La rilevazione di una backdoor nella libreria open source Xz, utilizzata ampiamente per la compressione dati tramite l’algoritmo lzma, ha riportato alla luce l’allarme sulla gestione dei prodotti open source e di come questi vengano integrati in progetti di estesa diffusione, senza un’occhio di riguardo sul progetto originale stesso.
Questa vulnerabilità, scoperta il 29 marzo, ha sollevato interrogativi su come una utility di compressione possa influenzare il protocollo di sicurezza SSH e chi ci sia dietro questo sofisticato attacco.
Indice degli argomenti
Il funzionamento della backdoor Xz
La backdoor, inserita nel codice sorgente di Xz, ha permesso l’esecuzione remota di codice su server SSH senza richiedere autenticazione, aprendo la porta a potenziali violazioni della sicurezza.
Tuttavia, analizzare gli eventi che hanno portato a questa compromissione rivela una elaborata attività di human intelligence a lungo termine, che ha sfruttato le dinamiche della comunità open source per infiltrarsi nei sistemi.
Il percorso per l’installazione della backdoor è stato astutamente pianificato, coinvolgendo l’infiltrazione graduale di un attore sospetto all’interno del progetto Xz.
L’utilizzo di pseudonimi e la creazione di account GitHub ad hoc hanno offuscato le tracce, rendendo difficile l’individuazione dei responsabili.
Necessario, in questo caso, sottolineare che il progetto Xz, benchè utilizzato in tutto il mondo e in un elevatissimo numero di progetti, veniva ormai mantenuto unicamente da una singola persona, senza alcun sostegno tecnico (tantomeno finanziario).
Si parla, dunque, in generale di community open source, ma si materializza (anche in questo caso), come tutto lo sviluppo e il mantenimento di un progetto ricada sulle spalle di un singolo soggetto umano.
L’operazione che ha portato alla compromissione
L’operazione è iniziata nel 2021 con la registrazione di un nuovo account su GitHub, seguita dall’invio di un commit apparentemente innocuo per un altro progetto open source, “libarchive”.
Da lì, l’attore ha progressivamente guadagnato fiducia e accesso al progetto Xz, diventando uno dei contributori più attivi nel corso del tempo (insieme al mantenitore originale, ormai oberato di lavoro).
La backdoor che si è riusciti a lasciare attiva per circa tre settimane, è stata la fase finale di una campagna durata due anni, caratterizzata da un intricato gioco di pressioni e manipolazioni per ottenere l’integrazione della versione compromessa di Xz in diverse distribuzioni Linux e progetti software di terze parti.
La gravità dell’attacco risiede non solo nella compromissione della sicurezza di Xz, ma anche nell’incertezza sulle sue implicazioni a lungo termine.
La sospensione del progetto Xz e dell’account del suo principale responsabile originale da parte di GitHub sollevano interrogativi sulla gestione delle crisi legate alla sicurezza nel contesto dell’ecosistema open source.
Cosa impariamo sulla sicurezza nel mondo open source
La natura sofisticata e coordinata di questo attacco suggerisce l’implicazione di un’organizzazione con risorse significative e obiettivi strategici (quasi certamente un attore sponsorizzato da uno Stato).
Sebbene siano emerse indicazioni che puntano verso una possibile origine orientale, la vera identità e le motivazioni degli attaccanti rimangono oscure.
Questo incidente solleva, inoltre, importanti domande sulla sicurezza e la gestione dei progetti open source. È cruciale rafforzare la sicurezza e la trasparenza all’interno delle comunità di sviluppatori, promuovendo pratiche di collaborazione sicure e garantendo una supervisione rigorosa del codice sorgente.
In conclusione, quindi, l’attacco a Xz mette in evidenza la necessità di una maggiore vigilanza e resilienza nell’ambito dello sviluppo e della gestione del software open source.
Solo attraverso una collaborazione responsabile e una governance efficace possiamo proteggere l’integrità e la sicurezza dei progetti fondamentali per l’infrastruttura digitale globale.
