Οι ερευνητές ασφαλείας του διαδικτύου ανησυχούν ότι τα «θεμέλιά» του είναι ευάλωτα σε οποιαδήποτε κυβερνοεπίθεση και αυτό αποδεικνύεται από μια μυστική επίθεση, η οποία έφτασε κοντά στο να θέσει σε κίνδυνο τη συνδεσιμότητα όλου του κόσμου και έγινε γνωστή πολύ πρόσφατα.
Στις 29 Μαρτίου, όπως αναφέρει δημοσίευμα του Economist, ο Andres Freund, μηχανικός της Microsoft, δημοσίευσε αυτή την ιστορία. Πρόσφατα, είχε παρατηρήσει ότι το ssh (ένα σύστημα για ασφαλή σύνδεση σε άλλη συσκευή μέσω διαδικτύου) λειτουργούσε περίπου 500 χιλιοστά του δευτερολέπτου πιο αργά από το αναμενόμενο. Ένας πιο προσεκτικός έλεγχος αποκάλυψε κακόβουλο κώδικα ενσωματωμένο βαθιά μέσα στο xz Utils, ένα κομμάτι λογισμικού σχεδιασμένο για τη συμπίεση δεδομένων που χρησιμοποιείται μέσα στο λειτουργικό σύστημα Linux, το οποίο εκτελείται σε σχεδόν όλους τους δημόσια προσβάσιμους διακομιστές του διαδικτύου. Αυτοί οι διακομιστές τελικά υποστηρίζουν το διαδίκτυο, συμπεριλαμβανομένων ζωτικών οικονομικών και κυβερνητικών υπηρεσιών. Το κακόβουλο λογισμικό θα λειτουργούσε ως «κύριο κλειδί», επιτρέποντας στους επιτιθέμενους να κλέψουν κρυπτογραφημένα δεδομένα ή να εγκαταστήσουν άλλο κακόβουλο λογισμικό.
Το πιο ενδιαφέρον κομμάτι της ιστορίας είναι, ωστόσο, το πώς κατέληξε εκεί. Το xz Utils είναι λογισμικό ανοιχτού κώδικα, πράγμα που σημαίνει ότι ο κώδικας του είναι δημόσιος και μπορεί να ελεγχθεί ή να τροποποιηθεί από οποιονδήποτε. Το 2022, ο Lasse Collin, ο προγραμματιστής που το συντηρούσε, διαπίστωσε ότι το «μη αμειβόμενο project ελεύθερου χρόνου» του γινόταν όλο και πιο επιβαρυντικό λόγω χρόνιων προβλημάτων ψυχικής υγείας. Ένας προγραμματιστής με το όνομα Jia Tan, ο οποίος είχε δημιουργήσει λογαριασμό την προηγούμενη χρονιά, προσφέρθηκε να βοηθήσει. Για περισσότερα από δύο χρόνια συνεισέφερε στον κώδικα σε εκατοντάδες περιπτώσεις, χτίζοντας εμπιστοσύνη. Τον Φεβρουάριο εισήγαγε κακόβουλο λογισμικό κρυφά.
Η κυβερνοεπίθεση αυτή έχει «τεράστια» σημασία, λέει ο The Grugq, ένας ανώνυμος ανεξάρτητος ερευνητής ασφαλείας που διαβάζεται ευρέως μεταξύ των ειδικών σε θέματα κυβερνοασφάλειας. «Το backdoor είναι πολύ ιδιαίτερο στον τρόπο που εφαρμόζεται, αλλά είναι πραγματικά έξυπνο και πολύ διακριτικό» – ίσως υπερβολικά διακριτικό, υποστηρίζει, επειδή ορισμένα από τα βήματα που έγιναν στον κώδικα για να κρύψουν τον πραγματικό του σκοπό μπορεί να το επιβράδυναν και ως εκ τούτου να κίνησαν την υποψία του κ. Freund. Η υπομονετική προσέγγιση του Jia Tan, υποστηριζόμενη από αρκετούς άλλους λογαριασμούς που πίεζαν τον κ. Collin να παραδώσει τη σκυτάλη, υποδηλώνει μια εξελιγμένη επιχείρηση ανθρώπινης πληροφορίας από κρατικό φορέα, υποδηλώνει ο The Grugq.
