Un attacco informatico silenzioso ha quasi messo a rischio i computer di tutto il mondo

Nel 2020, XKCD , una popolare serie di fumetti su Internet, ha pubblicato una vignetta raffigurante una disposizione oscillante di blocchi con il titolo: “L'intera moderna infrastruttura digitale”. C'era un pezzo di mattone sottile posato precariamente sul fondo, che teneva tutto insieme: “Un progetto che una persona a caso nel Nebraska porta avanti ingratamente dal 2003.” L’illustrazione divenne rapidamente un classico di culto tra le persone con una mentalità tecnica perché metteva in luce una verità difficile: Il software al centro di Internet non è gestito da grandi aziende o da burocrazie tentacolari, ma da una manciata di volontari laboriosi che lavorano nell’oscurità. Il panico legato alla sicurezza informatica degli ultimi giorni mostra come il risultato possa essere vicino al disastro.

Il 29 marzo Andrea FreundIngegnere Microsoft, Ha pubblicato un breve racconto poliziesco. Nelle ultime settimane ho notato che SSH (un sistema per accedere in modo sicuro a un altro dispositivo su Internet) funzionava circa 500 millisecondi più lentamente del previsto. Un'ispezione più approfondita ha rivelato un codice dannoso incorporato in XZ Utils, un programma progettato per comprimere i dati utilizzati all'interno del sistema operativo Linux, che funziona praticamente su ogni server accessibile al pubblico su Internet. In definitiva, questi server supportano Internet, compresi i servizi finanziari e governativi vitali. Il malware avrebbe potuto fungere da “chiave principale”. Consentire agli aggressori di rubare dati crittografati o installare altro malware.

La parte più interessante della storia è come è arrivata lì. XZ Utils è un software open source, il che significa che il suo codice è pubblico e chiunque può esaminarlo o modificarlo. Nel 2022, Lacey Cullen, uno sviluppatore che lo ha sostenuto, ha scoperto che il suo “progetto di hobby non retribuito” stava diventando sempre più gravoso a causa dei problemi di salute mentale a lungo termine. Uno sviluppatore di nome Jia Tan, che aveva creato un account l'anno precedente, si è offerto di aiutare. Nel corso di più di due anni, hanno contribuito con codice utile centinaia di volte, creando fiducia. A febbraio hanno contrabbandato malware.

Secondo lui il significato dell'attacco è “enorme”. Scanalatura, pseudonimo di un ricercatore di sicurezza indipendente molto popolare tra i professionisti della sicurezza informatica. “La backdoor è molto strana nel modo in cui viene implementata, ma è una cosa davvero intelligente e molto sottile”; Suggerisce che potrebbe essere molto subdolo, perché alcuni passi compiuti nel codice per nascondere il suo vero scopo potrebbero averlo rallentato e far scattare l'allarme del signor Freund. L'approccio paziente di Jia Tan, supportato da molti altri resoconti che spingono Cullen a consegnare il testimone, suggerisce questo Una sofisticata operazione di intelligence umana da parte di un'agenzia governativa, suggerisce Grojk.

Sospetta il servizio di intelligence straniero russo SVR, che nel 2019-2020 ha anche violato il software di gestione della rete SolarWinds Orion per ottenere un accesso diffuso alle reti governative degli Stati Uniti. L'analisi da lui condotta Rea Carty E Simon Henger Nota che il misterioso Jia Tan ha fatto uno sforzo per imitare il loro fuso orario, ma probabilmente erano due o tre ore avanti rispetto all'ora di Greenwich, suggerendo che potrebbero essere stati nell'Europa orientale o nella Russia occidentale. Ma le prove al momento sono troppo deboli per individuare il colpevole.

Si tratta forse dell'attacco alla “catena di fornitura” più ambizioso (un attacco che sfrutta non un computer o un dispositivo specifico, ma piuttosto una parte di software o hardware back-end) degli ultimi tempi. È anche un chiaro esempio delle vulnerabilità di Internet e del codice collaborativo che si basa su di esso. Per i sostenitori dell'open source, gli occhi d'aquila di Freund servono come prova della sua tesi: il codice è aperto, chiunque può esaminarlo e bug o backdoor intenzionali alla fine verranno scoperti attraverso l'esame accurato della folla.

Gli scettici sono meno fiduciosi. Alcuni strumenti di debug e di sicurezza del codice hanno rilevato anomalie in “Nessuno ha espresso preoccupazione”, scrive. Kevin Beaumont, un altro specialista della sicurezza informatica. Gli ingegneri del software stanno ancora studiando il funzionamento interno della backdoor, cercando di comprenderne lo scopo e il design. “Il mondo è in debito con Andrés con birra gratuita e illimitata”, conclude Beaumont. “Ha salvato i culi a tutti nel tempo libero.”

L'attacco è stato individuato e fermato prima che potesse causare danni diffusi. Non c'è modo di sapere se Jia Tan, o il team apparentemente dietro quella persona, abbiano indagato su altri componenti vitali del software Internet sotto altri pseudonimi. Ma i ricercatori nel campo della sicurezza temono che le fondamenta di Internet siano vulnerabili a campagne simili. “Il punto è che abbiamo aggiunto innumerevoli miliardi di dollari al codice sviluppato da dilettanti”, afferma. Michael Zalewski, esperto. Potrebbero esserci altre backdoor non rilevate.

© 2024 The Economist Limited. Tutti i diritti riservati.