是密码。public key是公钥，和私钥是一对。如果一个服务器被注入了黑客的公钥，黑客就能拿他的私钥登录。 安全性而言私钥比密码等级高。私钥就相当于一个几千位长的密码，按字符算的话大概几百到1000个字符

​@@jasonlin5884我記得並不是真的要登入 sshd？而是透過 liblzma 裡面埋的 public key，驗證攻擊者的 private key，如果驗證成功了就可以直接 system() 執行 payload 裡面帶的指令

这个要暴露公网才行，核弹这种军事级设备一般都是专网

@@epcdiy 有蹲發射坑不摸魚的嗎？啊！真的沒有！不連公網玩不了Call of duty~🥲

@@epcdiy 基本上哪怕發射台有連公網的網線，只要沒連到軍用的系統基本上不會有問題，而且全球有核武的軍方也𣎴會貪污對吧？那就不存在廉價外聘設備維護導致被暗渡陳倉的風險，再者有發射指令也得裏面的導彈是真貨。

Ubuntu和所有基於Debian的穩定版本不受影響

謝謝@@minsekfau3218

不是還沒整合進去嗎？😂

不需要，问题代码并没有整合进操作系统。

是xz -V，是支那病嗎？影片有說了。

这个在系统编译的时候就已经劫持ssh了

隐私保护只是说你不必上传身份证验证本人。 你真想告诉所有人你的身份那也没人拦着你

@@Ali86322 念台語看看

甲探，甲級探馬團

是SSH不是SSD，這微軟工程師應該是電競工程師了，會注意程序網路延遲速度代表他的程序很需要零時差環境。

相反，信誉得提升。开源都这么难发现 。闭源默认都有后门了 。如果真不想用后门。直接放弃任何闭源。全用开源还有一线生机

可能機器性能好，經常看計時

換個方式說，像是你手機每次解鎖都是0.5秒，更裝了某個app後，忽然要1秒才能解鎖，你就會意識到是剛才裝，或是昨天裝的app可能有問題

在使用電腦的環境下，0.5秒這個時間差也算明顯了 比如電腦打字時的這個一閃一閃的符號→｜，它閃爍的間隔差不多就是0.5秒 平常很常使用電腦的人突然有一次打開資料夾時等待了｜一次閃爍的時間，真的會突然疑惑

500ms還是很明顯的，比如一個簡單的請求才幾十上百ms，今天突然上了500+ms，就很容易發現問題了

其實 0.5 秒蠻明顯的

那win11系统靠谱吗，闭源的，而且有60多G，真搞不懂为什么这么大

​@@BarbBradford请你说一个更靠谱更好用的

@@BarbBradford 靠谱。去年windows的cve比linux更少，或者你最少不能说linux比windows更靠谱。 而且linux内核的对比对象不是windows而是windows内核。

微软那些不叫做“木马”，叫做功能，你甚至连发现和批判的资格都没有

@@ryanminato1735 少多少，照理说开源的应该更容易发现问题和解决问题

IOS15以前相簿都是門沒關，APP可以任意存取，用戶還覺得自己處於保護之中

連造價過億美元的軍用軟件都只能「拖延」被破解的時間，民用軟件又怎麼可能完全絕對安全？

有啊，但你不會想用，不要說系統跟不上時代，連硬體可能還要自己敲代碼運行。然後連網路都不能有，因為有駭客會特別關注冷門系統用戶，至於為什麼 想像一下就知道了。

當然，這世界都沒有絕對安全的人了、怎麼可能有絕對安全的系統

一定是预谋已久，因为身份掩藏得太严密！

一般情况下一个GitHub/开源软件的主要贡献者的真实身份是很容易查到的。他名字也是假名 编的

有可能 毕竟如果真是蓄谋已久就不至于如此明目张胆急功近利

这个账号2年来只用来做这一件事，而且是全职，非常偶尔参与的其他项目也都是和这件事相关的，甚至也不参与其他项目的讨论组。 真实的开源项目贡献者多少都会参与其他项目。

那还是比不开源的安全。

開源可以投毒，閉源是開後門也不會跟你說

黑客并不是贬义词，不要以偏概全

中國人不知道自己是世界最邪惡的國家😁

所以你的意思是说，有一个人发现了有人阴谋了两年投毒，把证据公诸于众，你不去好好查查投毒者的来龙去脉，最好如果和微软有勾结，通过找到他本人然后再找到和微软勾结的证据将他们一网打尽，反而直接没有根据的怀疑投毒者和受害者是一起演戏，引导大家注意力往迫害受害者的角度去，是什么用心？

