科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?

这里记录每周值得分享的科技内容,周五发布。

本杂志开源,欢迎投稿。另有《谁在招人》服务,发布程序员招聘信息。合作请邮件联系(yifeng.ruan@gmail.com)。

封面图

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

去年底建成的南昌东站,以《滕王阁序》的“落霞与孤鹜齐飞,秋水共长天一色”为灵感,造型宛如展翅翱翔的羽翼,象征城市的腾飞。(via)

xz 后门的作者 Jia Tan 是谁?

互联网行业最近的重大事件,莫过于 xz 软件的后门。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

xz 是一种压缩软件,大量用于 Linux 系统,比如系统管理器 systemD 就用它压缩日志。它是 Linux 的基本组件之一,每台服务器几乎都有它。

今年3月底,有人发现它的新版本有点奇怪,让 SSH 的启动时间慢了500毫秒。进一步调查发现,里面竟然有一个后门。

这件事震惊了业界,因为新版本即将纳入主要的 Linux 发行版(比如 Debian 和 Fedora),只差几天而已。到了那时,服务器带有后门,后果不堪设想。

而且,整个事件经过精心策划,过程长达数年,每一步都毫无破绽,心思之缜密,耐心之好,能力之强,令人后怕。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

这个事件开始于2021年4月,一个网名叫做 Jia Tan 的人,第一次向 xz 软件包提交了一个正常的补丁,被顺利合并。

2021年11月和2022年4月,他又提交了两个正常的补丁,也被合并。

然后,突然冒出了几个网友,在邮件列表上向管理员建议,xz 项目缺乏人手,响应迟缓,应该给予 Jia Tan 管理员权限。这个建议被采纳了。但是,人们现在发现,这几个网友都是陌生的邮件地址和名字,根本找不到其他的活动痕迹。

就这样,Jia Tan 成为了管理员,拥有独立发布新版本的权限,先后发了几个版本。虽然他的这些代码可能是无害的,但是扩展了功能,为后面要做的坏事打下了基础。

2024年2月,他添加了后门。代码做了混淆,而且后门不在源代码里面,要在构建阶段才会生成,很难发现。他发了这个版本以后,就开始发信,催促几个大型发行版,尽快收入这个版本。

后门曝光后,Jia Tan 就彻底消失了,没有任何身份信息,也没有其他痕迹,谁也不知道他到底是谁。人们开始搜集线索,试图找出这个人。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

他的网名是汉语拼音,邮件全名是 Jia Cheong Tan,中间的 Cheong 似乎是粤语。他的 GitHub 提交时间采用东八时区。他的 IP 地址是新加坡。

一切都在指向,他是一个在新加坡的华人。真的是这样吗?

网名显然是假的,代码提交时间可以更改,至于 IP 地址,已经查明是 VPN 地址。

有没有一种可能,他伪装成华人,栽赃给中国?

有人分析了,他在 GitHub 的所有提交。虽然提交时间可以更改,但也不能改得太过分,毕竟要保持提交顺序和及时性,所以还是能看出一点东西。

他的提交,绝大部分采用东八时区的时间,但是有一些是东二时区和东三时区。

研究者相信,他很可能是一个东二时区的欧洲人,伪装成东八时区的中国人。他更改了计算机的时区,但是偶尔有几次忘记了更改。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

东二时区的国家(上图的绿色部分),主要是东欧国家,以及一部分北欧国家(芬兰和瑞典)和中东国家(以色列和埃及)。

他来自东二时区,主要理由有三点。

(1)他在东二时区的提交日期是冬季,而东三时区的提交日期是夏季。这正好符合欧洲国家和以色列的夏令时切换。

(2)他明显在手动切换时区。举例来说,2022年10月6日,他先在东八时区的17:00:38进行了一次提交,然后又在东三时区的21:53:09再次提交。两次相差不到十个小时,很难相信这一点时间,他已经从中国来到欧洲写代码。

