...
La backdoor Xz è stata la parte finale di una campagna durata due anni di attività, *si tratta di operazioni di human intelligence* molto elaborate e che richiedono tempo e persone. Due anni di /lavoro/ per avere una backdoor aperta circa tre settimane prima che venga rilevata. C'è stato un approccio che è durato mesi prima che il *personaggio di Jia Tan* (JiaT75 questo lo pseudonimo di chi ha diffuso il codice malevolo all'interno del progetto Xz originale) fosse ben posizionato per ricevere un ruolo di fiducia nel progetto, da parte di chi segue la manutenzione diretta ( /Lasse Collin/ è invece il suo nome).
Fermo restando che Lasse Collin non è il vero nome dello sviluppatore, ma va beh, ognuno si presenta su Internet come vuole, a che punto siamo dopo due mesi? Pochi giorni fa [1] è uscita la versione 5.6.2 di xz-utils che mette una "pezza" su tutto ciò che di "malevolo" è stato fatto da JiaT75. C'è una cosa, però, di strano ... "Sam James is now a supporting maintainer. The x...@tukaani.org email address forwards to me and him." Ovvero quello che mesi prima era stato fatto con Jia Tan (la condivisione della mail). Ma chi è questo Sam James, qualcuno l'ha mai visto di persona? Di lui si sa soltanto quello che afferma, ovvero che: "I'm a maths student from the UK. I enjoy learning, no matter what the topic is, and generally try to make things better, whatever they are. I've loved playing with Linux since I was 11, and haven't stopped since then. Pleased to be finally giving back to my favourite distro and the wider community. I'm passionate about security and that's why my main focus of contributions is in that area: helping the security project, some tangential topics like security-critical packages in tree, and Gentoo Hardened! And I like getting stuck in." [2] Ok, immagino ciò che alcuni di voi stiano pensando. Alcuni sviluppatori open source sono molto attenti alla privacy e preferiscono l'anonimato, ma dopo un caso del genere non sarebbe stato più opportuno agire alla luce del sole? A. [1] https://www.mail-archive.com/xz-devel@tukaani.org/msg00681.html [2] https://archives.gentoo.org/gentoo-project/message/0c047ccf685c8879c0044e9c2...