Nella comunità open source, si sta diffondendo l'allarme riguardo a una serie di attacchi mirati ai manutentori dei progetti, simili a quelli che hanno portato al recente tentativo di inserire un backdoor in una libreria fondamentale di Linux. Attacco che è stato sventato grazie in buona parte all’intervento di un singolo sviluppatore.
Ed è questo il punto chiave: molti progetti fondamentali per Linux sono mantenuti da una sola persona, spesso in modo volontario e come attività nl tempo libero. In genere sono sviluppatori molto bravi, ma è una situazione dove qualcosa di insolito può anche sfuggire all’attenzione. E se si riesce a mettere una backdoor nei software più usati nei server mondiali, la portata del danno è inimmaginabile.
Secondo OpenJS Foundation e 'Open Source Security Foundation (OpenSSF), ci sono diversi motivi per essere sospettosi. Per esempio, di recente è arrivata una serie di email sospette che si ritiene siano un tentativo di interferire con un progetto JavaScript molto popolare.
Mail in cui gli attaccanti cercano di farsi aggiungere come manutentori del progetto per "affrontare eventuali vulnerabilità critiche", senza però fornire dettagli su queste vulnerabilità. Un sistema molto simile a quanto accaduto con la backdoor di XZ/liblzma. A questo punto il sospetto è che l’operazione sia stata ripetuta molte volte negli anni, e che quella emersa sia solo la punta dell’iceberg.
Il mondo open source ha naturalmente i suoi anticorpi e in linea di massima può rispondere a molte minacce. Tuttavia il caso xz dimostra che esiste almeno una possibile falla: se il criminale riesce a farsi passare per una persona onesta e a diventare manutentore, a quel punto a il potere di alterare il software praticamente senza che nessuno se ne accorga.
Certo, proprio perché il software è open source idealmente chiunque può vedere il codice e individuare il problema. Ma in pratica vedere davvero certe linee di codice, nascoste tra altre migliaia, è un’operazione praticamente impossibile.
Bisogna mantenere alta l’attenzione, ed è probabile che nei prossimi mesi molti progetti dovranno affrontare un qualche tipo di audit, alla ricerca di eventuali problemi da risolvere.
I recenti investimenti come il progetto Alpha-Omega, sostenuto da grandi aziende come Microsoft, Amazon e Google, dimostrano che il finanziamento diretto dei developer per la sicurezza può avere un impatto positivo sulla sicurezza dei progetti open source. Similmente, è prezioso l'impegno delle istituzioni pubbliche, come il Sovereign Tech Fund tedesco, nel sostenere finanziariamente le fondazioni come la OpenJS per rafforzare l'infrastruttura e la sicurezza è un passo nella giusta direzione per proteggere gli ecosistemi digitali su cui la società moderna si basa sempre di più.