(3)他在中国的农历假日(中秋节、清明节、春节)都有提交,尤其是2023年春节假期(1月21日到1月27日),他有五天提交记录(分别是22日、23日、24日、26日、27日),这说明他不过春节。相反地,他在欧洲人很重视的假期(圣诞节和新年)却没有提交记录。

综上所述,这个 Jia Tan 很可能来自东二时区。不过,这个人(或者组织)非常小心,而且是技术高手,也许永远也发现不了真实身份。

这件事情提醒我们,开源社区的参与者形形色色,不全是好人,有些人非常阴险,不仅干坏事,还伪装身份,栽赃给他人。因此,我们对他人保持善意的同时,也不能丢失警惕。已经有人提议,重要的开源项目不能接受匿名身份的代码提交者。

科技动态

1、日本人都姓佐藤

一个日本大学教授警告,如果不改变人口下降的趋势,到了2531年,所有日本人都会姓佐藤(sato)。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

佐藤是日本目前最常见的姓氏,占总人口的1.5%。由于日本人口正在下降,罕见姓氏不断消失,人口向大姓集中。

而且,日本有法律,强制要求女性婚后改用夫家的姓氏,导致小姓更难生存。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

(图片说明:某场比赛时,球员姓氏都是佐藤。)

根据调查,2022年至2023年间,佐藤姓氏增长率高达0.83%。也就是说,总人口在减少,但是佐藤氏在增加。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

根据教授的计算,以这个增长率,到了2531年,日本将不存在第二个姓氏,所有人都姓佐藤。

为了警示日本国民,他还办了一个“佐藤问题网站”,提出急需改变女性婚后改夫姓的问题。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

2、观察最多鸟类的人

iGoTerra 是一个野生动物网上社区,用来记录和管理自己看到的野生动物。

它有一个榜单,列出看到最多鸟类的用户排名。最近,该榜单诞生了有史以来第一位看到超过10000种鸟的人。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

创造记录的是一位70岁的美国退休外交官 Peter Kaestner。下图是2024年2月9日他在菲律宾拍到的捕蜘鸟,这是他看到的第10,000种鸟。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

这个记录是不可思议的,因为已知的鸟类大约只有1.1万种,这意味着他几乎见过地球上所有鸟。

技术帮助鸟类观察者创造记录。机器学习现在可以从照片中自动认出,这是哪一种鸟,甚至从叫声也可以分辨鸟类,iGoTerra 社区则让爱好者分享在哪里可以看到什么鸟。

另外,由于对于鸟类的理解在发展,物种被不断细分,很多新的鸟类因此诞生。这也是能够突破10000大关的原因之一。

不过,iGoTerra 只要求上传照片或鸟叫的录音作为证据,并不会对真实性进行审核。

3、苹果公司的起源

本月,苹果公司庆祝成立48周年。这家公司是在1976年4月1日由乔布斯和史蒂夫·沃兹尼亚克在美国加州成立的。

当时,他们两个在乔布斯父母的车库里面,组装电脑的电路板对外销售。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

车库非常简陋,下面是当时的一些照片,沃兹尼亚克一个人在干活。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

两位创始人恐怕都没有料到,苹果后来会发展得这么大,真可谓“作始也简,将毕也巨”。

文章

1、史上首位图灵和阿贝尔双料获奖者(中文)

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

计算机科学的最高奖“图灵奖”刚刚揭晓,普林斯顿高等研究院的数学教授艾维·维格森(Avi Wigderson)。他还拿过数学界的最高奖“阿贝尔奖”,是唯一一位双料获奖者。

2、可以替代 React 的框架(英文)

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

这篇长文对 React 框架提出批评,认为它的很多做法已经过时。文章后半部分介绍了各种可以替代 React 的前端框架。

3、如何生成键盘输入统计看板(英文)

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

本文介绍使用一个 Python 脚本,统计用户在当前计算机按下了什么键。(@tisonkun 投稿)

