Ο Freund, ο οποίος
εργάζεται για τη Microsoft από
το Σαν Φρανσίσκο,
ανακάλυψε ότι η
τελευταία έκδοση του
προγράμματος λογισμικού
ανοικτού κώδικα XZ Utils
είχε σαμποταριστεί
σκόπιμα από έναν από
τους προγραμματιστές
του, μια κίνηση που θα
μπορούσε να έχει ανοίξει
μια μυστική πόρτα σε
εκατομμύρια servers σε
όλο το διαδίκτυο.
Οι ειδικοί σε θέματα
ασφάλειας λένε ότι μόνο
επειδή ο Freund εντόπισε
την αλλαγή πριν η
τελευταία έκδοση του XZ
αναπτυχθεί ευρέως, ο
κόσμος γλίτωσε από μια
κρίση ψηφιακής
ασφάλειας.
«Πραγματικά αποφύγαμε
μια σφαίρα», δήλωσε ο
Satnam Narang, ερευνητής
ασφαλείας της Tenable, ο
οποίος παρακολουθεί τις
επιπτώσεις του
ευρήματος. «Είναι μια
από εκείνες τις στιγμές
που πρέπει να
σκουπίσουμε το μέτωπό
μας και να πούμε,
‘Ήμασταν πραγματικά
τυχεροί με αυτό’».
Το παρ’ ολίγον ατύχημα
έστρεψε την προσοχή στην
ασφάλεια του λογισμικού
ανοικτού κώδικα –
δωρεάν, το οποίο συχνά
συντηρείται εθελοντικά
και το οποίο χρειάζεται
διαφάνεια και ευελιξία
για την οικονομία του
διαδικτύου. Πολλά τέτοια
προγράμματα εξαρτώνται
από έναν μικρό κύκλο μη
αμειβόμενων εθελοντών
που παλεύουν να
αντιμετωπίσουν ένα σωρό
απαιτήσεις για
διορθώσεις και
αναβαθμίσεις.
Το XZ, ένα πακέτο
εργαλείων συμπίεσης
αρχείων που
περιλαμβάνεται σε
διανομές του
λειτουργικού συστήματος Linux,
συντηρούνταν επί μακρόν
από ένα μόνο άτομο, τον
Lasse Collin. Τα
τελευταία χρόνια, φάνηκε
να βρίσκεται υπό πίεση.
Σε ένα μήνυμα που
δημοσιεύτηκε σε μια
δημόσια λίστα
αλληλογραφίας τον Ιούνιο
του 2022, ο Collin
δήλωσε ότι αντιμετώπιζε
«μακροχρόνια προβλήματα
ψυχικής υγείας» και
άφησε να εννοηθεί ότι
συνεργαζόταν με έναν νέο
προγραμματιστή ονόματι
Jia Tan και ότι «ίσως
αυτός να έχει μεγαλύτερο
ρόλο στο μέλλον».
Τα αρχεία καταγραφής
ενημερώσεων που
διατίθενται μέσω του
ιστότοπου λογισμικού
ανοικτού κώδικα Github
δείχνουν ότι ο ρόλος του
Tan επεκτάθηκε γρήγορα.
Μέχρι το 2023 τα αρχεία
καταγραφής δείχνουν ότι
ο Tan ενσωμάτωσε τον
κώδικά του στο XZ, ένα
σημάδι ότι είχε κερδίσει
έναν έμπιστο ρόλο στο
έργο.
Αλλά οι ειδικοί σε
θέματα κυβερνοασφάλειας
που εξέτασαν τα αρχεία
καταγραφής λένε ότι ο
Tan «μεταμφιεζόταν» σε
έναν εξυπηρετικό
εθελοντή. Κατά τη
διάρκεια των επόμενων
μηνών, λένε, ο Tan
εισήγαγε μια σχεδόν
αόρατη κερκόπορτα στο
XZ.
Ο Collin δεν σχολίασε το
γεγονός και δήλωσε στον
ιστότοπό του ότι δεν θα
απαντούσε στους
δημοσιογράφους μέχρι να
κατανοήσει την κατάσταση
αρκετά καλά για να το
πράξει.
Το Reuters δεν μπόρεσε
να εξακριβώσει ποιος
είναι ο Tan, πού
βρίσκεται ή για ποιον
δούλευε, αλλά πολλοί από
αυτούς που εξέτασαν τις
ενημερώσεις του,
πιστεύουν ότι το Tan
είναι ψευδώνυμο για έναν
έμπειρο χάκερ ή μια
ομάδα χάκερ – πιθανότατα
κάποιος που εργάζεται
για λογαριασμό μιας
ισχυρής υπηρεσίας
πληροφοριών.