應該不是, 黑客都會作個名字;外國有專家分析過, 他commit 都是在東歐時區的工作時間, 而且中國的大假期(e.g. 春節) 照樣很活躍

不要被名字迷惑。这子小子挖了这么深的坑， 不可能想不到这层超级基本的障眼法。来自中国的留学生满世界跑，随便拿个跟自己上过课的人名就行了。

就是的

看你的回复都觉得你有病

忠囻網軍吧。應該不意外。

🤣 我也怀疑是中华民国植入的 毕竟前科累累 急功近利这事儿吧 丫没少干过... 省省吧 专制国家还得要点脸 。民主集权了就可以直接卖屁股了

所謂民主國家，亦祗不過是全力保護屠夫及提供武器去屠殺巴勒斯坦人！有甚麼可信？再說在阿富汗及Iraq 引發一百萬人死亡，幾百萬人受傷，這國可信？

这个思路就很客观，逻辑清晰👍

不知道，但是俄烏戰爭和現在中東紛爭，超過八成的駭客都是中國式的名字😂😂

有人分析过ja tan的提交代码时间戳。表面上看都是+8区时间，但这个人在中国的国家假期都在工作，而在传统欧洲假期都没有。使用夏日制时间转换，所以他们的时间有+2/+3。中国早就没有夏日制时间了。时间戳发现有上一刻在+8区，下一刻在+3区。还有他自己引用自己的邮件时间戳有冲突的情况。

你不太懂中國黑客的心態，之前已經有專家發文分析過中國黑客和其他地方的黑客的不同之處：通常黑客都是愈少資料愈好，要做到隱姓埋名；中國黑客就偏偏反過來，被捉到揭發的黑客（大多都是在其他國家本土被抓）反而大部份都用自己拼音名字或者富祖國特色的名字，專家結合政治考慮、社會現況等等得出一個簡單的結論：中國黑客或者背後都有一個龐大勢力撐腰，或者存在一個獎勵機制致使中國的黑客的心態是「揚名立萬」。

@@user-fm2nt5wx3t 不是這樣，中國黑客基本也是匿名優先，不過中國軍隊會大量招募黑客高手，所以中國黑客在對外攻擊時大多是事後公開訊息；其他時候大多是匿名的。也因為這個特性，加上一般民眾不了解中國黑客的作案動機竟然是進入體制吃公糧混吃等死，所以外國諜報組織特別喜歡用中國式的名字當代號，來達到混淆視聽的目的，萬一失敗也可以推給中國軍方，是十分方便的做法

我都用windows付費但沒有木馬

@@ncueBenson付費不一定便宜

@@ncueBenson windows 本身就是木馬

這都能扯? 你知道絕大多數維持電腦和互聯網運作的必要軟件都是免費的嗎? 那你還要不要用電腦?

@@minsekfau3218 是的，純屬鄉民無聊閒扯蛋，別太認真喔兄弟。

所以A股從07年的6千多點跌到現在還沒有起來

攻击那才好，不然ccp倒不了台

所以美帝徒子徒孙们的命门都被美爹拿捏死死的

有人发现恰恰说明它是安全的，因为能被发现。微软苹果有后门能让你发现？

@@wtfJunk 你又知道ms放后门了？愿意相信ms自砸商誉放后门，你是不是也相信登月是在录影棚拍的

@@wtfJunk 你是不是也相信登月是在摄影棚拍的w

微软摆明了有后门你能怎么办？开源还有可能是干净的 。闭源几乎不可能干净。

@@mutang7522 你是不是也相信登月是在录影棚拍的w

如果是反讽你很无聊，如果是认真你很弱智

@@wtfJunk 你一个中国人，自己国家的系统都不信任，那你还当什么中国人

你说得想微软没有自己的操作系统一样 。不一样中招。这个只是一个压缩软件 。和哪个国家的系统有毛关系。

当然安全，他们说他们自己是合理合法的查看你的数据

確實 你可以跟網信辦一起看日本動作影片 有整個國家機構跟你一起看 安全感就上來了

原來Linux是閉源，笑死

傻逼还不滚回去用华为

Linux啥时候成闭源系统了？

幽默闹钟

不查资料就来喷，暴露了你的智商

中华民国？🤣

@@AfroJewelz 你漏了人和共和

@@OneNok_HK 有道理啊 共和党人民是真的很会hack,尤其是移民到自由灯塔的华裔人民心向自由啊

@@AfroJewelz 你怎麼又再漏了'中華', '民'和國'

這跟中國有什麼關係？ 你以為github也實名制阿，你要叫布萊德彼特都沒問題

傻x，为什么不是韩国人？为什么不是井蛙？为什么不是盗取同班同学名字的白皮人？

肯定不是中国呀，Tan 更像是新加坡/马来西亚 的 陈姓，大陆姓 Tan 的 不多，跟何况 github 不实名，你想叫什么名字都可以

斯诺登也是中国的

是XZ的開源專案 不是Linux