ВАШИНГТОН, 8 апр (Рейтер) - Немецкий программист Андрес Фройнд в марте проводил подробные тесты производительности, когда заметил странное поведение одной малоизвестной программы. То, что он обнаружил в результате проверки, заставило весь мир разработчиков ПО вздрогнуть и привлекло внимание руководителей технологических компаний и правительственных чиновников.
Фройнд, работающий на компанию Microsoft из Сан-Франциско, обнаружил, что последняя версия программы с открытым исходным кодом XZ Utils была намеренно саботирована одним из ее разработчиков таким образом, чтобы открыть секретную дверь к миллионам серверов в интернете.
Эксперты по безопасности говорят, что только благодаря тому, что Фройнд заметил эти изменения до того, как последняя версия XZ получила более широкое распространение, мир смог избежать кризиса в цифровой безопасности.
«Мы действительно увернулись от пули, - сказал Сатнам Наранг, исследователь в области безопасности из Tenable. - Это один из тех моментов, когда нам осталось вытереть пот со лба и сказать: »Нам очень повезло в этот раз«.
Этот инцидент заставил обратить внимание на безопасность программного обеспечения с открытым исходным кодом - бесплатных, часто поддерживаемых волонтерами программ, прозрачность и гибкость которых позволяет им служить фундаментом интернет-экономики.
XZ Utils, набор инструментов сжатия файлов, входящих в дистрибутивы операционной системы Linux, долгое время поддерживался одним автором, Лассе Коллином.
В последние годы ему, похоже, пришлось нелегко. В сообщении, опубликованном в публичном списке рассылки в июне 2022 года, Коллин сказал, что уже давно борется с психическими проблемами, и намекнул, что сотрудничает в частном порядке с новым разработчиком по имени Цзя Тан.
Журналы обновлений, доступные на сайте программного обеспечения с открытым исходным кодом Github, показывают, что роль Тана быстро расширилась. К 2023 году Тан внедрял свой код XZ - признак того, что он получил доверие в проекте.
Но эксперты в кибербезопасности, просмотревшие журналы, сказали, что Тан только маскировался под желающего помочь добровольца. По их словам, в течение следующих нескольких месяцев Тан внедрил в XZ едва заметный так называемый бэкдор - дефект алгоритма, который намеренно встраивается в него разработчиком и дает быстрый доступ к данным .
Коллин не ответил на сообщения с просьбой о комментарии и написал на своем веб-сайте, что не будет говорить с журналистами, пока достаточно не разберется в ситуации.
»НАМ ОЧЕНЬ ПОВЕЗЛО«
Тан мог бы легко выйти сухим из воды, если бы не сотрудник Microsoft Фройнд - ему стало любопытно, почему обновленная версия XZ периодически использует неожиданное количество вычислительной мощности в системе, которую он тестировал.
Microsoft не дала согласия на интервью с Фройндом, но в открытых электронных письмах и сообщениях в социальных сетях он рассказал, что обнаружить бэкдор ему помог ряд сигналов, которые было легко пропустить.
Помогло большое количество совпадений, написал Фройнд в социальной сети Mastodon.
Сообщество разработчиков программного обеспечения с открытым исходным кодом испугано произошедшим. Для добровольцев, поддерживающих ПО, необходимое для базовой работы интернета, привычна низкая оплата за их работу или полное отсутствие признания, но осознание того, что за ними теперь охотятся хорошо оснащенные шпионы, выдающие себя за добрых самаритян, крайне тревожит, сказал Арасаратнам из Open Source Security Foundation.
Официальные органы также анализируют последствия этого происшествия, усилившего опасения по поводу ПО с открытым исходным кодом. Помощник директора Национального управления кибербезопасности (NCSD) Анджана Раджан сказала Politico, что нужно еще много обсуждать, что сделать для защиты открытого кода.
Другое федеральное ведомство - Агентство по кибербезопасности и защите инфраструктуры (CISA) - сообщило, что добивается от американских компаний, использующих программное обеспечение с открытым кодом, чтобы они инвестировали в сообщества, которые его разрабатывают и поддерживают. Советник CISA Джек Кейбл сказал Рейтер, что технологические компании должны не только проверять ПО с открытым кодом, но и вносить свой вклад и помогать создавать устойчивую экосистему с открытым кодом.
Однако неясно, что будет мотивировать IT-компании на такие вложения: переписка сообщества открытого исходного кода изобилует жалобами на то, что технологические гиганты требуют от программистов-добровольцев устранять возникающие проблемы с ПО на основе открытого кода, на которых сами техкомпании зарабатывают миллиарды долларов.
Каким бы ни было решение, почти все сходятся в том, что эпизод с XZ показывает, что нужно что-то менять.
»Нам несказанно повезло, - сказал Фройнд в другом посте на Mastodon. - Рассчитывать на то, что так же повезет и в будущем, мы не можем".
Оригинал сообщения на английском языке доступен по коду: (Рафаэль Саттер, перевели Ольга Девятиярова и Елизавета Журавлева)