GitHub ripristina l’accesso al repository XZ Utils
Un tentativo ben pianificato e preparato da tempo di incorporare codice dannoso nel pacchetto Linux XZ Utils è emerso come una delle storie più significative di quest’anno nella comunità open source.
Questo attacco sofisticato mirava a consentire l’accesso remoto non autorizzato tramite SSH, colpendo potenzialmente un ampio spettro di distribuzioni GNU/Linux. Purtroppo questo incidente getta un’ombra sull’ecosistema, segnando un momento di cui si parlerà per anni.
Di conseguenza, GitHub aveva temporaneamente disabilitato l’accesso al repository XZ Utils 24 ore dopo la sua scoperta. Ad oggi l’accesso è stato ripristinato e il repository è nuovamente aperto agli sviluppatori che desiderano inviare codice.
Inoltre, a Lasse Collin, uno degli sviluppatori principali coinvolti, è stato sbloccato il suo account dopo un recente ban in attesa di ulteriori indagini. Tuttavia, ciò che attira maggiormente l’attenzione è lo stato dell’account JiaT75 (Jia Tan), che è il principale sospettato della violazione intenzionale della “backdoor“.
Come chiunque può vedere, l’account rimane incluso nell’elenco dei contributori di XZ Utils su GitHub. L’uomo che ha trascorso più di 2 anni dedicandosi con notevole pazienza e diligenza alla creazione del codice (in modo permanente, a quanto pare, tramite una connessione VPN) mirava a creare fiducia prima di sferrare il colpo finale.
Allora, chi è JiaT75? Bene, questa è la domanda da un milione di dollari a cui nemmeno i maggiori esperti di sicurezza informatica del mondo riescono ancora a rispondere. Il consenso tende a considerare Jia Tan come una facciata per un attore di stato/nazione, un’identità fantasma che maschera un collettivo di individui.
Secondo le informazioni pubblicate su X da Andy Greenberg, uno scrittore senior di WIRED che si occupa di hacking, sicurezza informatica e sorveglianza:
Abbiamo scavato nel mistero di ‘Jia Tan’, il programmatore volontario educato e coscienzioso che ha inserito una backdoor sorprendentemente sofisticata in XZ Utils e che molto probabilmente è il personaggio di un gruppo di hacker sponsorizzato dallo stato con sede in un fuso orario dell’Europa orientale.
Dopo essersi preparato per anni, questo gruppo ha quasi realizzato quella che avrebbe potuto essere la più grande svolta in Linux, che, grazie all’ingegnere del software di Microsoft, Andres Freund, non è avvenuta.
Nonostante le sfide, tuttavia, c’è sempre un lato positivo. Innanzitutto, il codice dei contribuito all’ecosistema open source verrà gestito con maggiore cautela. In secondo luogo, per scherzo o no, da questo momento in poi, contribuire con il codice e comunicare con i colleghi del progetto attraverso una connessione VPN stabilita attiverà inevitabilmente un grande allarme rosso.
Ad ogni modo, il repository XZ Utils di GitHub e l’account del suo sviluppatore principale, Lasse Collin, sono stati sbloccati, consentendo di continuare il lavoro sul progetto.
Fonte: https://github.com/tukaani-project/xz
Fonte: https://linuxiac.com/github-restores-access-to-xz-utils-repository/
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
