G.O.S.S.I.P 安全八卦 2024-04-01 Tan Jia究竟何许（哪国）人也

我记得小学二年级的时候，有一天放学回到家，突然发现气氛不太对，老妈拉长了脸问我做了什么坏事。一头雾水的我搞了半天才知道，原来在院子里面某个玻璃窗上有人写了一行字——“xxx死于此地”（xxx是我楼上的邻居家的小孩），然后还署了我的名字。虽然丈二和尚摸不着头脑，但是从小喜欢阅读逻辑智力相关书籍（凡尔赛）的习惯还是让我冷静下来，反问老妈：“如果真的是我写的，为什么我要留自己的名字呢？”

相信逻辑而不是情绪价值，其实对于很多人来说都很容易做到，只要你不要带着先入为主的偏见就好。这几天让安全研究社区炸开了锅的XZ后门投毒案的主角Tan Jia（Tan Jia Tan Jia，谈婚论嫁？还是见钱眼开？我们权且在后面称ta为“谈价”吧）真实身份究竟是谁，在这个时间窗口的热度，堪比另一个IT界神秘人物——中本聪。不过正如大家现在不会认为中本聪一定就是个日本人一样，如果你看到这个名字就认为背后一定是个华人，亦或像下面这样直接引用“名人名言”来进行否定，恐怕都不是什么很好的习惯。毕竟，真相一般都隐藏在层层的表象之下，只有充满耐心抽丝剥茧才能还原。

在所有人的热议中，我们注意到有一篇来自外网的blog，根据这么一个原则对“谈价”的工作习惯进行了分析：因为热爱某件事而去做，和为了谈价钱才去做，可能是两种完全不同的工作习惯。在对“谈”老师为了掩盖自己的攻击行为而在前面进行的大量铺垫性努力的分析中，我们可以看到很多歪果程序员看了会笑，国内程序员看了会流泪的特征。

https://github.com/JiaT75?tab=overview&from=2021-12-01&to=2021-12-31 commits to the XZ repository and their time stamps

作为一名伪装者，“谈”老师的工作时间（也就是提交commit或者发消息）一般都是8小时（很规律，一点也不996.icu，如果说自己在国内，那必定是狼人，第一个拖出去杀了），按照GitHub上commit msg显示的时区分析，一般都是从UTC+8的下午2点到晚上10点，这个时间说奇怪也不奇怪，工作到10点才回家这个老外看了可能吃一斤，我们大厂程序员恐怕会觉得云淡风轻。但是下午两点开始上班，请问你没有项目经理吗？你不怕“降本增笑”吗？而且如果我们假定“谈”老师是一名用爱发电的开源爱好者（自由职业），那么为什么在数据分析里面显示，“谈”老师基本上都是在周二到周五活跃？

The most common working days for Jia were Tue (86), Wed (85), Thu (89), and Fri (79).

可我们如果把时区调整到UTC+2/UTC+3，你会发现这完全说得过去了，在提交信息展示出来的人物画像中，可以看到一个早上9点到下午6点准时上下班、只在工作日勤勤恳恳重拳出击，决不在周末加班的歪果劳动者的形象。

虽然上面这些只是猜测，但有另一个很有力的证据证明“谈”老师的时区并不在中国！在2022年的10月6号，“谈”老师在UTC+8时间的17:00:38提交了一次commit，随后（不小心？）提交了一次显示为21:53:09（UTC+3）的commit，这就很奇怪了，除非你是坐了马斯克的龙飞船，否则这个时间不太够你在UTC+8时区交完代码就马上飞到UTC+3时区，而且这个时间是2022年，作为一个歪果仁根本不知道三年自然灾害时期的隔离政策，你去了UTC+3时区还想回国来？方舱伺候！

到了2023年的6月27日，在日志中又可以观察到一次类似的事件：存在两次相隔只有几分钟的记录——23:38:32（UTC+8）和17:27:09（UTC+3），这次就算坐了长征火箭也没这么快了吧？不过在blog文章底下，热心的吃瓜群众展开了更深入的分析，似乎博主的调查稍微有点问题，其中有一些UTC+2/3的记录是和XZ的原维护者Lasse Collin有关。

外网博主继续分析（虽然但是，人家很懂我国的小长假政策），如果你人在神州大地，那么你大概率会参与到人潮汹涌的小长假大迁徙中，除了2023年之前的特殊情况，到后面大家都被憋坏了疯狂地出去玩，很奇怪的是“谈”老师似乎从不参与到包括中秋、清明和春节的放假活动中，反倒是很积极地在这个时间加班（评论区还有个热心的国内读者说“在春节期间还连续五天工作的肯定不是中国人”（而且前面还说他工作都是规律的周二到周五，突然春节开始加班了？）。反而是到了过洋节的时候，“谈”老师休息得很积极。

这里最好笑的是有人提议让博主去分析下看这个“谈”老师是不是在俄罗斯的各种节日也休息，评论马上有人回复说“我们伟大的俄罗斯虽然地大物博但是也没有UTC+2/3，除了我们的Kaliningrad”，这时候就要考考大家的地理常识了：请问加格达奇和加里宁格勒的相似之处是什么？于是在评论区里面，这个帖子就变成了地图炮地理知识大战，有人说UTC+8也可以是新加坡啊，而且Tan是新加坡常见的姓（并表示这不是要推翻原来文章的结论，只是想要普及一点地理常识），好端端的一个安全八卦就被生生带到了高考地理复习点上去了。。。

最后有一个热心的吃瓜群众贴了一个补充的证据，说另一个账号Jigar Kumar（背景：2022年“谈”老师通过邮件列表提交了一个补丁，随后一个新角色也就是Jigar Kumar出现并要求合并这个补丁。不久之后，Jigar Kumar施压Lasse Collin，要求给XZ项目增加一位维护者，然后这个账号便人间消失了。这司马昭之心）作为“谈”老师的马甲在2022年写了个邮件（UTC-7时区的2022年4月27日11点42分），然而在“谈”老师回复信息里面，由于客户端的自动解析，把Jigar Kumar这个邮件的时间解析成了2022年4月28日2点42分，按照这个时差一算，“谈”老师必然是在UTC+3而不是UTC+8！

让我们期待2024年的第一次安全八卦大事件的继续发酵，看这背后到底会有多少有意思的线索！

博客原文：https://rheaeve.substack.com/p/xz-backdoor-times-damned-times-and

原文始发于微信公众号（安全研究GoSSIP）：G.O.S.S.I.P 安全八卦 2024-04-01 Tan Jia究竟何许（哪国）人也