
Ο γερμανός προγραμματιστής Άντρες Φρόιντ έλεγχε τις επιδόσεις ενός μάλλον άγνωστου προγράμματος όταν παρατήρησε κάτι περίεργο. Αυτό που ανακάλυψε έφερε ανατριχίλα στη βιομηχανία λογισμικού και προκάλεσε ανησυχία σε αμερικανούς αξιωματούχους.
Ο Φρόιντ, ο οποίος εργάζεται για τη Microsoft στο Σαν Φρανσίσκο, διαπίστωσε ότι η τελευταία έκδοση του «XZ», μιας σουίτας εργαλείων ανοιχτού κώδικα, είχε εσκεμμένα παγιδευτεί από έναν εκ των δημιουργών του, μια κίνηση που θα μπορούσε να είχε ανοίξει κερκόπορτα σε εκατομμύρια διακομιστές σε όλο τον κόσμο.
Ειδικοί κυβερνοασφάλειας δήλωσαν στο Reuters πως η παρατηρητικότητα του Φρόιντ έσωσε τον κόσμο από μια κρίση ψηφιακής ασφάλειας.
«Γλιτώσαμε παρά τρίχα» είπε ο Σάτναμ Νάραγκ, ερευνητής της εταιρείας κυβερνοασφάλειας Tenable. «Είναι μια από αυτές τις φορές που σκουπίζεις τον ιδρώτα από τα φρύδια και λες ‘Ήμασταν τυχεροί αυτή τη φορά».
Το περιστατικό επαναφέρει στο προσκήνιο το ζήτημα της ασφάλειας του λογισμικού ανοιχτού κώδικα, δωρεάν προγραμμάτων που αναπτύσσονται από εθελοντές αλλά χρησιμοποιούνται ευρέως στη βιομηχανία του Διαδικτύου.
Εθελοντές
Το XZ, μια σουίτα εργαλείων συμπίεσης αρχείων, η οποία περιλαμβάνεται σε πολλές διανομές του λειτουργικού συστήματος Linux, αναπτύχθηκε αρχικά από έναν και μόνο προγραμματιστή, τον Λάσι Κόλιν.
Τα τελευταία χρόνια φαίνεται πως βρίσκεται υπό πίεση.
Σε μήνυμα που ανάρτησε στο Διαδίκτυο τον Ιούνιο του 2022, ο Κόλιν ανέφερε ότι αντιμετώπιζε «μακροπρόθεσμα θέματα ψυχικής υγείας» και ότι συνεργαζόταν πλέον με έναν νέο προγραμματιστή, τον Τζία Ταν.
Καταχωρίσεις στο αποθετήριο ανοιχτού κώδικα Github δείχνουν ότι ο ρόλος του Ταν γρήγορα επεκτάθηκε. Μέχρι το 2023 ο κώδικας που έγραφε ενσωματωνόταν αυτούσιος στο XZ, ένδειξη ότι ήταν πλέον έμπιστο μέλος της προσπάθειας.
Μέσα σε λίγους μήνες, μια σχεδόν αόρατη κερκόπορτα είχε ενσωματωθεί στο λογισμικό.
Ειδικοί ασφάλειας πιστεύουν πλέον ότι ο Ταν είναι χάκερ που δεν αποκλείεται να εργάζεται για κάποια ξένη υπηρεσία πληροφοριών.
«Δεν πρόκειται για υπόθεση νηπιαγωγείου» είπε ο Όμκαρ Αρασαράτναμ, γενικός διευθυντής του Open Source Security Foundation. Ο κρυφός κώδικας «είναι απίστευτα προηγμένος» εξήγησε.
Η κερκόπορτα δεν θα είχε γίνει αντιληπτή αν ο Φρόιντ, ο προγραμματιστής της Microsoft, δεν είχε παρατηρήσει ότι ανά διαστήματα το XZ χρησιμοποιούσε περισσότερη επεξεργαστική ισχύ από ό,τι θα αναμενόταν.
Ο διευθύνων σύμβουλος της Μcrosoft Σάτια Ναντέλα συνεχάρη τον Φρόιντ το Σαββατοκύριακο, γράφοντας στο Χ πως ο προγραμματιστής «με την περιέργεια και την αφοσίωσή του, μπόρεσε να βοηθήσει όλους μας».
Εκ μέρους της αμερικανικής κυβέρνησης, η υποδιευθύντρια Εθνικής Κυβερνοασφάλειας Αντζάνα Ράτζαν δήλωσε στο Politico πως «υπάρχει μεγάλη συζήτηση για το τι χρειάζεται να κάνουμε» για την ασφάλεια του λογισμικού ανοιχτού κώδικα.
Παραμένει ωστόσο ασαφές αν οι εταιρείες τεχνολογίας θα βοηθήσουν στην προσπάθεια, δεδομένου ότι οι δημιουργοί ανοιχτού κώδικα διαμαρτύρονται συχνά ότι οι επιχειρήσεις τούς ζητούν να λύσουν προβλήματα με δωρεάν προγράμματα που οι ίδιες οι επιχειρήσεις εκμεταλλεύονται για να κερδίζουν δισεκατομμύρια.
Όποια κι αν είναι η λύση, όλοι δείχνουν ότι το περιστατικό του XZ δείχνει ότι κάτι πρέπει να αλλάξει.
«Ήμασταν πολύ τυχεροί αυτή τη φορά» έγραψε ο Φρόιντ στο Mastodon. «Δεν μπορούμε να βασιστούμε σε αυτό για να πάμε μπροστά.


