Il cyberattacco a XZ solleva il problema della sicurezza dell'open source

Se c'è una cosa per cui il sabotaggio di XZ, una piccola utility software del mondo Linux/Unix, passerà alla storia è il sonoro schiaffo che ha dato all'open source. E l'allarme che ha fatto risuonare per chi si occupa di cybersecurity. A meno di non cambiare radicalmente approccio nel modo con il quale le grandi aziende sfruttano il software libero senza praticamente contribuire (e quindi controllare) la qualità del codice


Cos'è XZ, il software sabotato

XZ è un piccolo strumento software, quela che in gergo si chiama "utility", e che funziona attraverso la riga di comando, cioè l'interfaccia del terminale di utilizzo tipica dei sistemi operativi Unix e Linux, usati prevalentemente in ambito server, oltre che su macOS e Windows. Il software ha una funzione di servizio e viene utilizzato spessissimo in maniera completamente automatica: si attiva quando altri software hanno bisogno di effettuare delle compressioni di dati in maniera simile a quanto fanno altre utility come gzip e bzip2.


Qui si è scoperta la profondità e complessità dell'attacco, che è riuscito a sfruttare la modalità stessa di lavoro della comunità open source per piegarla ai propri scopi. Un piano diabolico che ha richiesto anni per essere eseguito.

A proporre ai gestori del progetto XZ l'inserimento di modifiche contenenti il codice compromesso non è stato infatti uno sconosciuto, bensì una figura ben nota di persona che contribuisce da anni al progetto XZ, nato nel 2008. Si tratta di Jia Tan, un nome di volontario come centinaia di altri. Solo che Jia Tan contribuisce allo sviluppo del codice dal 29 ottobre del 2021 quando ha proposto la prima "toppa", decisamente innocua e anche secondaria, a XZ. Nei mesi successivi Jia Tan ha continuato, come migliaia di altri volontari, a proporre piccole "toppe" che risolvono problemi estremamente limitati del software open source. Alle volte aspetti cosmetici o semplici miglioramenti nell'organizzazione di una singola riga di codice. Una specie di revisore delle bozze volontario, che ogni qualche mese propone di spostare un paio di virgole o poco più.



Un attacco a tenaglia

Il ruolo da solo di Jia Tan come manutentore non sarebbe bastato. Occorreva farlo diventare responsabile della gestione del progetto. A questo è servito l'aiuto di due complici. L'apporto continuo, nel corso degli anni, prima di un altro volontario. Jigar Kumar, nome che probabilmente non esiste come non esiste quello di Jia Tan. Kumar, anziché scrivere codice, ha soprattutto continuato a fare pressione sui coordinatori del progetto sottolineando i ritardi nei rilasci delle nuove versioni aggiornate di XZ e i problemi personali di chi gestiva un livello intermedio di coordinamento. A Kumar si aggiunge poi anche un certo Dennis Ens, un altro nome che non compare da nessun'altra parte su Internet se non come volontario della piccola community di manutentori di XZ. Anche Ens ha cominciato a mostrarsi molto arrabbiato per i ritardi nel lavoro del coordinatore e pronto a sobillare gli altri membri della comunità puntando il dito contro le inefficienze della gestione corrente.

Un lavoro da agenti sabotatori portato avanti con mestiere e perizia da provocatori. Un approccio che ha tempi molto lunghi ma funziona, visto che in poco meno di tre anni, grazie a una micro-campagna di pubbliche relazioni nella community contro il responsabile del progetto, questi decide di fare un passo indietro. Intanto, il coordinatore capo del progetto, sotto pressione per le proteste di vari membri della comunità fra cui soprattutto Kumar ed Ens, decide di lasciare sempre più spazio a Jia Tan. In poco tempo Jia Tan eredita tutte le leve del progetto e nell'arco di alcuni mesi coordina il lavoro di assemblaggio e rilascio della versione 5.4.0 di XZ e delle due successive.


https://www.wired.it/article/xz-open...acco-problemi/





Se Andres Freund non si fosse accorto della backdoor, se quest’ultima avesse avuto un impatto inferiore sulle risorse di sistema, così da non alimentare sospetti, la backdoor si sarebbe diffusa nella maggior parte dei sistemi operativi, diffondendosi ovunque in pochi anni. Infatti, si è scoperto anche un forte social engineering da parte di finiti utenti, con background da sviluppatori, per convincere i gestori delle distro di Linux ad immettere nelle loro distribuzioni la versione più aggiornata, contenente il malware, di XZ Utils.

“Altro aspetto che preoccupa è quanto emerso dalle investigazioni, ovvero che l’attore malevolo dietro questa backdoor abbia iniziato a contribuire al progetto XZ quasi due anni fa“, mette in guardia Paganini: “Un’attività pianificata e volta ad acquisire credibilità fino ad ottenere un ruolo di maintainer del progetto stesso. Si tratta di operazioni condotte in un arco temporale lungo, condotte con meticolosa preparazione e sempre prestando massima attenzione agli aspetti di evasione. Questi fattori suggeriscono il coinvolgimento di un attore nation-state“.

“È frequente infatti osservare progetti open source nei quali nei tempi recenti sono avvenute modifiche che rendono il progetto interamente poco affidabile, nel caso di specie invece il problema le modifiche sono state applicate armonicamente e distribuendo nel tempo il progetto da parte di un soggetto che era riconosciuto dalla comunità come affidabile”, conclude Dal Checco.

https://www.cybersecurity360.it/news...ane-altissimo/