Ο Γερμανός προγραμματιστής λογισμικού Andres Freund εκτελούσε κάποιες λεπτομερείς δοκιμές επιδόσεων τον περασμένο μήνα, όταν παρατήρησε μια «περίεργη συμπεριφορά» σε ένα ελάχιστα γνωστό πρόγραμμα. Αυτό που διαπίστωσε όταν το ερεύνησε, προκάλεσε ανατριχίλα στον κόσμο του λογισμικού και τράβηξε την προσοχή στελεχών της τεχνολογίας και κυβερνητικών αξιωματούχων.
Ο Freund, ο οποίος εργάζεται για τη Microsoft από το Σαν Φρανσίσκο, ανακάλυψε ότι η τελευταία έκδοση του προγράμματος λογισμικού ανοικτού κώδικα XZ Utils είχε σαμποταριστεί σκόπιμα από έναν από τους προγραμματιστές του, μια κίνηση που θα μπορούσε να έχει ανοίξει μια μυστική πόρτα σε εκατομμύρια servers σε όλο το διαδίκτυο.
Οι ειδικοί σε θέματα ασφάλειας λένε ότι μόνο επειδή ο Freund εντόπισε την αλλαγή πριν η τελευταία έκδοση του XZ αναπτυχθεί ευρέως, ο κόσμος γλίτωσε από μια κρίση ψηφιακής ασφάλειας.
«Πραγματικά αποφύγαμε μια σφαίρα», δήλωσε ο Satnam Narang, ερευνητής ασφαλείας της Tenable, ο οποίος παρακολουθεί τις επιπτώσεις του ευρήματος. «Είναι μια από εκείνες τις στιγμές που πρέπει να σκουπίσουμε το μέτωπό μας και να πούμε, ‘Ήμασταν πραγματικά τυχεροί με αυτό’».
Το παρ’ ολίγον ατύχημα έστρεψε την προσοχή στην ασφάλεια του λογισμικού ανοικτού κώδικα – δωρεάν, το οποίο συχνά συντηρείται εθελοντικά και το οποίο χρειάζεται διαφάνεια και ευελιξία για την οικονομία του διαδικτύου. Πολλά τέτοια προγράμματα εξαρτώνται από έναν μικρό κύκλο μη αμειβόμενων εθελοντών που παλεύουν να αντιμετωπίσουν ένα σωρό απαιτήσεις για διορθώσεις και αναβαθμίσεις.
Το XZ, ένα πακέτο εργαλείων συμπίεσης αρχείων που περιλαμβάνεται σε διανομές του λειτουργικού συστήματος Linux, συντηρούνταν επί μακρόν από ένα μόνο άτομο, τον Lasse Collin. Τα τελευταία χρόνια, φάνηκε να βρίσκεται υπό πίεση. Σε ένα μήνυμα που δημοσιεύτηκε σε μια δημόσια λίστα αλληλογραφίας τον Ιούνιο του 2022, ο Collin δήλωσε ότι αντιμετώπιζε «μακροχρόνια προβλήματα ψυχικής υγείας» και άφησε να εννοηθεί ότι συνεργαζόταν με έναν νέο προγραμματιστή ονόματι Jia Tan και ότι «ίσως αυτός να έχει μεγαλύτερο ρόλο στο μέλλον».
Τα αρχεία καταγραφής ενημερώσεων που διατίθενται μέσω του ιστότοπου λογισμικού ανοικτού κώδικα Github δείχνουν ότι ο ρόλος του Tan επεκτάθηκε γρήγορα. Μέχρι το 2023 τα αρχεία καταγραφής δείχνουν ότι ο Tan ενσωμάτωσε τον κώδικά του στο XZ, ένα σημάδι ότι είχε κερδίσει έναν έμπιστο ρόλο στο έργο.
Αλλά οι ειδικοί σε θέματα κυβερνοασφάλειας που εξέτασαν τα αρχεία καταγραφής λένε ότι ο Tan «μεταμφιεζόταν» σε έναν εξυπηρετικό εθελοντή. Κατά τη διάρκεια των επόμενων μηνών, λένε, ο Tan εισήγαγε μια σχεδόν αόρατη κερκόπορτα στο XZ.
Ο Collin δεν σχολίασε το γεγονός και δήλωσε στον ιστότοπό του ότι δεν θα απαντούσε στους δημοσιογράφους μέχρι να κατανοήσει την κατάσταση αρκετά καλά για να το πράξει.
Το Reuters δεν μπόρεσε να εξακριβώσει ποιος είναι ο Tan, πού βρίσκεται ή για ποιον δούλευε, αλλά πολλοί από αυτούς που εξέτασαν τις ενημερώσεις του, πιστεύουν ότι το Tan είναι ψευδώνυμο για έναν έμπειρο χάκερ ή μια ομάδα χάκερ – πιθανότατα κάποιος που εργάζεται για λογαριασμό μιας ισχυρής υπηρεσίας πληροφοριών.
