Internet ha rischiato di saltare in tutto il mondo, vittima di un attacco nascosto che è arrivato quasi a compromettere i computer di tutta la terra. Sospettata numero uno: la Russia. Comunque è dimostrato che il codice crowdsourcing di Internet è vulnerabile. Il software al centro di Internet non è gestito da aziende giganti o burocrazie tentacolari, ma da una manciata di volontari seri che lavorano nell’oscurità. L’allarme legato alla sicurezza informatica negli ultimi giorni mostra come il risultato possa essere quasi disastroso.
L’attacco, rivela The Economist ,è stato individuato e fermato prima che potesse causare danni diffusi. Non c’è modo di dire se Jia Tan, o il team apparentemente dietro quel personaggio, si siano insinuati in altri pezzi vitali del software Internet sotto altri pseudonimi. Ma i ricercatori nel campo della sicurezza temono che le basi di Internet siano mature per campagne simili. “Il punto è che abbiamo innumerevoli trilioni di dollari che derivano dal codice sviluppato da hobbisti”, osserva Michal Zalewski, un esperto. Altre backdoor potrebbero nascondersi da scoprire.
Il 29 marzo Andres Freund, un ingegnere della Microsoft, racconta THE ECONOMIST, ha pubblicato un breve racconto poliziesco. Nelle ultime settimane aveva notato che ssh, un sistema per accedere in modo sicuro a un altro dispositivo su Internet, funzionava circa 500 millisecondi più lentamente del previsto. Un’ispezione più approfondita ha rivelato un codice dannoso incorporato all’interno di xz Utils, un software progettato per comprimere i dati utilizzati all’interno del sistema operativo Linux, che funziona praticamente su tutti i server Internet accessibili al pubblico.
Questi server sono alla base di Internet, compresi i servizi finanziari e governativi vitali. Il malware sarebbe servito da “chiave principale”, consentendo agli aggressori di rubare dati crittografati o installare altro malware.
Il punto più interessante della storia è come è arrivato lì. xz Utils è un software open source, il che significa che il suo codice è pubblico e può essere controllato o modificato da chiunque. Nel 2022 Lasse Collin, lo sviluppatore che lo manteneva, scoprì che il suo “progetto hobby non retribuito” stava diventando più oneroso a causa dei problemi di salute mentale a lungo termine. Uno sviluppatore di nome Jia Tan, che aveva creato un account l’anno precedente, si è offerto di aiutare. Per più di due anni hanno contribuito con codici utili in centinaia di occasioni, rafforzando la fiducia. A febbraio hanno introdotto di nascosto il malware.
Il significato dell’attacco è “enorme”, afferma The Grugq, un ricercatore di sicurezza indipendente sotto pseudonimo molto letto tra gli specialisti di sicurezza informatica. “La backdoor è molto particolare nel modo in cui viene implementata, ma è davvero una cosa intelligente e molto furtiva” – forse troppo furtiva, suggerisce, perché alcuni dei passaggi intrapresi nel codice per nascondere il suo vero scopo potrebbero averla rallentata e ha così lanciato l’allarme del sig. Freund. L’approccio paziente di Jia Tan, supportato da molti altri resoconti che hanno esortato Collin a passare il testimone, allude a una sofisticata operazione di intelligence umana da parte di un’agenzia statale, suggerisce The Grugq.
Sospetta lo svr, il servizio di intelligence estera della Russia, che nel 2019-20 ha anche compromesso il software di gestione della rete SolarWinds Orion per ottenere ampio accesso alle reti governative americane. L’analisi di Rhea Karty e Simon Henniger suggerisce che il misterioso Jia Tan fece uno sforzo per falsificare il loro fuso orario ma che probabilmente erano due o tre ore avanti rispetto all’ora di Greenwich, suggerendo che potrebbero essere stati nell’Europa orientale o nella Russia occidentale, ed evitarono lavorare durante le festività dell’Europa orientale. Per ora, però, le prove sono troppo deboli per individuare un colpevole.