ITA | ENG

The Void Paradox

Where the profound darkness and reality convergence

AuthorNewsletter AboutContactsHome

L’Oscura Compressione

Cari lettori e lettrici, benvenuti a questa nuova avventura del sapere, in cui ci affacciamo sul complesso e affascinante mondo dell’informatica e della cybersecurity. Nel corso del 2021, questo settore è stato travolto da una tempesta inaspettata. Una falla nel sistema di logging Java Apache Log4j 2, nota come “Log4Shell”, ha gettato gli sviluppatori in un vortice di panico. Considerata la vulnerabilità più critica degli ultimi dieci anni, ha costretto esperti di tutto il mondo a rivedere milioni di applicazioni, aggiornandole freneticamente per garantirne la sicurezza.

In questo articolo esploreremo insieme le cause, le implicazioni e le soluzioni adottate per affrontare questa emergenza globale. Buona lettura!

Ora, immaginate una falla altrettanto grave a quella di LogShell, ma mille volte più devastante, capace di minacciare quasi ogni sistema informatico del pianeta. Ebbene sì, avete capito bene.

Un gruppo di hackers, la cui identità rimane avvolta nel mistero, ha introdotto del codice malevolo nella libreria open-source XZ Utils, uno strumento a linea di comando utilizzato per la compressione dei dati, ampiamente adottato nelle principali distribuzioni Linux.

La Scoperta di Andres Freund

29 marzo 2024. È una giornata come tante altre per Andres Freund, un ingegnere Microsoft e sviluppatore PostgreSQL. Seduto alla sua scrivania, si immerge nei suoi micro-benchmarking, cercando di ottimizzare le performance della versione beta di Debian Linux. Ma qualcosa non quadra. Freund nota che il codice di sicurezza SSH è insolitamente lento.

“Stavo cercando di ridurre il background noise nel sistema,” ha dichiarato Freund in un post su Mastodon. “Ho notato che i processi sshd utilizzavano sorprendentemente molta CPU, nonostante fallissero immediatamente a causa di username errati.”

Le indagini successive rivelano l’incredibile verità: un manutentore di XZ Utils, Jia Tan, aveva inserito una backdoor nel codice. Questo “malware” funge da remote code execution, permettendo ai cybercriminali di prendere il controllo di tutti i sistemi Linux a livello globale.

La Diffusione del Codice Maligno

Le versioni compromesse di XZ Utils, identificate come CVE-2024-3094, ottengono un punteggio CVSS di 10.0, indicando la massima gravità. Le versioni afflitte, 5.6.0 e 5.6.1 di XZ Utils, sono ormai un sinonimo di terrore nel mondo informatico. Fortunatamente, il codice maligno non è apparso in nessuna distribuzione Linux di produzione, ma solo in edizioni instabili e beta di Fedora, Debian, Kali, openSUSE e Arch Linux.

Il Piano Subdolo

Ma come è stato possibile tutto ciò? La risposta è semplice quanto inquietante: social engineering. Il manutentore originale di XZ Utils, Lasse Collin, era estremamente impegnato con altri progetti. Essendo XZ Utils un progetto open-source, chiunque poteva contribuire. Tuttavia, il progetto non veniva mantenuto adeguatamente.

E qui entra in gioco Jia Tan. Si offre di aiutare come co-manutentore, raccomandato da vari complici che lodano le sue precedenti contribuzioni. Nel 2021, Tan viene aggiunto come co-gestore del progetto e da allora introduce numerose modifiche al codice.

La Caduta di XZ Utils

Quando la vulnerabilità, soprannominata “XZ Outbreak”, diviene di pubblico dominio, GitHub sospende il progetto e gli account GitHub sia di Collin che di Tan. Collin, il manutentore originale, è in vacanza quando l’incidente viene scoperto e riportato. Non appena ne viene a conoscenza, lo pubblica sul suo blog, aggiornandolo man mano che apprende nuovi dettagli.

Thomas Roccia, un ricercatore di minacce presso Microsoft, pubblica un’infografica dettagliata sugli eventi relativi a “XZ Outbreak” su X. Le immagini, accompagnate da commenti incisivi, diventano virali in poche ore.

La Saggezza degli Hacker

La scoperta accidentale di Freund di questo attacco alla supply chain ha evitato un disastro di sicurezza di proporzioni epiche. Tuttavia, la comunità informatica è scossa. In un mondo sempre più interconnesso, le parole di Kevin Mitnick risuonano come un monito:

“Companies spend millions of dollars on firewalls, encryption and secure access devices, and it’s money wasted; none of these measures address the weakest link in the security chain.”

cyb3rdm0n
, , , , , , , , , ,
Share
Copia il link
×

On this website we use first or third-party tools that store small files (<i>cookie</i>) on your device. Cookies are normally used to allow the site to run properly (<i>technical cookies</i>), to generate navigation usage reports (<i>statistics cookies</i>) and to suitable advertise our services/products (<i>profiling cookies</i>). We can directly use technical cookies, but <u>you have the right to choose whether or not to enable statistical and profiling cookies</u>. <b>Enabling these cookies, you help us to offer you a better experience</b>.