4、Claude AI 能做,而 ChatGPT 不能做的四件事(英文)

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

Claude 是 Anthropic 公司推出的大规模语言模型,有免费版和收费的 Pro 版。本文比较了 Claude 强于 ChatGPT 的四个地方。

5、如何将 Caddy 作为反向代理(英文)

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

一篇初学者教程,介绍如何用 Caddy 架设反向代理服务器,它的设置比 nginx 简单,而且自动生成和更新 HTTPS 证书。

6、我后悔重构了代码(英文)

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

著名程序员 Dan Abramov 的一篇旧文。他曾经觉得同事的代码太冗余,就擅自重构了,让其变得干净。

但是,他后来认识到,那些冗余的代码有可取之处,抽象反而不利于日后的扩展。

AI 相关

1、ChatGPT

OpenAI 宣布,ChatGPT 取消注册要求,不登录就可以使用。但是,收费的功能(比如 ChatGPT 4 和 DALL-E)还是必须登录。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

2、Opera

Opera 浏览器宣布,通过它就能安装和使用50多个 AI 模型(每个模型占用大约 2GB 空间),大大简化了本地计算机使用 AI 的难度。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

3、Suno AI

Suno AI 是一个“文生音乐”的服务。网友的这个工具帮助你生成它的提示词,可以调整各种细节。(@Lcorinst 投稿)

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

另有一个 Suno AI 音乐下载器。(@AICodeHunt 投稿)

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

4、Free Prompt Market

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

一个收集各种文生图 AI 模型的提示词的网站,可以作为参考工具。(@leoli202303 投稿)

工具

1、DOOM 验证码

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

DOOM 游戏被用作网页验证码,只有消灭指定数目的敌人,才能通过验证。

2、OneUptime

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

一个开源的服务可用性检查工具,记录服务的健康状态,如果发现服务下线,立刻发送通知,可以替代 StatusPage.io。

3、DashPress

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

一个开源工具,只需执行一个命令,就会自动分析数据库结构,生成管理后台,号称不用写代码。

4、Landing page boilerplate

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

开源的项目落地页模板,参见介绍文章。(@weijunext 投稿)

5、GitHub Custom Notifier

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

一个开源的浏览器插件,用来监听 GitHub 官方没有提供的一些事件(比如创建 label),事件发生时,浏览器就会发送通知。(@qiweiii 投稿)

6、HeyForm

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

一个开源的表单生成器,创建调查、问卷、投票等,可以不编写一行代码。(@iMuFeng 投稿)

7、Youdeyiwu

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

一个开源的轻量级论坛,追求界面简洁和使用方便,后端使用 Java,前端使用 Next.js。(@dafengzhen 投稿)

8、Markdown Genji

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

VitePress 的一个插件,用于在 Markdown 文档插入可以执行的代码块,创建交互式文档。(@pearmini 投稿)

9、Mutative

一个操作不可变状态的 JS 库,追求高效。(@unadlib 投稿)。

10、Fusion

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

一个轻量、简洁的 RSS 聚合和阅读器,使用 Go + Svelte 开发。(@0x2E 投稿)

11、node-screenshots

一个跨平台、零依赖的 Node.js 模块,用于截图和录屏。(@nashaofu 投稿)

12、流畅阅读

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

一款浏览器翻译插件,支持人工智能引擎。(@Bistutu 投稿)

13、keynavish

使用键盘控制鼠标运动的 Windows 软件。(@NomandChan 投稿)

14、K8Z

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

管理 Kubernetes 的开源工具,有手机客户端和桌面客户端。(@kofj 投稿)

资源

1、Learn Next.js 中文教程

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

Next.js 官方教程的中文翻译,构建一个全栈 Web 应用程序。(@qufei1993 投稿)

2、3DP.ing

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

一个 3D 打印模型的搜索引擎,特点是使用图片搜索。(@wangasa 投稿)

