Германският софтуерен разработчик Андрес Фройнд, който работи за Microsoft, провежда подробни тестове за производителност през миналия месец, когато забеляза „странно поведение“ в малкa програма.
Това, което той открива, когато се задълбава, изправя на нокти света на тех индустрията.
Експертите по сигурността казват, че само защото Фройнд е забелязал проблемът преди най-новата версия на програмата XZ да бъде разпространена, светът е бил пощаден от криза в сигурността.
Love seeing how @AndresFreundTec, with his curiosity and craftsmanship, was able to help us all. Security is a team sport, and this is the culture we need everywhere. https://t.co/M4OX2np8SE
— Satya Nadella (@satyanadella) March 31, 2024
Почти успешната кибератака насочи вниманието към безопасността на софтуера с отворен код. Той е безплатен и често поддържан от доброволци. Това са програми, чиято прозрачност и гъвкавост означава, че те служат като основа на интернет икономиката. Подобни проекти зависят от тесен кръг неплатени доброволци, които са заринати от искания за оптимизация и обновяване на софтуера им.
XZ e набор от инструменти за компресиране на файлове за операционната система Linux. Програмата дълго време се поддържа от един човек– Ласе Колин. В свое съобщение през юни 2022 г. Колин обяснява, че се бори с лични проблеми и ще започне да работи съвместно с нов разработчик – Джиа Тан. Ролята на Тан бързо се разширява. До 2023 г. регистрационните файлове показват, че той влива своя код в XZ – знак, че е спечелил доверена роля в проекта.
Но експертите по киберсигурност, които са прегледали регистрационните файлове, казват, че Тан се е маскирал като полезен доброволец. През следващите няколко месеца, програмистът създава почти „невидима задна врата“ в XZ. Според тях Тан е псевдоним на хакер или група хакери, вероятно работещи от името на мощна разузнавателна служба.
„Това не са неща за детската градина“, каза Омкхар Арасаратнам, генерален директор на Open Source Security Foundation, която работи за защита на проекти като XZ.
„Агенцията по киберсигурност и сигурност на инфраструктурата“ в САЩ казва, че разчита на американски компании, които използват софтуер с отворен код, да върнат ресурси обратно в общностите, които го изграждат и поддържат, като по този начин да се засили сигурността.
Съветникът на агенцията Джак Кейбъл каза пред Ройтерс, че тежестта е върху технологичните компании не само да проверят отворения софтуер, но и да „допринасят и да помогнат за изграждането на устойчива екосистема с отворен код“.
Софтуерните инженери, разработващи такива софтуери, споделят, че технологичните гиганти настояват те да отстраняват проблеми със софтуера, докато в същото време правят милиарди долари, използвайки програмите безплатно. Каквото и да е решението, почти всички са съгласни, че случаят с XZ показва, че нещо трябва да се промени.