¿Un tipo acaba de detener un gran ciberataque?
Internet, como le dirá cualquiera que trabaje profundamente en sus trincheras, no es una máquina fluida y bien engrasada.
Es un mosaico desordenado que se ha ido ensamblando durante décadas y que se mantiene unido con el equivalente digital de cinta adhesiva y chicle. Gran parte de esto depende de software de código abierto que es mantenido ingratamente por un pequeño ejército de programadores voluntarios que corrigen los errores, tapan los agujeros y garantizan que todo el desvencijado artilugio, que es responsable de billones de dólares en el PIB mundial, siga funcionando.
La semana pasada, uno de esos programadores pudo haber salvado a Internet de un gran problema.
Su nombre es Andrés Freund. Es un ingeniero de software de 38 años que vive en San Francisco y trabaja en Microsoft. Su trabajo consiste en desarrollar un software de base de datos de código abierto conocido como PostgreSQL, cuyos detalles probablemente te aburrirían si pudiera explicarlos correctamente, lo cual no puedo.
Recientemente, mientras realizaba algunas tareas de mantenimiento de rutina, el Sr. Freund encontró sin darse cuenta una puerta trasera oculta en un software que forma parte del sistema operativo Linux. La puerta trasera fue un posible preludio de un gran ciberataque que, según los expertos, podría haber causado un daño enorme, si hubiera tenido éxito.
Ahora, en un giro propio de Hollywood, los líderes tecnológicos y los investigadores de ciberseguridad están aclamando a Freund como un héroe. Satya Nadella, director ejecutivo de Microsoft, alabado su “curiosidad y artesanía”. un admirador le llamó «El gorila de espalda plateada de los nerds». Los ingenieros han estado haciendo circular un viejo cómic web famoso entre los programadores sobre cómo toda la infraestructura digital moderna se basa en un proyecto mantenido por un tipo cualquiera en Nebraska. (Según ellos, el Sr. Freund es un tipo cualquiera de Nebraska).
En una entrevista esta semana, Freund (que en realidad es un codificador nacido en Alemania y de voz suave que se negó a que le tomaran una foto para esta historia) dijo que convertirse en un héroe popular de Internet había sido desorientador.
«Me parece muy extraño», dijo. «Soy una persona bastante reservada que simplemente se sienta frente a la computadora y piratea códigos».
La saga comenzó a principios de este año, cuando Freund regresaba de una visita a sus padres en Alemania. Mientras revisaba un registro de pruebas automatizadas, notó algunos mensajes de error que no reconoció. Tenía desfase horario y los mensajes no parecían urgentes, así que los archivó en su memoria.
Pero unas semanas más tarde, mientras realizaba más pruebas en casa, notó que una aplicación llamada SSH, que se utiliza para iniciar sesión en computadoras de forma remota, estaba usando más potencia de procesamiento de lo normal. Rastreó el problema hasta un conjunto de herramientas de compresión de datos llamado xz Utils y se preguntó si estaba relacionado con los errores anteriores que había visto.
(No se preocupe si estos nombres le parecen griegos. Todo lo que realmente necesita saber es que todas estas son pequeñas piezas del sistema operativo Linux, que es probablemente la pieza de software de código abierto más importante del mundo. gran mayoría de los servidores del mundo (incluidos los utilizados por bancos, hospitales, gobiernos y empresas Fortune 500) funcionan con Linux, lo que hace que su seguridad sea un asunto de importancia global).
Al igual que otros programas populares de código abierto, Linux se actualiza todo el tiempo y la mayoría de los errores son el resultado de errores inocentes. Pero cuando Freund examinó de cerca el código fuente de xz Utils, vio pistas de que había sido manipulado intencionalmente.
En particular, descubrió que alguien había colocado código malicioso en las últimas versiones de xz Utils. El código, conocido como puerta trasera, permitiría a su creador secuestrar la conexión SSH de un usuario y ejecutar secretamente su propio código en la máquina de ese usuario.