3、1000UserGuide

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

该网站整理了300多个免费推广渠道,包括网站、论坛、网址导航、产品目录等,帮助独立开发者推广产品。(@naxiaoduo 投稿)

4、Awesome Cloudflare

这个仓库收集基于 Cloudflare 服务的各种开源软件。(@zhuima 投稿)

5、Beej’s Guide to Network Concepts 中译

网友对《Beej’s Guide to Network Concepts》一书的中文翻译。(@rogerzhu 投稿)

图片

1、加州一号公路

加州一号公路从旧金山直到洛杉矶,就建在海岸山脉上,一路沿着太平洋,风景十分优美。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

但是,正因为建在海边悬崖上,这条公路经常发生地质灾害。本月就发生了崩塌,一部分公路掉进了太平洋,不得不暂时封闭。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

2、梅子坑

梅子坑(plum crater)是一个小型的月球陨石撞击坑,直径约40米,深约10米。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

这个陨石坑之所以特别,是因为人类访问过这个地方。

1972年4月21日,阿波罗16号飞船的登月地点,就在梅子坑附近。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

宇航员实地考察了这个陨石坑。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

当年的脚印至今清晰可见(下图)。

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

文摘

1、环岛的作用

开车时,你可能已经遇到许多环岛。

你有没有想过,这些路口为什么要造环岛?没有环岛,行车面积不就更大了吗?

<p>科技爱好者周刊(第 296 期):xz 后门的作者 Jia Tan 是谁?</p>

本质上,环岛上是一种交通控制措施,相比交通灯控制的传统交叉路口,它们具有多种优势,最重要的一个是安全性。

首先,环岛迫使司机放慢速度,为了调整车头方向,司机不得降速。

其次,环岛减少了潜在冲突点的数量。冲突点就是车辆与车辆、车辆与行人可能发生碰撞的位置,它的数量越多,就越容易发生碰撞。

根据一项研究,环岛只有8个潜在冲突点,而传统的四向交叉路口有32个。

最后,环岛的车道都是紧密相邻的同心圆,并且还有很多进口和出口,迫使车辆减速让行。

根据美国公路管理局估计,环岛取代传统的交叉路口时,可将严重交通事故减少80%到90%。

除了安全性,环岛还有一些其他优点,比如让交通更有秩序,不会出现车辆在交叉路口乱成一团的情形,也能让司机更轻松地掉头。

言论

1、

马斯克的管理风格非常独特,他不需要非技术性的中层管理人员,员工表现不佳就会被裁,也不喜欢大型会议。

前特斯拉 AI 总监安德烈·卡帕西

2、

有一种开发模式,叫做“头条新闻驱动法”,将项目分解成一个个头条新闻。

选择一个日期,可以发布第一个头条新闻,然后拼命工作在该日期发布,接着转到下一个头条新闻,重复上面的过程。

《头条新闻驱动法》

3、

我们有一栋房子的 WiFi,只在下雨时可用。后来,我发现了原因。

它的 WiFi 是通过桥接器连接另一栋房子的 WiFi,窗外的树长高了,挡住了对面房子的信号。下雨时,雨水压低了树叶,信号就又通了。

《WiFi 在下雨时可用》

4、

每年冬天,室内供暖消耗大量能源。如果我们能够发明更舒适、更保暖的保暖内衣,就可以减少能源消耗,同时不牺牲轻便感。保暖内衣允许我们大幅调低供暖温度,并且成本几乎为零。

《先保暖身体,再保暖房间》

5、

节省几次击键的工具被高估了,保持注意力专注的工具被低估了。

《小型自动化》

往年回顾

最成功的软件企业家(2023 #249)

俄罗斯的 HTTPS 证书问题(2022 #199)

新能源汽车,谁会是赢家?(2021 #149)

疫情导致的研究生扩招(2020 #99)

(完)

正文完
 
评论(没有评论)