Немецкий разработчик программного обеспечения работающий в Microsoft, в прошлом месяце проводил обширное тестирование производительности, когда заметил «странное поведение» небольшой программы.
То, что он обнаруживает, когда копает, переворачивает мир технологической индустрии на ноги.
Эксперты по безопасности говорят, что только потому, что Фрейнд заметил проблему до того, как была распространена последняя версия программы XZ, мир был избавлен от кризиса безопасности.
Приятно видеть, как своим любопытством и мастерством он смог помочь нам всем. Безопасность — это командный вид спорта, и эта культура нужна нам повсюду.
— Сатья Наделла (@satyanadella)
Почти успешная кибератака привлекла внимание к безопасности программного обеспечения с открытым исходным кодом. Он бесплатен и часто поддерживается волонтерами. Это программы, прозрачность и гибкость которых означают, что они служат основой интернет-экономики. Такие проекты зависят от небольшого круга неоплачиваемых волонтеров, которых заваливают просьбами оптимизировать и обновлять их программное обеспечение.
XZ — набор инструментов для сжатия файлов. для операционной системы Linux. Программу долгое время вел один человек – Лассе Колен. В объявлении в июне 2022 года Колин объясняет, что борется с личными проблемами и начнет работать с новым разработчиком Цзя Таном. Роль Тана быстро расширяется. К 2023 году журналы показывают, что он внедряет свой код в XZ — признак того, что он заслужил доверенную роль в проекте.
Но эксперты по кибербезопасности, просматривавшие журналы, говорят, что Тан выдавал себя за полезного волонтера. В течение следующих нескольких месяцев программист создает почти «невидимый бэкдор» в XZ. По их словам, Тан — это псевдоним хакера или группы хакеров, возможно, работающих по поручению мощного спецслужба.
«Это не детский сад», — сказал Омхар Арасаратнам, генеральный директор который защищает такие проекты, как XZ.
Агентство кибербезопасности и безопасности инфраструктуры США заявляет, что полагается на американские компании, которые используют программное обеспечение с открытым исходным кодом, чтобы возвращать ресурсы сообществам, которые его создают и поддерживают, тем самым укрепляя безопасность.
Советник агентства Джек Кейбл сообщил агентству Reuters, что на технологических компаниях лежит ответственность не только за проверку программного обеспечения с открытым исходным кодом, но и за «внесение вклада и помощь в создании устойчивой экосистемы с открытым исходным кодом».
Инженеры-программисты, разрабатывающие такое программное обеспечение, говорят, что технологические гиганты настаивают на том, чтобы они устраняли проблемы с программным обеспечением и в то же время зарабатывали миллиарды долларов, используя программы бесплатно. Каким бы ни было решение, почти все согласны с тем, что случай XZ показывает, что что-то нужно менять.
