Recentemente, abbiamo assistito a una delle più spettacolari operazioni di hacking mai viste, che ha rischiato di compromettere la sicurezza di numerosi sistemi operativi nel mondo. Tutto è iniziato quando un developer di Microsoft, durante un weekend, ha notato un ritardo di 500 millisecondi nella connessione SSH su una distribuzione Linux Debian. Questo piccolo inconveniente ha scatenato una serie di indagini che hanno portato alla scoperta di una backdoor nascosta in una libreria di compressione chiamata XZ.
Questa libreria, utilizzata in numerose distribuzioni Linux, è stata collegata a SystemD, un sistema di gestione dei pacchetti, che ha permesso l'importazione non autorizzata all'interno di SSH. La libreria XZ è stata manipolata per includere del codice malevolo che consentiva l'esecuzione di comandi arbitrari su sistemi compromessi. Questo tipo di attacco, noto come supply chain attack, ha sfruttato la struttura aperta e collaborativa dell'ecosistema open source.
L'attacco è stato orchestrato da un gruppo altamente organizzato, probabilmente sponsorizzato da uno stato, che ha operato per due anni inserendo gradualmente il codice malevolo. Hanno utilizzato tecniche di social engineering per guadagnare la fiducia del maintainer della libreria, diventando co-maintainer e inserendo la backdoor nei pacchetti di distribuzione ufficiali.
La scoperta della vulnerabilità ha portato a una reazione immediata da parte delle comunità Debian e Red Hat, che hanno dovuto ricostruire la loro infrastruttura di compilazione per garantire la sicurezza dei loro sistemi. Questo incidente sottolinea l'importanza di avere piani di emergenza robusti e la necessità di migliorare la sicurezza nella catena di approvvigionamento del software open source.
In conclusione, questo evento ci ricorda che, nonostante l'open source offra trasparenza, la complessità e la vastità del codice rendono difficile individuare tutte le vulnerabilità. È essenziale sviluppare strategie di resilienza e migliorare la revisione del codice per prevenire future compromissioni.
🎙️ Ospite: Stefano Zanero, Professore Ordinario di Sicurezza Informatica, esperto in malware e sicurezza dei sistemi.
In questa Puntata
Una vulnerabilità critica ha esposto numerosi sistemi operativi a potenziali attacchi, sfruttando una libreria di compressione apparentemente innocua. Un'operazione di ingegneria sociale sofisticata ha permesso di inserire una backdoor nei sistemi Debian, Ubuntu e Red Hat, mettendo a rischio la sicurezza globale. L'intervento fortuito di un developer ha evitato il peggio, evidenziando la fragilità della catena di approvvigionamento del software open source.