Washington | EGINDO.co – Pengembang perangkat lunak Jerman Andres Freund sedang menjalankan beberapa tes kinerja terperinci bulan lalu ketika dia melihat perilaku aneh dalam program yang kurang dikenal. Apa yang dia temukan saat menyelidikinya telah menimbulkan kehebohan di dunia perangkat lunak dan menarik perhatian para eksekutif teknologi dan pejabat pemerintah.
Freund, yang bekerja untuk Microsoft di San Francisco, menemukan bahwa versi terbaru dari program perangkat lunak sumber terbuka XZ Utils telah sengaja disabotase oleh salah satu pengembangnya, sebuah tindakan yang dapat membuka pintu rahasia ke jutaan server di seluruh dunia. Internet.
Pakar keamanan mengatakan bahwa dunia terhindar dari krisis keamanan digital karena Freund melihat perubahan tersebut sebelum versi terbaru XZ digunakan secara luas.
“Kami benar-benar menghindari peluru,” kata Satnam Narang, peneliti keamanan di Tenable yang telah melacak dampak dari temuan tersebut. “Ini adalah salah satu momen di mana kami harus menyeka alis dan berkata, ‘Kami benar-benar beruntung dengan yang satu ini.’”
Kasus yang hampir terjadi ini telah memfokuskan kembali perhatian pada keamanan perangkat lunak sumber terbuka – program gratis yang seringkali dikelola oleh sukarelawan, yang transparansi dan fleksibilitasnya menjadikan perangkat lunak tersebut sebagai fondasi ekonomi internet.
Banyak proyek seperti itu bergantung pada sekelompok kecil sukarelawan tak berbayar yang berjuang untuk keluar dari tuntutan perbaikan dan peningkatan.
XZ, seperangkat alat kompresi file yang dikemas ke dalam distribusi sistem operasi Linux, telah lama dikelola oleh satu penulis, Lasse Collin.
Dalam beberapa tahun terakhir, ia tampak berada di bawah tekanan.
Dalam pesan yang diposting ke milis publik pada bulan Juni 2022, Collin mengatakan bahwa dia menghadapi “masalah kesehatan mental jangka panjang” dan mengisyaratkan bahwa dia bekerja secara pribadi dengan pengembang baru bernama Jia Tan dan bahwa “mungkin dia akan memiliki peran yang lebih besar dalam hal ini. masa depan.”
Log pembaruan yang tersedia melalui situs perangkat lunak sumber terbuka Github menunjukkan bahwa peran Tan berkembang pesat. Pada tahun 2023, log menunjukkan Tan menggabungkan kodenya ke dalam XZ, sebuah tanda bahwa dia telah mendapatkan peran tepercaya dalam proyek tersebut.
Namun pakar keamanan siber yang telah memeriksa catatan tersebut mengatakan bahwa Tan menyamar sebagai sukarelawan yang membantu. Selama beberapa bulan berikutnya, kata mereka, Tan memperkenalkan pintu belakang yang hampir tidak terlihat di XZ.
Collin tidak membalas pesan yang meminta komentar dan mengatakan di situsnya bahwa dia tidak akan menanggapi wartawan sampai dia memahami situasinya dengan cukup baik untuk melakukannya.
Tan tidak membalas pesan yang dikirimkan ke akun Gmailnya. Reuters tidak dapat memastikan siapa Tan, di mana dia berada, atau untuk siapa dia bekerja, namun banyak dari mereka yang telah memeriksa informasi terbarunya percaya bahwa Tan adalah nama samaran untuk seorang peretas ahli atau sekelompok peretas – kemungkinan besar bekerja atas nama Tan. dari badan intelijen yang kuat.
“Ini bukan masalah taman kanak-kanak,” kata Omkhar Arasaratnam, manajer umum Open Source Security Foundation, yang bekerja untuk membela proyek seperti XZ. “Ini luar biasa canggih.”
‘Kami Beruntung’
Tan bisa dengan mudah lolos jika bukan karena Freund, pengembang Microsoft, yang rasa penasarannya tergugah ketika dia melihat versi terbaru XZ kadang-kadang menggunakan kekuatan pemrosesan dalam jumlah yang tidak terduga pada sistem yang dia uji.
Microsoft menolak untuk menyediakan Freund untuk wawancara, namun dalam email dan postingan yang tersedia untuk umum di media sosial, Freund mengatakan serangkaian petunjuk yang mudah terlewatkan mendorongnya untuk menemukan pintu belakang.
Penemuan ini “benar-benar membutuhkan banyak kebetulan,” kata Freund di jejaring sosial Mastodon.
CEO Microsoft Satya Nadella mengucapkan selamat kepada Freund pada akhir pekan, dengan mengatakan dalam sebuah postingan di jejaring sosial X bahwa dia senang melihat bagaimana pengembang tersebut, “dengan rasa ingin tahu dan keahliannya, dapat membantu kita semua.”
Di komunitas open source, penemuan ini sungguh menyedihkan. Para relawan yang memelihara perangkat lunak yang mendukung internet tidak asing dengan gagasan bahwa mereka akan mendapat bayaran atau pengakuan yang kecil, namun kesadaran bahwa mereka sekarang sedang diburu oleh mata-mata yang memiliki sumber daya yang baik dan berpura-pura menjadi Orang Samaria yang Baik Hati adalah “sangat mengintimidasi,” kata Arasaratnam. , dari Yayasan Keamanan Sumber Terbuka.
Pejabat pemerintah juga mempertimbangkan dampak dari kejadian nyaris terjadi ini, yang menggarisbawahi kekhawatiran tentang bagaimana melindungi perangkat lunak sumber terbuka. Asisten Direktur Siber Nasional Anjana Rajan mengatakan kepada Politico bahwa “ada banyak diskusi yang perlu kita lakukan mengenai apa yang kita lakukan selanjutnya” untuk melindungi kode sumber terbuka.”
Badan Keamanan Siber dan Infrastruktur (CISA) mengatakan pihaknya bersandar pada perusahaan-perusahaan AS yang menggunakan perangkat lunak sumber terbuka untuk mengembalikan sumber daya ke komunitas yang membangun dan memeliharanya. Penasihat CISA Jack Cable mengatakan kepada Reuters bahwa beban yang ditanggung perusahaan teknologi tidak hanya untuk memeriksa perangkat lunak terbuka tetapi juga untuk “berkontribusi kembali dan membantu membangun ekosistem sumber terbuka berkelanjutan yang memberikan banyak manfaat bagi kita.”
Tidak jelas apakah perusahaan perangkat lunak diberi insentif yang tepat untuk melakukan hal tersebut. Milis online open source penuh dengan keluhan tentang raksasa teknologi yang menuntut sukarelawan memecahkan masalah perangkat lunak open source yang digunakan perusahaan-perusahaan tersebut untuk menghasilkan miliaran dolar.
Apapun solusinya, hampir semua orang setuju bahwa episode XZ menunjukkan sesuatu harus diubah.
“Kami sangat beruntung di sini,” kata Freund di postingan Mastodon lainnya. “Kita tidak bisa hanya mengandalkan hal itu di masa depan.”
Sumber : CNA/SL