En el mundo de la ciberseguridad, un ingeniero de bases de datos que sin darse cuenta encuentra una puerta trasera en una característica central de Linux es un poco como un trabajador de una panadería que huele una barra de pan recién horneada, siente que algo anda mal y deduce correctamente que alguien ha manipulado todo el suministro global de levadura. . Es el tipo de intuición que requiere años de experiencia y atención obsesiva a los detalles, además de una saludable dosis de suerte.
Al principio, Freund dudó de sus propios hallazgos. ¿Había realmente descubierto una puerta trasera en uno de los programas de código abierto más examinados del mundo?
«Se sintió surrealista», dijo. “Hubo momentos en los que pensé que debí haber dormido mal y haber tenido algunos sueños febriles”.
Pero sus investigaciones siguieron arrojando nuevas pruebas y la semana pasada, Freund envió sus hallazgos a un grupo de desarrolladores de software de código abierto. La noticia prendió fuego al mundo de la tecnología. En cuestión de horas, se desarrolló una solución y algunos investigadores le atribuyeron el mérito de haber evitado un ciberataque potencialmente histórico.
«Esta podría haber sido la puerta trasera más extendida y efectiva jamás colocada en cualquier producto de software», dijo Alex Stamos, director de confianza de SentinelOne, una firma de investigación de ciberseguridad.
Si hubiera pasado desapercibido, dijo Stamos, la puerta trasera habría “dado a sus creadores una clave maestra para cualquiera de los cientos de millones de computadoras en todo el mundo que ejecutan SSH”. Esa clave podría haberles permitido robar información privada, instalar malware paralizante o causar interrupciones importantes en la infraestructura, todo sin ser descubiertos.
(El New York Times ha demandado a Microsoft y su socio OpenAI por acusaciones de infracción de derechos de autor que involucran sistemas de inteligencia artificial que generan texto).
Nadie sabe quién puso la puerta trasera. Pero la trama parece haber sido tan elaborada que algunos investigadores creen que sólo una nación con formidables habilidades de piratería, como Rusia o China, podría haberlo intentado.
De acuerdo a algunos investigadores Quienes regresaron y observaron la evidencia, el atacante parece haber usado un seudónimo, «Jia Tan», para sugerir cambios en xz Utils ya en 2022. (Muchos proyectos de software de código abierto se rigen mediante jerarquía; los desarrolladores sugieren cambios en el código de un programa, luego los desarrolladores más experimentados conocidos como “mantenedores” tienen que revisar y aprobar los cambios).
El atacante, que utiliza el nombre de Jia Tan, parece haber pasado varios años ganándose poco a poco la confianza de otros desarrolladores de xz Utils y obteniendo más control sobre el proyecto, convirtiéndose finalmente en mantenedor y finalmente insertando el código con la puerta trasera oculta a principios de este año. (La nueva versión comprometida del código ya había sido publicada, pero aún no tenía un uso generalizado).
Freund se negó a adivinar quién podría haber estado detrás del ataque. Pero dijo que quienquiera que fuera había sido lo suficientemente sofisticado como para tratar de cubrir sus huellas, incluso añadiendo un código que hacía que la puerta trasera fuera más difícil de detectar.
«Fue muy misterioso», dijo. «Claramente hicieron un gran esfuerzo tratando de ocultar lo que estaban haciendo».
Desde que sus hallazgos se hicieron públicos, dijo Freund, ha estado ayudando a los equipos que están tratando de aplicar ingeniería inversa al ataque e identificar al culpable. Pero ha estado demasiado ocupado para dormirse en los laureles. La próxima versión de PostgreSQL, el software de base de datos en el que trabaja, saldrá a finales de este año y está intentando realizar algunos cambios de último momento antes de la fecha límite.
«Realmente no tengo tiempo para ir a tomar una copa de celebración», dijo.