Un’analisi sull’incursione sfiorata nella catena di fornitura di software open-source, delineando il percorso minaccioso che può mettere a repentaglio la sicurezza globale.
La sicurezza informatica è una priorità assoluta nell’era digitale moderna. Recenti eventi hanno messo a nudo un incremente delle cyber minacce, in particolare quelle rivolte al software open-source. L’ultimo tra questi è un sofisticato attacco alla catena di fornitura scoperto quasi per caso da uno sviluppatore di Microsoft durante la risoluzione di un problema relativo a un protocollo di rete.
Tutto ha inizio nel febbraio 2022 quando un misterioso sviluppatore noto come Jia Tan inizia segretamente ad inserire una backdoor in un software conosciuto come XZ Utils. Questo strumento di compressione è una componente presente in quasi tutte le versioni di Linux, il sistema operativo che fornito le fondamenta per gran parte dell’internet moderno. Se Jia Tan fosse riuscito a inserire tale backdoor nelle versioni stabili di Linux, avrebbe potuto presumibilmente infiltrarsi nei server Linux che utilizzano lo strumento e eseguire codici arbitrari.
Il modo in cui Jia Tan è riuscito a ottenere questo controllo è ancora più inquietante. Sfruttando la stanchezza del singolo sviluppatore che manteneva il progetto, si è fatto nominare manutentore di XZ Utils. L’intero episodio ha tutte le caratteristiche di un’operazione di spionaggio paziente e altamente sofisticata, probabilmente condotta da un’agenzia di intelligence, anche se l’autore dell’intrusione rimane misterioso.
Il fatto che XZ Utils fosse mantenuto da un singolo sviluppatore a titolo gratuito nel suo tempo libero ha reso questo strumento un obiettivo primario. È utilizzato in tutto il mondo, dai piccoli progetti alle grandi corporation. “Non è un problema tecnologico: è un problema umano. Ed è quello che lo rende peggiore,” ha affermato Omkhar Arasaratnam, direttore generale presso la Open Source Security Foundation, una parte della Linux Foundation.
La natura sfacciata e la portata dell’incidente hanno servito da allarme per la comunità della sicurezza. Nessun protocollo di sicurezza o tecnologia ha scoperto e fermato l’attacco. Nonostante l’attacco alla catena di fornitura sia stato infine evitato, l’incidente rappresenta un monito per il mondo digitale. “La buona notizia è che lo abbiamo scoperto in anticipo,” ha dichiarato Arasaratnam.
Per gli sostenitori del software open source, l’incidente rappresenta una validazione della premessa della comunità: il codice aperto può essere esaminato per trovare vulnerabilità. Ma l’allerta rimane. Analoghe azioni di intrusione potrebbero essere ancora nascoste, pronte a erodere ulteriormente la fiducia nel sistema.
Nonostante le orme digitali della situazione sembrano portare direttamente a Jia Tan, la sua reale identità e i motivi dietro le azioni rimangono oscure. Sembra probabile che dietro l’attacco ci sia la manodopera di una nazione, data la complessità e l’audacia dell’azione, ma per ora le indagini continuano.
La preoccupazione per la sicurezza del software open-source è solo una delle molteplici sfide che i professionisti dell’IT devono affrontare ogni giorno. Gli attacchi alla catena di fornitura sono una minaccia silenziosa e insidiosa, e l’esistenza di entità come Jia Tan ci ricorda che la vigilanza e la difesa proattiva sono elementi imprescindibili nel campo della cybersecurity.