«Δεν πρόκειται για
πράγματα που αφορούν το
νηπιαγωγείο», δήλωσε ο
Omkhar Arasaratnam,
γενικός διευθυντής του
Open Source Security
Foundation, το οποίο
εργάζεται για έργα όπως
το XZ. «Αυτό είναι
απίστευτα εξελιγμένο»,
τόνισε.
«Ήμασταν τυχεροί»
Ο Tan θα μπορούσε εύκολα
να τη γλιτώσει αν δεν
ήταν ο Freund, ο
προγραμματιστής της
Microsoft, του οποίου η
περιέργεια κινήθηκε όταν
παρατήρησε ότι η
τελευταία έκδοση του XZ
χρησιμοποιούσε κατά
διαστήματα μια
απροσδόκητη ποσότητα
επεξεργαστικής ισχύος
στο σύστημα που
δοκίμαζε.
Η Microsoft αρνήθηκε να
διαθέσει τον Freund για
μια συνέντευξη, αλλά σε
δημόσια διαθέσιμα
μηνύματα ηλεκτρονικού
ταχυδρομείου και
αναρτήσεις στα μέσα
κοινωνικής δικτύωσης, ο
Freund δήλωσε ότι μια
σειρά από εύκολες
ενδείξεις τον ώθησαν να
ανακαλύψει την
κερκόπορτα. Η εύρεση
«απαιτούσε πραγματικά
πολλές συμπτώσεις»,
δήλωσε ο Freund στο
κοινωνικό δίκτυο
Mastodon.
Ο διευθύνων σύμβουλος
της Microsoft Satya
Nadella συνεχάρη τον
Freund λέγοντας σε μια
ανάρτηση στο κοινωνικό
δίκτυο X ότι του άρεσε
να βλέπει πώς ο
προγραμματιστής, «με την
περιέργεια και τη
δεξιοτεχνία του, μπόρεσε
να μας βοηθήσει όλους».
Στην κοινότητα του
ανοιχτού κώδικα, η
ανακάλυψη ήταν
απογοητευτική. Το να
συνειδητοποιήσουν ότι
τώρα τους κυνηγούσαν
καλά εξοπλισμένοι
κατάσκοποι που
παρίσταναν τους καλούς
Σαμαρείτες ήταν
«απίστευτα εκφοβιστικό».
Κυβερνητικοί
αξιωματούχοι σταθμίζουν
επίσης τις επιπτώσεις
του παρ’ ολίγον
ατυχήματος, το οποίο
ενέτεινε τις ανησυχίες
σχετικά με τον τρόπο
προστασίας του
λογισμικού ανοικτού
κώδικα. Η βοηθός του
Εθνικού Διευθυντή
Κυβερνοχώρου Anajana
Rajan δήλωσε στο
Politico ότι «υπάρχουν
πολλές συζητήσεις που
πρέπει να κάνουμε
σχετικά με το τι κάνουμε
στη συνέχεια» για την
προστασία του κώδικα
ανοικτού κώδικα.
Ο Οργανισμός
Κυβερνοασφάλειας και
Ασφάλειας Υποδομών
(CISA) λέει ότι έχει
στηριχθεί στις
αμερικανικές εταιρείες
που χρησιμοποιούν
λογισμικό ανοικτού
κώδικα για να
διοχετεύσουν πόρους πίσω
στις κοινότητες που το
κατασκευάζουν και το
συντηρούν.
Ο σύμβουλος της CISA,
Jack Cable, δήλωσε στο
Reuters ότι το βάρος
πέφτει στις εταιρείες
τεχνολογίας όχι μόνο για
να ελέγξουν το ανοικτό
λογισμικό αλλά και για
να «συνεισφέρουν στην
οικοδόμηση του βιώσιμου
συστήματος ανοικτού
κώδικα» και δεν είναι
σαφές ότι οι εταιρείες
λογισμικού έχουν τα
κατάλληλα κίνητρα για να
το πράξουν.
Η διαδικτυακή
αλληλογραφία ανοιχτού
κώδικα είναι γεμάτη με
παράπονα για
τεχνολογικούς γίγαντες
που απαιτούν από
εθελοντές να επιλύουν
προβλήματα με το
λογισμικό ανοιχτού
κώδικα που χρησιμοποιούν
οι εταιρείες αυτές για
να κερδίσουν
δισεκατομμύρια δολάρια.
Όποια και αν είναι η
λύση, σχεδόν όλοι
συμφωνούν ότι το
επεισόδιο του XZ δείχνει
ότι κάτι πρέπει να
αλλάξει. «Ήμασταν
αδικαιολόγητα τυχεροί
εδώ», δήλωσε ο Freund σε
μια άλλη ανάρτηση του
Mastodon. «Δεν μπορούμε
να βασιστούμε σε αυτό
στο μέλλον», καταλήγει.
Πηγή: Reuters – Money
Review |