Sozinho, um desenvolvedor pode ter salvado a internet de um grande ataque

Uma manutenção de rotina se transformou no que, neste começo de semana, vem sendo citado como a salvação da internet. Sozinho, um desenvolvedor web descobriu uma falha grave em ferramentas de segurança do sistema operacional Linux que pareciam parte inicial de um grande ataque cibernético, que poderia atingir boa parte da infraestrutura de internet do mundo.

• A força do código aberto
• Inventor da Internet propõe uma forma de salvá-la antes que seja tarde demais

Ele é Andres Freund, um programador alemão de 38 anos que mora em São Francisco, nos EUA, e trabalha para a Microsoft. A descoberta envolve aplicações como o PostgreSQL, um gerenciador de banco de dados, e o XZ Utils, um compressor de pacotes de dados que reduz a carga sobre os sistemas de transmissão. Ambos são de código aberto e são soluções renomadas, presentes em boa parte das plataformas em operação no mundo.

Como tal, elas também são um alvo precioso para ataques cibernéticos. Foi justamente o que parecia ser os momentos iniciais de um deste que Freund descobriu, ao notar que uma aplicação de conexão segura SSH estava usando mais recursos do que deveria. Ele já vinha observando pequenos erros e falhas de funcionamento em relatórios anteriores, mas as pressões do dia a dia, com projetos “mais importantes”, sempre entravam no caminho.

Por curiosidade, ele decidiu analisar o problema e tentar traçar um paralelo entre as duas coisas. O que Freund descobriu foi um sofisticado ataque contra a cadeia de suprimentos, com códigos maliciosos sendo embutidos no XZ Utils por um desenvolvedor malicioso, cujas atualizações no software poderiam ser distribuídas para servidores e computadores de todo o mundo.

A ideia de que algo tão grandioso poderia estar passando despercebido levou Freund a compartilhar seus achados em comunidades de desenvolvimento em código aberto. Foi o que fez o mundo da tecnologia se mexer em pleno final de semana, com uma atualização para a backdoor sendo criada e distribuída em questão de horas, um tempo recorde, principalmente, quando se leva em conta que esse trabalho é, muitas vezes, feito de forma voluntária, no tempo livre dos profissionais.

Caso tivesse sido utilizada, a porta de entrada permitiria que atacantes sequestrassem as conexões SSH e manipulassem os códigos executados. Tal ação ocorreria diretamente na máquina atingida, o que poderia levar a ataques contra a infraestrutura, roubos de dados, golpes de negação de serviço e outras possibilidades aterrorizantes quando se imagina que isso seria possível em boa parte dos servidores de empresas, operadoras e basicamente qualquer serviço conectado.

O herói da internet

A descoberta levou Freund a ser aclamado pela comunidade de desenvolvimento de software. Satya Nadella, CEO da Microsoft, elogiou sua curiosidade e a habilidade para notar padrões. Satnam Narang, pesquisador em segurança da Tenable, disse que a descoberta do desenvolvedor alemão salvou a internet “por pouco” e que todos demos “muita sorte” pela backdoor ter sido localizada antes de distribuída e, principalmente, usada.

O próprio, porém, se disse assustado pela descoberta, que considerou inusitada. Em entrevista ao jornal The New York Times, ele se definiu como alguém que “apenas, senta na frente do computador e trabalha em códigos”. Ele também disse ter duvidado do próprio achado, que parecia surreal e foi definido como similar a “um sonho febril após uma noite mal dormida”.

A situação se torna ainda mais absurda quando se une à ideia de que cibercriminosos chineses ou russos estariam por trás do golpe. Possivelmente financiados pelo governo, esses profissionais teriam, sutilmente, incluído backdoors em sistemas populares, justamente, para ter uma porta de entrada em plataformas relevantes ou realizar os propósitos de estados-nação rivais envolvidos em guerra cibernética.

Pouco se sabe sobre o responsável pela manipulação, um usuário chamado Jia Tan que estava envolvido no projeto de desenvolvimento do XZ Utils desde 2022. Ele, inclusive, já havia colaborado com atualizações legítimas para o software, em um trabalho de tartaruga que apenas faz crescer a ideia de que esta era a preparação para um golpe altamente sofisticado.

Freund quer se distanciar de qualquer investigação desse tipo, apenas afirmando que os códigos que encontrou eram altamente complexos e que os responsáveis trabalharam muito em esconder seus rastros. Agora, ele trabalha ao lado de outros membros da comunidade para realizar a engenharia reversa no ataque e, principalmente, garantir que novas aberturas do tipo sejam detectadas antes que representem um risco.

Fonte: The New York Times