Kevin Luce, el conocido escritor de la columna de tecnología del New York Times, anunció recientemente el Premio Anual a la Tecnología Destacada de la columna. Hay varios ganadores de este premio de tecnología, entre ellos el ingeniero de bases de datos de Microsoft, Andrés Freund. Andre Freund ganó el premio porque descubrió la vulnerabilidad de puerta trasera de XZUtils, una biblioteca de código abierto ampliamente utilizada por toda la industria tecnológica, y esta vulnerabilidad puede causar graves impactos en la seguridad a escala global.
Dado que esta biblioteca de código abierto también está ampliamente integrada en los sistemas Linux, los atacantes pueden usar la vulnerabilidad para lanzar ataques a innumerables servidores Linux en todo el mundo (pueden evitar la autenticación SSH y controlar directamente el servidor), y el proceso de envenenamiento de todo el proyecto XZ también invita a la reflexión.
El proyecto XZ fue mantenido por un solo mantenedor principal. Luego, un desarrollador llamado JIATAN participó frecuentemente en el proyecto durante dos años y se ganó la confianza del mantenedor principal. El objetivo final de JIATAN era convertirse en el mantenedor del proyecto e implantar una puerta trasera.
Al final, el propósito de JIATAN se consideró exitoso. A XZ5.6.0~5.6.1 se le implantaron vulnerabilidades y se fusionó en múltiples distribuciones de Linux. Gracias al descubrimiento oportuno del problema por parte de Andre Freund, se evitó un incidente de seguridad a nivel global.
La industria aún no ha descubierto la verdadera identidad de JIATAN, pero se especula que vive en Europa del Este y está tratando de hacerse pasar por un chino para envenenar la cadena de suministro. Me pregunto si habrá alguna posibilidad de encontrar la verdadera identidad de esta persona en el futuro.
Kevin Blue dijo durante la ceremonia de premiación:
Encontró algunos errores extraños mientras realizaba el mantenimiento de rutina en un paquete de software de código abierto poco conocido, XZUtils. Durante su investigación, descubrió accidentalmente un enorme agujero de seguridad en el sistema operativo Linux, que podría permitir a los piratas informáticos controlar cientos de millones de ordenadores y paralizar el mundo.
Resulta que gran parte de nuestra infraestructura digital se basa en actos similares de heroicidad nerd (Nota de Blue Dot: sic). Después de escribir sobre los hallazgos de Freund, recibí consejos sobre otros desastres relacionados con proyectos de software de código abierto, muchos de los cuales se debieron a voluntarios con vista de águila que encontraron errores y corrigieron código crítico a tiempo para frustrar a los malos.
No puedo nombrarlos a todos, pero este premio dice: Los veo, mantenedores de código abierto, y aprecio su servicio.