Dezvoltatorul german de aplicații Andres Freund, care lucrează pentru Microsoft, a descoperit că cea mai recentă versiune a XZ Utils, un software open source de compresie a datelor, utilizat de o gamă largă de aplicații și sisteme de operare bazate pe Linux, a fost sabotat în mod deliberat de unul dintre dezvoltatorii săi.
Dacă Freund nu descoperea că XZ Utils folosea intermitent o cantitate neașteptată de putere de procesare, înainte ca versiunea să fie implementată la scară largă, acest lucru ar fi putut duce la accesarea sau chiar preluarea controlului a milioane de computere ce foloseau software-ul (asociat, în principiu, cu sistemele de operare dezvoltate de Linux), ceea ce ar fi dus la o criză de securitate digitală.
Satnam Narang, cercetător la o companie americană de securitate cibernetică Tenable, a comparat situația cu evitarea unui glonț: ”A fost unul din acele momente în care trebuie să ne ștergem fruntea și să spunem că am fost foarte norocoși”. Descoperirea lui Freund a atras atenția asupra siguranței softurilor open source, adesea întreținute de voluntari, care sunt un fel de piatră de temelie pentru internet. Multe astfel de proiecte, arată agenția de presă, depind de un cerc mic de voluntari care se chinuie să rezolve o mulțime de cereri de remediere sau de upgradare.
XZ, suita de instrumente de comprimare a fișierelor incluse în distribuțiile sistemului de operare Linux și, în cazul versiunilor sale mai noi, Windows, a fost întreținută mult timp de o singură persoană, Lasse Collin. În iunie 2022, el a transmis pe rețelele de socializare că lucrează cu un nou dezvoltator voluntar, Jia Tan, și că “poate acesta va avea un rol mai important în viitor”. Ulterior, în 2023, Tan a ajuns să scrie cod pentru XZ Utils, alături de Collin, iar la câteva luni distanță, acesta a inclus un punct de acces aproape indetectabil (“backdoor”), care exploatează vulnerabilitățile computerului-gazdă.
Reuters nu a reușit să stabilească cine este Tan, unde se află sau pentru cine lucra, însă mulți dintre cei care au examinat actualizările XZ Utils cred că Tan este un pseudonim pentru un hacker sau un grup de hackeri care probabil lucrează în numele unui important serviciu de informații. Collin a transmis că nu va face comentarii, până el însuși nu va înțelege ce s-a întâmplat cu adevărat.
Voluntarii care întrețin software-urile open source, care “stau la baza internetului”, se simt acum “vânați” de spioni care pretind a fi “buni samariteni”, a afirmat Omkhar Arasaratnam, directorului general al Open Source Security Foundation.
De asemenea, Agenția americană pentru Securitatea Cibernetică și Infrastructură (CISA) spune că a făcut presiuni asupra companiilor americane care utilizează softuri open source să aloce resurse în comunitățile care îl construiesc și îl întrețin. Oficialii guvernamentali analizează, de asemenea, implicațiile acestui incident, care a subliniat preocupările legate de modul de protecție a software-ului open source.
Sursă: Reuters
*foto cu caracter ilustrativ: Maciek905 | Dreamstime.com
Echipa Biziday nu a solicitat și nu a acceptat nicio formă de finanțare din fonduri guvernamentale. Spațiile de publicitate sunt limitate, iar reclama neinvazivă.
Dacă îți place ce facem, poți contribui tu pentru susținerea echipei Biziday.