Ο ίδιος υποπτεύεται την svr, την υπηρεσία εξωτερικής αντικατασκοπείας της Ρωσίας, η οποία το 2019-20 παραβίασε επίσης το λογισμικό διαχείρισης δικτύων SolarWinds Orion για να αποκτήσει εκτεταμένη πρόσβαση σε αμερικανικά κυβερνητικά δίκτυα. Η ανάλυση των Rhea Karty και Simon Henniger υποδεικνύει ότι ο μυστηριώδης Jia Tan κατέβαλε προσπάθεια να παραποιήσει τη ζώνη ώρας του, αλλά ότι πιθανότατα βρισκόταν δύο έως τρεις ώρες μπροστά από τη μέση ώρα Γκρίνουιτς – γεγονός που υποδηλώνει ότι μπορεί να βρισκόταν στην ανατολική Ευρώπη ή τη δυτική Ρωσία – και απέφευγε να εργάζεται κατά τις ανατολικοευρωπαϊκές αργίες. Προς το παρόν, ωστόσο, τα στοιχεία είναι πολύ αδύναμα για να προσδιοριστεί ο ένοχος.
Η κυβερνοεπίθεση αυτή είναι ίσως η πιο φιλόδοξη επίθεση «αλυσίδας εφοδιασμού» -επίθεση που εκμεταλλεύεται όχι έναν συγκεκριμένο υπολογιστή ή συσκευή, αλλά ένα κομμάτι λογισμικού ή υλικού back-end – στην πρόσφατη ιστορία. Είναι επίσης μια ξεκάθαρη απεικόνιση των αδυναμιών του διαδικτύου και του ανοιχτού κώδικα που βασίζεται στην ομαδική εργασία.
Οι σκεπτικιστές είναι λιγότερο σίγουροι. Ορισμένα εργαλεία ασφάλειας και αποσφαλμάτωσης κώδικα εντόπισαν μεν τις ανωμαλίες στο XZ Utils, αλλά ο κ. Freund αναγνωρίζει «τον αριθμό των συμπτώσεων που έπρεπε να συμβούν για να το βρούμε αυτό», συμπεριλαμβανομένης μιας σειράς τεχνικών αλλά αυθαίρετων επιλογών που έκανε κατά την αντιμετώπιση ενός άσχετου προβλήματος. «Κανείς άλλος δεν είχε εκφράσει ανησυχία», γράφει ο Kevin Beaumont, ένας άλλος ειδικός σε θέματα κυβερνοασφάλειας. Οι μηχανικοί λογισμικού εξακολουθούν να εξετάζουν τα εσωτερικά λειτουργικά του backdoor, προσπαθώντας να κατανοήσουν τον σκοπό και τον σχεδιασμό του. «Ο κόσμος χρωστά στον Andres απεριόριστη δωρεάν μπύρα», καταλήγει ο κ. Beaumont. «Μόλις έσωσε τους πάντες στον ελεύθερο χρόνο του».
Η κυβερνοεπίθεση αυτή εντοπίστηκε και σταμάτησε πριν προκαλέσει ευρεία ζημιά. Δεν υπάρχει τρόπος να πούμε εάν ο Jia Tan, ή η ομάδα που φαίνεται να κρύβεται πίσω από αυτό το ψευδώνυμο, έχει εισχωρήσει με παρόμοιο τρόπο και σε άλλα ζωτικά τμήματα λογισμικού του διαδικτύου χρησιμοποιώντας άλλα ψευδώνυμα. Ωστόσο, οι ερευνητές ασφαλείας ανησυχούν ότι τα θεμέλια του διαδικτύου είναι ευάλωτα σε παρόμοιες κυβερνοεπιθέσεις. «Η ουσία είναι ότι έχουμε άγνωστα τρισεκατομμύρια δολάρια που βασίζονται σε κώδικα που αναπτύχθηκε από ερασιτέχνες», σημειώνει ο ειδικός Michal Zalewski. Άλλες πίσω πόρτες μπορεί να παραμονεύουν χωρίς να έχουν γίνει αντιληπτές.
