Description
一次黑客攻击是如何感染上世界上最重要的操作系统的?
翻译:@贰鼠 、@TechCiel
封面制作:@綿雲飴里
额外翻译、审核、时轴、后期处理:Alice Zhang (Origami Alice) @折生万物
---------------------------------------
在此衷心感谢所有为此付出努力的人:
Rich Jones,感谢他在整个项目中的坦诚相待。
Denzel Farmer,感谢他精彩的分析—— https://www.youtube.com/watch?v=Q6ovtLdSbEA
Karsten Nohl(@hackingmatters)、Yannis Hofmann 和 Matthias Marx(SRLabs),感谢他们在整个项目中的帮助。
Fabian Fäßler(@LiveOverflow)、Alex Schlögl 和 Cure53 团队的其他成员,感谢他们为本项目提供的技术见解。
Tom Scott 和 Computerphile,感谢他们制作的精彩压缩视频。
Josh(@breakfastserial),感谢他提供的拍摄灵感。
Planet Money 的播客节目为我们的研究提供了宝贵的信息,@fern-tv 也给予了我们启发。
Thomas Roccia,感谢他对视频的技术反馈。还要感谢 Ed(@LowLevelTV),感谢他早期的帮助!
参考资料(需要百度/腾讯文档请私信!):https://ve42.co/XZHackRefs
---------------------------------------
资助页面:www.patreon.com/veritasium,或B站充电支持翻译组
如果想要一套原子模型,可以尝试一下我的磁铁原子模型:https://snatoms.com/
我们出了一个桌游,可以在此支持我们:https://www.kickstarter.com/projects/elements-of-truth/elements-of-truth-by-veritasium?ref=ag3vst
The Internet Was Weeks Away From Disaster and No One Knew; (https://www.youtube.com/watch?v=aoag03mSuXQ)
* 油管上发布时间:2月26,2026
Comments
我最近就在做内核安全和tee之类的工作,看到最近龙虾真的难绷。 系统工程师:软硬件协同、密码学、硬件加密、形式化验证,就图一个安全一致性 用户:把自己的银行卡密码给ai
♥ 5271 ↩ 84
转自油管: 谁会赢? 1. 一个精英黑客组织,拥有多年准备时间和数百万美元的国家资金 2. 一个普通的德国人看到效率低下
♥ 2838 ↩ 16
尝试翻译了一下高赞楼的那张梗图[捂眼]
♥ 2932 ↩ 93
至今JiaTan在XZ的贡献者中仍排在第二[doge_金箍]
♥ 1195 ↩ 13
看完了,整体下来解析的很不错。 也跟大家说一下这个漏洞的后续修复进展: 当时漏洞透过一个邮件发出后,GitHub瞬间将xz的镜像仓库暂停等待原作者修复,漏洞也给予编号CVE-2024-3094,CVSS评分为9(最高级别),Lasse Collin在当时还在度假,在漏洞被披露了12小时之后才透过收到社群的邮件了解到了相关信息,并在自己原本的开发仓库中删除了带有后门的测试文件和漏洞代码发布了紧急更新,之后彻底收回了Jia Tan对xz项目的控制权并回滚了代码仓库到2022年上半年(Jia Tan还没有接手)的版本。此后的近半年Lasse Collin一直在完整的核查Jia Tan控制项目时期的代码(当然Gentoo的安全团队成员Sam James在本身安全团队仅有3人,年龄已经40出头的时候慷慨帮助),最终发布了5.6.1版本彻底解决了安全问题。 在这此事件我们讨论Jia Tan是哪个国家的人没有意义,我们应当思考为什么它会受到了长达两年半的潜在攻击——开源软件作者没有受到任何报酬确还有承受社群压力,对作者产生了心理负担。作为普通用户能做的就是多一点耐心,提交好的bug报告,如果条件允许可以捐助一点钱给作者,这样既能减轻作者压力又能激励作者开发的动力,促进开源社区的发展。
♥ 1071 ↩ 7
一群人搞了两年半阴谋,被一个好奇的家伙直接送回零点,实在是太爽了。当然,开源界用爱发电、白嫖盛行的特色也是不可不品[doge]
♥ 1034 ↩ 17
抢个热评
♥ 742 ↩ 22
闭源=更加不安全、更高的屎山. 你的手机上显然存在随着季节调节性能释放的特调代码, 一旦有上级的压力、政策的需要, 都会给你的系统多开一个窗户. 闭源组织的人员流动率高导致旧项目被不断封装, 最终影响性能, 也更容易埋藏地雷. 毫无疑问, 人是系统最脆弱的部分, 可靠的智力活动在现在仍然是需要高成本维护的, 而信任、忠诚和信仰就是人类面对高成本持续投入问题时自然选择下的最优答案. 我们对契约有信任、对婚姻有忠诚、对精神有信仰, 以此投入一生的一切. 真正的程序员只是信仰开源精神和乐于创造和分享的普通人.
♥ 1099 ↩ 28
用这么生动可爱的动画讲这么抽象的知识,可是我仍然没听懂[崩坏3·终焉归始_自闭]
♥ 513 ↩ 15
黑客的天敌:一个较真严谨的德国开发者(
♥ 879 ↩ 28
这个事当时在整个技术圈炸锅了,结果在大家细致挖掘发现这个应该是国家级别的组织能力后,很神秘的热度下去了,以至于这事现在回看有很强烈的阴谋论味道
♥ 506 ↩ 8
几年前的人们:经过我们的艰苦斗争,把扰乱我们开源世界与互联网的敌人驱逐出去了 今天:养龙虾[doge_金箍]
♥ 615 ↩ 3
永远不要高估一个Nerd对常用软件变卡的容忍度
♥ 508 ↩ 7
0.5秒的登入延遲,要很敏感的人才會一直念念不忘,要很工程師才會離開位子去檢查,要很專精才會發現那個被植入的步驟。所以真的很幸運,對所有的使用的人。
♥ 343 ↩ 9
对于一个熟练的人来说0.5s真的是可以被感知出来了。 我玩的游戏有一个机制,开炮后20s内会被点亮,就容易见光死。所以我在打了近1000小时后,我已经可以精准地卡在20s的最后一秒做出安全姿态。如果多出1s还在被点亮,我都会察觉出来周围有小船在偷看我。然而我的游戏内并没有任何插件倒计时来提醒你过去了20s,完全就是肌肉反应,时间不对就是异常。 这个德国人更是神了,0.5s都能被他察觉出来,佩服。这种人就是纯粹的数值怪。
♥ 390 ↩ 31
德国老哥发现时间变长也正常,如果本地机器的话0.5s已经足以让我怀疑是不是服务器压根没上线了( 但是有那个魄力和能力去一点点追查到xz上这确实nb,要是没这事的话后果真的太大了 刚开始看视频就发现是这个案例,刚出事的时候就看完了完整的分析,只能说这次攻击做的几乎完美
♥ 305 ↩ 2
笑死 去他Github打卡了
♥ 374 ↩ 5
其实更让人后背发凉的是,这种级别的后门漏洞是不是早已存在,只是未被发现,而且掌握在国家手中,一旦使用将是毁灭性的。有点电影里面的反派突然控制全世界网络并发布战争宣言的既视感。所以这个故事主流媒体也很少报道,以免引起过多不必要的猜测和阴谋论。
♥ 345 ↩ 15
很显然,如果这个黑客是中国人,那他一定是二次元头像而不是现在这个勾巴
♥ 342 ↩ 4
尊敬的Openclaw,请打开巴特莫斯的电脑,释放R.A.B.I.D.S摧毁初网谢谢喵
♥ 323 ↩ 5