Latest News

«Έκρηξη» στις πωλήσεις έξυπνων ακουστικών το 2024 - Τι προβλέπει η Canalys
Τα έξυπνα ακουστικά σημείωσαν αξιοσημείωτη ανάπτυξη 11,2% το 2024 ξεπερνώντας τις παραδόσεις 455 εκατομμυρίων συσκευών παγκοσμίως

Το πιο επικίνδυνο malware για τον Φεβρουάριο - Η απειλή που στοχεύει αξιόπιστες πλατφόρμες
Το AsyncRAT αναδύεται ως μια σε ανάπτυξη απειλή, ενώ οι εγκληματίες του κυβερνοχώρου συνεχίζουν να εκμεταλλεύονται νόμιμες πλατφόρμες για να αποφύγουν τον εντοπισμό του και να το εδραιοποιήσουν

Η ICEYE εκτοξεύει τον νέο δορυφόρο Generation 4
Ο Generation 4 είναι η τελευταία καινοτομία της ICEYE, που προσφέρει δυνατότητες απεικόνισης για βελτιωμένη παρατήρηση και κατηγοριοποίηση στόχων, εξυπηρετώντας τις ανάγκες σε παγκόσμιες αγορές άμυνας και ISR

OpenAI και Μασκ συμφωνούν σε γρήγορη δίκη για αλλαγή μοντέλου λειτουργίας της startup
Ο δικαστής απέρριψε αυτό το μήνα το αίτημα του Μασκ να αναστείλει τη μετάβαση της OpenAI σε κερδοσκοπικό μοντέλο

Salesforce: Νέες δυνατότητες ενσωμάτωσης αυτόνομων AI Agents στις επιχειρήσεις
Η Salesforce ανακοίνωσε την κυκλοφορία του Agentforce 2dx, της νεότερης έκδοσης της πλατφόρμας Agentforce

Vodafone: Ολοκλήρωση δύο έργων για την ψηφιακή αναβάθμιση του Δημοσίου Τομέα
Τα έργα που ολοκλήρωσε η Vodafone είναι το νέο πληροφοριακό σύστημα για την επιμόρφωση των εκπαιδευτικών και ο μετασχηματισμός των υπηρεσιών στα ελληνικά Προξενεία

Το Gemini για το Google Workspace διαθέσιμο και στα ελληνικά
Η Google για να βοηθήσει περισσότερους οργανισμούς να λειτουργούν καλύτερα, επέκτεινε την υποστήριξη γλωσσών σε επιπλέον γλώσσες, συμπεριλαμβανομένης της ελληνικής

Η Κίνα βάζει στο στόχαστρο τα fake news στο χρηματιστήριο λόγω ΑΙ
Οι ρυθμιστικές αρχές στην Κίνα θα «χτυπήσουν νωρίς, θα χτυπήσουν σκληρά και θα χτυπήσουν στην καρδιά» του ζητήματος

Ματωμένο Φεγγάρι: Η ολική έκλειψη σελήνης που «έβαψε» κόκκινο το φεγγάρι
Οι συγκλονιστικές φωτογραφίες από το «ματωμένο φεγγάρι».

Μασκ: Ανακοίνωσε πως το Starship θα μεταφέρει το ρομπότ Optimus στον Άρη το 2026
«Αν πάνε καλά οι προσεδαφίσεις αυτές, τότε προσεδαφίσεις ανθρώπων θα μπορούσαν να ξεκινήσουν ήδη από το 2029, αν και το 2031 δείχνει πιο πιθανό», ανέφερε ο Έλον Μασκ