Por Raphael Satter
WASHINGTON (Reuters) - O desenvolvedor de software alemão Andres Freund estava executando alguns testes de desempenho detalhados no mês passado quando notou um comportamento estranho em um programa pouco conhecido. O que ele descobriu ao investigar causou arrepios no mundo de softwares e chamou a atenção de executivos de tecnologia e autoridades governamentais.
Freund, que trabalha para a Microsoft (NASDAQ:MSFT) em San Francisco, descobriu que a versão mais recente do programa de software de código aberto XZ Utils havia sido deliberadamente sabotada por um de seus desenvolvedores, uma ação que poderia ter aberto uma porta secreta para milhões de servidores na internet.
Especialistas em segurança afirmam que pelo fato de Freund ter detectado a alteração antes que a versão mais recente do XZ fosse amplamente implantada poupou o mundo de uma crise de segurança digital.
"Realmente nos esquivamos por pouco", disse Satnam Narang, pesquisador de segurança da Tenable que tem acompanhado as consequências da descoberta. "É um daqueles momentos em que temos que limpar a testa e dizer: 'Tivemos muita sorte com isso'".
O quase ataque voltou a concentrar a atenção na segurança do software de código aberto -- programas gratuitos, geralmente mantidos por voluntários, cuja transparência e flexibilidade significam que eles servem como base para a economia da internet.
Muitos desses projetos dependem de um pequeno círculo de voluntários não remunerados que lutam para sair de uma pilha de demandas por correções e atualizações.
O XZ, um conjunto de ferramentas de compactação de arquivos incluído nas distribuições do sistema operacional Linux, foi mantido por muito tempo por um único autor, Lasse Collin.
Nos últimos anos, ele parecia estar sob pressão.
Em uma mensagem publicada em uma lista de discussão pública em junho de 2022, Collin disse que estava lidando com "questões de saúde mental de longo prazo" e deu a entender que estava trabalhando em particular com um novo desenvolvedor chamado Jia Tan e que "talvez ele tenha uma função maior no futuro".
Os registros de atualização disponíveis no site de software de código aberto Github mostram que o papel de Tan se expandiu rapidamente. Em 2023, os registros apontam que Tan estava mesclando seu código no XZ, um sinal de que ele havia conquistado uma função de confiança no projeto.
Mas especialistas em segurança cibernética que examinaram os registros dizem que Tan estava fingindo ser um voluntário prestativo. Nos meses seguintes, segundo eles, Tan introduziu um backdoor quase invisível no XZ.
Collin não retornou a mensagens solicitando comentários e disse em seu site que não responderia aos repórteres até que entendesse a situação o suficiente para fazê-lo.
Tan não retornou a mensagens enviadas para sua conta do Gmail. A Reuters não conseguiu descobrir quem é Tan, onde ele está ou para quem ele estava trabalhando, mas muitos dos que examinaram suas atualizações acreditam que Tan é um pseudônimo de um hacker experiente ou de um grupo de hackers, provavelmente trabalhando em nome de um poderoso serviço de inteligência.
"Isso não é coisa de jardim de infância", disse Omkhar Arasaratnam, gerente-geral da Open Source Security Foundation, que trabalha para defender projetos como o XZ. "Isso é incrivelmente sofisticado."