Estados Unidos evita la «crisis de seguridad digital» después de que un desarrollador descubre un sabotaje de software
- Estados Unidos está lidiando con importantes preocupaciones de ciberseguridad después de que un desarrollador descubriera un acto de sabotaje dentro de un programa.
- El programa, saboteado deliberadamente por uno de sus desarrolladores, podría haber abierto una puerta secreta a millones de servidores en Internet.
- Los funcionarios del gobierno se alarmaron por el incidente, que generó preocupaciones sobre cómo proteger el software de código abierto.
El desarrollador de software alemán Andrés Freund estaba realizando algunas pruebas de rendimiento detalladas el mes pasado cuando notó un comportamiento extraño en un programa poco conocido. Lo que encontró cuando investigó provocó escalofríos en todo el mundo del software y llamó la atención de ejecutivos de tecnología y funcionarios gubernamentales.
Freund, que trabaja para Microsoft en San Francisco, descubrió que la última versión del programa de software de código abierto XZ Utils había sido saboteada deliberadamente por uno de sus desarrolladores, una medida que podría haber abierto una puerta secreta a millones de servidores en todo el mundo. Internet.
Los expertos en seguridad dicen que solo porque Freund detectó el cambio antes de que se implementara ampliamente la última versión de XZ, el mundo se ahorró un crisis de seguridad digital.
«Realmente esquivamos una bala», dijo Satnam Narang, un investigador de seguridad de Tenable que ha estado siguiendo las consecuencias del hallazgo. «Es uno de esos momentos en los que tenemos que limpiarnos la frente y decir: ‘Tuvimos mucha suerte con este'».
Un desarrollador de software estaba ejecutando algunas pruebas de rendimiento detalladas el mes pasado cuando notó un comportamiento extraño en un programa poco conocido. Lo que encontró cuando investigó provocó escalofríos en todo el mundo del software y llamó la atención de ejecutivos de tecnología y funcionarios gubernamentales. (REUTERS/Dado Ruvic/Ilustración/Foto de archivo)
El casi accidente ha vuelto a centrar la atención en la seguridad del software de código abierto: programas gratuitos, a menudo mantenidos por voluntarios, cuya transparencia y flexibilidad significan que sirven como base para la economía de Internet.
Muchos de estos proyectos dependen de un pequeño círculo de voluntarios no remunerados que luchan por salir de un montón de demandas de correcciones y actualizaciones.
XZ, un conjunto de herramientas de compresión de archivos incluidas en distribuciones del sistema operativo Linux, fue mantenido durante mucho tiempo por un solo autor, Lasse Collin.
En los últimos años, parecía estar bajo presión.
En un mensaje publicado en una lista de correo pública en junio de 2022, Collin dijo que estaba lidiando con «problemas de salud mental a largo plazo» e insinuó que estaba trabajando en privado con un nuevo desarrollador llamado Jia Tan y que «quizás tenga un papel más importante en el futuro.»
Los registros de actualización disponibles a través del sitio de software de código abierto Github muestran que el papel de Tan se expandió rápidamente. Para 2023, los registros muestran que Tan estaba fusionando su código en XZ, una señal de que había ganado un papel confiable en el proyecto.
Pero los expertos en ciberseguridad que examinaron los registros dicen que Tan se hacía pasar por un voluntario servicial. Durante los siguientes meses, dicen, Tan introdujo una puerta trasera casi invisible en XZ.
Collin no respondió mensajes en busca de comentarios y dijo en su sitio web que no respondería a los periodistas hasta que comprendiera la situación lo suficientemente bien como para hacerlo.
Tan no respondió los mensajes enviados a su cuenta de Gmail. Reuters no ha podido determinar quién es Tan, dónde está o para quién trabajaba, pero muchos de los que han examinado sus actualizaciones creen que Tan es un seudónimo de un hacker experto o grupo de piratas informáticos, probablemente uno que trabaje en nombre de un poderoso servicio de inteligencia.
«Esto no es cosa de niños», dijo Omkhar Arasaratnam, director general de la Open Source Security Foundation, que trabaja para defender proyectos como XZ. «Esto es increíblemente sofisticado».
Tan fácilmente podría haberse salido con la suya si no hubiera sido por Freund, el desarrollador de microsoftcuya curiosidad se despertó cuando notó que la última versión de XZ usaba intermitentemente una cantidad inesperada de potencia de procesamiento en el sistema que estaba probando.
Microsoft se negó a permitir que Freund estuviera disponible para una entrevista, pero en correos electrónicos y publicaciones en las redes sociales disponibles públicamente, Freund dijo que una serie de pistas fáciles de pasar por alto lo llevaron a descubrir la puerta trasera.
El hallazgo «realmente requirió muchas coincidencias», afirmó Freund en la red social Mastodon.
El director ejecutivo de Microsoft, Satya Nadella, felicitó a Freund durante el fin de semana y dijo en una publicación en la red social X que le encantaba ver cómo el desarrollador, «con su curiosidad y habilidad, pudo ayudarnos a todos».
En la comunidad de código abierto, el descubrimiento ha sido aleccionador. Los voluntarios que mantienen el software que sustenta Internet no son ajenos a la idea de poco salario o reconocimiento, pero darse cuenta de que ahora estaban siendo perseguidos por espías con buenos recursos que pretendían ser buenos samaritanos fue «increíblemente intimidante», dijo Arasaratnam. , de la Fundación de Seguridad de Código Abierto.
Los funcionarios del gobierno también están sopesando las implicaciones del casi accidente, que ha puesto de relieve las preocupaciones sobre cómo proteger el software de código abierto. La subdirectora nacional de cibernética, Anajana Rajan, dijo a Politico que «hay muchas conversaciones que debemos tener sobre lo que hacemos a continuación» para proteger el código fuente abierto».
HAGA CLIC AQUÍ PARA OBTENER LA APLICACIÓN FOX NEWS
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dice que se ha apoyado en empresas estadounidenses que utilizan software de código abierto para reinvertir recursos en las comunidades que lo construyen y mantienen. El asesor de CISA, Jack Cable, dijo a Reuters que la carga recaía en las empresas tecnológicas no sólo para examinar el software abierto sino también para «contribuir y ayudar a construir el ecosistema sostenible de código abierto del que obtenemos tanto valor».
No está claro que las empresas de software estén adecuadamente incentivadas para hacerlo. Las listas de correo en línea de código abierto están repletas de quejas sobre los gigantes tecnológicos que exigen voluntarios para solucionar problemas con el software de código abierto que esas empresas utilizan para ganar miles de millones de dólares.
Cualquiera que sea la solución, casi todos están de acuerdo en que el episodio XZ muestra que algo tiene que cambiar.
«Tuvimos mucha suerte aquí», dijo Freund en otra publicación de Mastodon. «No podemos simplemente confiar en eso en el futuro».