«Δεν πρόκειται για πράγματα που αφορούν το νηπιαγωγείο», δήλωσε ο Omkhar Arasaratnam, γενικός διευθυντής του Open Source Security Foundation, το οποίο εργάζεται για έργα όπως το XZ. «Αυτό είναι απίστευτα εξελιγμένο», τόνισε.
«Ήμασταν τυχεροί»
Ο Tan θα μπορούσε εύκολα να τη γλιτώσει αν δεν ήταν ο Freund, ο προγραμματιστής της Microsoft, του οποίου η περιέργεια κινήθηκε όταν παρατήρησε ότι η τελευταία έκδοση του XZ χρησιμοποιούσε κατά διαστήματα μια απροσδόκητη ποσότητα επεξεργαστικής ισχύος στο σύστημα που δοκίμαζε.
Η Microsoft αρνήθηκε να διαθέσει τον Freund για μια συνέντευξη, αλλά σε δημόσια διαθέσιμα μηνύματα ηλεκτρονικού ταχυδρομείου και αναρτήσεις στα μέσα κοινωνικής δικτύωσης, ο Freund δήλωσε ότι μια σειρά από εύκολες ενδείξεις τον ώθησαν να ανακαλύψει την κερκόπορτα. Η εύρεση «απαιτούσε πραγματικά πολλές συμπτώσεις», δήλωσε ο Freund στο κοινωνικό δίκτυο Mastodon.
Ο διευθύνων σύμβουλος της Microsoft Satya Nadella συνεχάρη τον Freund λέγοντας σε μια ανάρτηση στο κοινωνικό δίκτυο X ότι του άρεσε να βλέπει πώς ο προγραμματιστής, «με την περιέργεια και τη δεξιοτεχνία του, μπόρεσε να μας βοηθήσει όλους».
Στην κοινότητα του ανοιχτού κώδικα, η ανακάλυψη ήταν απογοητευτική. Το να συνειδητοποιήσουν ότι τώρα τους κυνηγούσαν καλά εξοπλισμένοι κατάσκοποι που παρίσταναν τους καλούς Σαμαρείτες ήταν «απίστευτα εκφοβιστικό».
Κυβερνητικοί αξιωματούχοι σταθμίζουν επίσης τις επιπτώσεις του παρ’ ολίγον ατυχήματος, το οποίο ενέτεινε τις ανησυχίες σχετικά με τον τρόπο προστασίας του λογισμικού ανοικτού κώδικα. Η βοηθός του Εθνικού Διευθυντή Κυβερνοχώρου Anajana Rajan δήλωσε στο Politico ότι «υπάρχουν πολλές συζητήσεις που πρέπει να κάνουμε σχετικά με το τι κάνουμε στη συνέχεια» για την προστασία του κώδικα ανοικτού κώδικα.
Ο Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) λέει ότι έχει στηριχθεί στις αμερικανικές εταιρείες που χρησιμοποιούν λογισμικό ανοικτού κώδικα για να διοχετεύσουν πόρους πίσω στις κοινότητες που το κατασκευάζουν και το συντηρούν.
Ο σύμβουλος της CISA, Jack Cable, δήλωσε στο Reuters ότι το βάρος πέφτει στις εταιρείες τεχνολογίας όχι μόνο για να ελέγξουν το ανοικτό λογισμικό αλλά και για να «συνεισφέρουν στην οικοδόμηση του βιώσιμου συστήματος ανοικτού κώδικα» και δεν είναι σαφές ότι οι εταιρείες λογισμικού έχουν τα κατάλληλα κίνητρα για να το πράξουν.
Η διαδικτυακή αλληλογραφία ανοιχτού κώδικα είναι γεμάτη με παράπονα για τεχνολογικούς γίγαντες που απαιτούν από εθελοντές να επιλύουν προβλήματα με το λογισμικό ανοιχτού κώδικα που χρησιμοποιούν οι εταιρείες αυτές για να κερδίσουν δισεκατομμύρια δολάρια.
Όποια και αν είναι η λύση, σχεδόν όλοι συμφωνούν ότι το επεισόδιο του XZ δείχνει ότι κάτι πρέπει να αλλάξει. «Ήμασταν αδικαιολόγητα τυχεροί εδώ», δήλωσε ο Freund σε μια άλλη ανάρτηση του Mastodon. «Δεν μπορούμε να βασιστούμε σε αυτό στο μέλλον», καταλήγει.
Πηγές: moneyreview.gr, Reuters